网络安全解决方案(终稿).pdf

网络安全解决方案(终稿) web 网络安全解决方案 （文档版本号：V1.0 ） 网络安全解决方案(终稿) 沈阳东网科技有限公司 网络安全解决方案(终稿) 修订记录 日 期 修订版本 描 述 作 者 2015-4-2 V1.0 初稿生成 李政伟 网络安全解决方案(终稿) 目 录 一、 前言1 二、 如何确保 web 的安全应用 1 三、 常见部署模式1 四、 需求说明5 五、 网络拓扑6 六、 总结6 网络安全解决方案(终稿) 一、 前言 Web 应用处在一个相对开放的环境中，它在为公众提供便利服务的同时，也极易成为不 法分子的攻击目标，黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用 的攻击上。当前，信息安全攻击约有 75%都是发生在 Web 应用而非网络层面上。 Web 攻击者针对 Web 应用程序的可能漏洞、 Web 系统软件的不当配置以及 http 协 议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对 Web 站点特别是 Web 应用进 行侦测和攻击，攻击的目的包括：非法获得站点信息、篡改数据库和网页、绕过身份认证和 假冒用户、窃取用户资料和数据、控制被攻击的服务器等。 目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议有深厚理解，即可完成 诸如更换 Web 网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中 产生的网络层数据，和正常数据没有什么区别。 二、 如何确保 web 的安全应用 在 Web 系统的各个层面，都会使用不同的技术来确保安全性：为了保护客户端机器的安 全，用户会安装防病毒软件；为了保证用户数据传输到 Web 服务器的传输安全，通信层通常 会使用 SSL 技术加密数据；为了阻止对不必要暴露的端口和非法的访问，用户会使用网络防 火墙和 IDS/IPS 来保证仅允许特定的访问。 但是，对于 Web 应用而言，Web 服务端口即 80 和 443 端口是一定要开放的，恶意的用 户正是利用这些 Web 端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏 Web 应用中 的重要信息。而传统安全设备仅仅工作在网络层上，并不能精确理解应用层数据，更无法结 合 Web 系统对请求进行深入分析，针对应用层面的攻击可以轻松的突破传统网络防火墙和 IDS/IP 保护的网站。 因此，在大量而广泛的 Web 网站和Web 应用中，需要采用专门的 Web 安全防护系统来保 护 Web 应用层面的安全，WAF （Web Application Firewall，WEB 应用防火墙）产品开始流行 起来。 WAF 产品按照形态划分可以分为三种，硬件、软件及云服务。软件 WAF 由于功能及性能 方面的缺陷，已经逐渐被市场所淘汰。云 WAF 近两年才刚刚兴起，产品及市场也都还未成熟。 与前两种形态相比，硬件 WAF 经过多年的应用，在各方面都相对成熟及完善，也是目前市场 中WAF 产品的主流形态。 既然是硬件产品，网络部署对于用户来说，是一个必须要考虑的问题。纵观国内外的硬 件 WAF 产品，通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困 惑。以下将对硬件WAF 几种常见的部署模式做一个介绍。 网络安全解决方案(终稿) 三、 常见部署模式 1. WAF 部署位置 通常情况下，WAF 放在企业对外提供网站服