系统安全设计.docxVIP

PAGE PAGE # / 13 一系统安全设计 常用安全设备 防火墙 主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理 等，其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关 闭所有的通过型访问，只开放允许访问的策略。 抗DDOS设备 防火墙的补充，专用抗 DDOS设备，具备很强的抗攻击能力。 IPS 以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火 墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传 统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒系统定义 N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。 SSL VPN 它处在应用层，SSL用公钥xx通过SSL连接传输的数据来工作。SSL协议指 定了在应用程序协议和TCP/IP之间进行数据交换的安全机制，为 TCP/IP连接提 供数据XX、服务器认证以及可选择的客户机认证。 WAF（WEB应用防火墙） Web应用防护系统（Web Application Firewall,简称：WAF）代表了一类新 兴的信息安全技术，用以解决xx防火墙一类传统设备束手无策的 Web应用安全 问题。与传统防火墙不同， WAF工作在应用层，因此对 Web应用防护具有先天 的技术优势。基于对 Web应用业务和逻辑的深刻理解， WAF对来自Web应用 程序客户端的各类请求进行内容检测和验证，确保其 xx与合法性，对非法的请 求予以实时阻断，从而对各类网站站点进行有效防护。 产品特点 异常检测协议 Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合 HTTP标准的 请求。并且，它也可以只允许 HTTP协议的部分选项通过，从而减少攻击的影响 范围。甚至，一些 Web应用防火墙还可以严格限定 HTTP协议中那些过于松散 或未被完全制定的选项。 增强的输入验证 增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络 入侵行为。从而减小 Web服务器被攻击的可能性。 及时补丁 修补Web安全漏洞，是 Web应用开发者最头痛的问题，没人会知道下一 秒有什么样的漏洞出现，会为 Web应用带来什么样的危害。 WAF可以为我们做 这项工作了 一一只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉 这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应 的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都 比没有保护措施更好。 （附注：及时补丁的原理可以更好的适用于基于 XML的应用中，因为这些 应用的通信协议都具规范性。） 基于规则的保护和基于异常的保护 基于规则的保护可以提供各种 Web应用的安全规则，WAF生产商会维护这 个规则库，并时时为其更新。用户可以按照这些规则对应用进行全方面检测。 还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异 常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这 是十分困难的一件事情。 状态管理 WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并 且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管 理模式还能检测出异常事件（比如登陆失败），并且在达到极限值时进行处 理。这对暴力攻击的识别和响应是十分有利的。 其他防护技术 WAF还有一些安全增强的功能，可以用来解决 WEB程序员过分信任输入数 据带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄 露保护。 网络安全设计 访问控制设计 防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间 的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实 现较细粒的访问控制。其中防火墙产品从网络层到应用层都实现了自由控制。 屏蔽主机网关易于实现，xx好，应用广泛。它又分为单宿堡垒主机和双宿 堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网 络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网 络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从 In ternet 惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而 Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问 In ternet。 拒绝服务攻击防护设计 对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停 止运行；以使得被攻击计算机或网络无法提供正常的服务或者资源，合法用户 的请求得不到及时的响应。由于 DoS的攻击具有隐蔽性，到目前为止还没有行 之有效的防御方法。首先，这种攻击的特点是它利用了 TCP/IP协议的漏洞，除 非你不用TC