云計算業(yè)務承載平臺
Web應用安全
針對用戶應用安全保護項目,建議配置保護Web服務的WAF(Web Application Firewall:Web應用防火墻)。用戶有兩條線路連接外面的運營商(ISP),有一套Web應用系統(tǒng),分別服務于來自兩個運營商的訪問請求,建議配置一臺安全廠家的G4型號的WAF分別對這二條線路的Web應用進行保護。部署的拓撲如下:
用戶的網(wǎng)絡拓撲
WAF所配備的是安全廠家的中端設備G4,它有500Mbps的吞吐量(雙向加起來),同時支持的HTTP請求數(shù)是16,000每秒,之所以配備G4,是基于以下考慮:
用戶目前有數(shù)百萬用戶,在高峰的時候(例如節(jié)假日),按照通常的Web訪問的統(tǒng)計計算方法,峰值時大約會同時有1萬的HTTP請求,考慮到用戶今后數(shù)年的發(fā)展和用戶數(shù)的增長,用戶的訪問數(shù)量肯定會不斷增加,配置設備要考慮到今后2-3年的擴展性。
考慮Web支付及電子商務的安全性,用戶會越來越多的采用HTTPS已經(jīng)相關的安全加密協(xié)議,HTTPS流量肯定會不斷增長,在這種情況下,考慮到HTTPS的加解密消耗的系統(tǒng)資源,需要配置比現(xiàn)在的流量以及訪問量處理能力大一些的設備。
考慮到針對Web服務的攻擊手段不斷的復雜化和發(fā)展速度,WAF必須保證高性能能夠處理目前及以后層出不窮的復雜攻擊手段,這需要WAF有很高的處理性能,以適應這種不斷發(fā)展的越來越復雜的Web攻擊。
Web應用的安全是一個綜合性的工程,可以給用戶帶來極高的價值。
• Web應用系統(tǒng)的安全監(jiān)控和防護
數(shù)據(jù)庫前臺應用系統(tǒng)常常是對數(shù)據(jù)庫攻擊的第一個跳板。通過對數(shù)據(jù)庫應用系統(tǒng)的攻擊,獲得對內(nèi)部網(wǎng)絡的訪問能力;并且,利用應用系統(tǒng)的對數(shù)據(jù)庫訪問的權限,進一步獲得共計數(shù)據(jù)庫,獲取關鍵數(shù)據(jù)的能力。更為嚴重的是,這樣的攻擊方式,同時利用了應用系統(tǒng)作為掩護,使事后的追查無法得知安全事件的真正源頭。
安全廠家可以對普遍采用的BS架構的應用系統(tǒng)進行實時的監(jiān)控和防護。對各種從網(wǎng)絡層,應用層和內(nèi)容層各方面的安全威脅提供了全面、上層次的檢測和過濾,從根本上保護了前臺應用系統(tǒng)。同時防止了利用前臺的應用系統(tǒng)做過渡對數(shù)據(jù)庫進行的攻擊。
同時,這項功能與后臺數(shù)據(jù)庫系統(tǒng)的監(jiān)控結合,可以提供全局的用戶跟蹤,即,將前臺應用系統(tǒng)的用戶訪問行為與后臺數(shù)據(jù)庫系統(tǒng)的查詢結合起來,對每個用戶與業(yè)務系統(tǒng)的交互的進行完整的分析和記錄。這樣,所有用戶與業(yè)務系統(tǒng)的交互行為都置于在安全廠家的全程監(jiān)控下。不僅對于安全事件的完整的審計提供準確的原始素材,而且極大的提高了發(fā)現(xiàn)安全威脅,精確定位,以及精確阻斷的能力。
這些功能不僅是對于公眾服務的系統(tǒng)有效,對于內(nèi)部應用系統(tǒng)也同樣重要——對違規(guī)操作和非法侵入內(nèi)部網(wǎng)絡后造成的安全事件的提供了有力的保護。對基于Web的前臺應用系統(tǒng)和業(yè)務系統(tǒng),安全廠家提供了多層次防護和監(jiān)控技術。
安全廠家 系統(tǒng)保護用戶的WEB應用攻擊,例如SQL注入、Cookie毒化、參數(shù)篡改、路徑遍歷以及更多攻擊(詳見列表)。動態(tài)評估技術自動創(chuàng)建WEB應用的使用和結構的正向安全模型,包括URL、http形式、參數(shù)、隱藏的域、Cookie、事務ID以及應答代碼等。當用戶和網(wǎng)絡應用進行交互時,安全廠家 系統(tǒng)密切監(jiān)視他們的活動,并與安全模型比較。任何攻擊的企圖都將被監(jiān)測到,并被阻止。
• WEB服務防火墻
安全廠家的互聯(lián)網(wǎng)服務網(wǎng)關主要針對XML、SOAP和WSDL等應用進行保護。如同安全廠家系統(tǒng)的應用防火墻功能一樣,服務網(wǎng)關采用安全廠家公司的動態(tài)評估技術建立合法應用行為的安全模型,包括XML URL、SOAP行為、XML元素和XML屬性。所有篡改網(wǎng)絡服務應用模式或者變量的企圖都會被識別出來,并加以阻止和防范。
安全廠家對已知的攻擊和“第零日蠕蟲”的提供保護。這些攻擊通常針對WEB服務器、應用服務器和操作系統(tǒng)軟件的弱點(例如,IIS、Apache和Windows 2000)。安全廠家的“第零日蠕蟲”自動評估技術可自動識別尚未定義特征的攻擊。 安全廠家系統(tǒng)同時提供多網(wǎng)絡協(xié)議的Snort兼容的特征庫,符合http協(xié)議和來自“應用防御中心”– 安全廠家自己內(nèi)部的安全研究組織,的高級應用保護特征。安全廠家 系統(tǒng)提供定時更新服務,確保安全保護的時效性。
安全廠家集成的網(wǎng)絡防火墻用于防范未授權用戶、危險的協(xié)議、通常的網(wǎng)絡層攻擊以及蠕蟲感染。訪問控制策略支持協(xié)議/IP地址組合的控制列表,以避免數(shù)據(jù)中心暴露給不必要的用戶,或者限制危險的協(xié)議,例如Telnet、pcAnywhere或者是SQL。