云计算业务承载平台
Web应用安全
针对用户应用安全保护项目,建议配置保护Web服务的WAF(Web Application Firewall:Web应用防火墙)。用户有两条线路连接外面的运营商(ISP),有一套Web应用系统,分别服务于来自两个运营商的访问请求,建议配置一台安全厂家的G4型号的WAF分别对这二条线路的Web应用进行保护。部署的拓扑如下:
用户的网络拓扑
WAF所配备的是安全厂家的中端设备G4,它有500Mbps的吞吐量(双向加起来),同时支持的HTTP请求数是16,000每秒,之所以配备G4,是基于以下考虑:
用户目前有数百万用户,在高峰的时候(例如节假日),按照通常的Web访问的统计计算方法,峰值时大约会同时有1万的HTTP请求,考虑到用户今后数年的发展和用户数的增长,用户的访问数量肯定会不断增加,配置设备要考虑到今后2-3年的扩展性。
考虑Web支付及电子商务的安全性,用户会越来越多的采用HTTPS已经相关的安全加密协议,HTTPS流量肯定会不断增长,在这种情况下,考虑到HTTPS的加解密消耗的系统资源,需要配置比现在的流量以及访问量处理能力大一些的设备。
考虑到针对Web服务的攻击手段不断的复杂化和发展速度,WAF必须保证高性能能够处理目前及以后层出不穷的复杂攻击手段,这需要WAF有很高的处理性能,以适应这种不断发展的越来越复杂的Web攻击。
Web应用的安全是一个综合性的工程,可以给用户带来极高的价值。
• Web应用系统的安全监控和防护
数据库前台应用系统常常是对数据库攻击的第一个跳板。通过对数据库应用系统的攻击,获得对内部网络的访问能力;并且,利用应用系统的对数据库访问的权限,进一步获得共计数据库,获取关键数据的能力。更为严重的是,这样的攻击方式,同时利用了应用系统作为掩护,使事后的追查无法得知安全事件的真正源头。
安全厂家可以对普遍采用的BS架构的应用系统进行实时的监控和防护。对各种从网络层,应用层和内容层各方面的安全威胁提供了全面、上层次的检测和过滤,从根本上保护了前台应用系统。同时防止了利用前台的应用系统做过渡对数据库进行的攻击。
同时,这项功能与后台数据库系统的监控结合,可以提供全局的用户跟踪,即,将前台应用系统的用户访问行为与后台数据库系统的查询结合起来,对每个用户与业务系统的交互的进行完整的分析和记录。这样,所有用户与业务系统的交互行为都置于在安全厂家的全程监控下。不仅对于安全事件的完整的审计提供准确的原始素材,而且极大的提高了发现安全威胁,精确定位,以及精确阻断的能力。
这些功能不仅是对于公众服务的系统有效,对于内部应用系统也同样重要——对违规操作和非法侵入内部网络后造成的安全事件的提供了有力的保护。对基于Web的前台应用系统和业务系统,安全厂家提供了多层次防护和监控技术。
安全厂家 系统保护用户的WEB应用攻击,例如SQL注入、Cookie毒化、参数篡改、路径遍历以及更多攻击(详见列表)。动态评估技术自动创建WEB应用的使用和结构的正向安全模型,包括URL、http形式、参数、隐藏的域、Cookie、事务ID以及应答代码等。当用户和网络应用进行交互时,安全厂家 系统密切监视他们的活动,并与安全模型比较。任何攻击的企图都将被监测到,并被阻止。
• WEB服务防火墙
安全厂家的互联网服务网关主要针对XML、SOAP和WSDL等应用进行保护。如同安全厂家系统的应用防火墙功能一样,服务网关采用安全厂家公司的动态评估技术建立合法应用行为的安全模型,包括XML URL、SOAP行为、XML元素和XML属性。所有篡改网络服务应用模式或者变量的企图都会被识别出来,并加以阻止和防范。
安全厂家对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务器、应用服务器和操作系统软件的弱点(例如,IIS、Apache和Windows 2000)。安全厂家的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。 安全厂家系统同时提供多网络协议的Snort兼容的特征库,符合http协议和来自“应用防御中心”– 安全厂家自己内部的安全研究组织,的高级应用保护特征。安全厂家 系统提供定时更新服务,确保安全保护的时效性。
安全厂家集成的网络防火墙用于防范未授权用户、危险的协议、通常的网络层攻击以及蠕虫感染。访问控制策略支持协议/IP地址组合的控制列表,以避免数据中心暴露给不必要的用户,或者限制危险的协议,例如Telnet、pcAnywhere或者是SQL。