风暴魔域野外首领地图

Web應用安全

风暴魔域野外首领地图 www.igoks.icu
       針對用戶應用安全?;は钅?,建議配置?;eb服務的WAF(Web Application Firewall:Web應用防火墻)。用戶有兩條線路連接外面的運營商(ISP),有一套Web應用系統,分別服務于來自兩個運營商的訪問請求,建議配置一臺安全廠家的G4型號的WAF分別對這二條線路的Web應用進行?;?。部署的拓撲如下: 

用戶的網絡拓撲
       WAF所配備的是安全廠家的中端設備G4,它有500Mbps的吞吐量(雙向加起來),同時支持的HTTP請求數是16,000每秒,之所以配備G4,是基于以下考慮:
       用戶目前有數百萬用戶,在高峰的時候(例如節假日),按照通常的Web訪問的統計計算方法,峰值時大約會同時有1萬的HTTP請求,考慮到用戶今后數年的發展和用戶數的增長,用戶的訪問數量肯定會不斷增加,配置設備要考慮到今后2-3年的擴展性。
       考慮Web支付及電子商務的安全性,用戶會越來越多的采用HTTPS已經相關的安全加密協議,HTTPS流量肯定會不斷增長,在這種情況下,考慮到HTTPS的加解密消耗的系統資源,需要配置比現在的流量以及訪問量處理能力大一些的設備。
       考慮到針對Web服務的攻擊手段不斷的復雜化和發展速度,WAF必須保證高性能能夠處理目前及以后層出不窮的復雜攻擊手段,這需要WAF有很高的處理性能,以適應這種不斷發展的越來越復雜的Web攻擊。
       Web應用的安全是一個綜合性的工程,可以給用戶帶來極高的價值。

 •          Web應用系統的安全監控和防護
       數據庫前臺應用系統常常是對數據庫攻擊的第一個跳板。通過對數據庫應用系統的攻擊,獲得對內部網絡的訪問能力;并且,利用應用系統的對數據庫訪問的權限,進一步獲得共計數據庫,獲取關鍵數據的能力。更為嚴重的是,這樣的攻擊方式,同時利用了應用系統作為掩護,使事后的追查無法得知安全事件的真正源頭。
       安全廠家可以對普遍采用的BS架構的應用系統進行實時的監控和防護。對各種從網絡層,應用層和內容層各方面的安全威脅提供了全面、上層次的檢測和過濾,從根本上?;ち飼疤ㄓτ孟低?。同時防止了利用前臺的應用系統做過渡對數據庫進行的攻擊。
       同時,這項功能與后臺數據庫系統的監控結合,可以提供全局的用戶跟蹤,即,將前臺應用系統的用戶訪問行為與后臺數據庫系統的查詢結合起來,對每個用戶與業務系統的交互的進行完整的分析和記錄。這樣,所有用戶與業務系統的交互行為都置于在安全廠家的全程監控下。不僅對于安全事件的完整的審計提供準確的原始素材,而且極大的提高了發現安全威脅,精確定位,以及精確阻斷的能力。
       這些功能不僅是對于公眾服務的系統有效,對于內部應用系統也同樣重要——對違規操作和非法侵入內部網絡后造成的安全事件的提供了有力的?;?。對基于Web的前臺應用系統和業務系統,安全廠家提供了多層次防護和監控技術。
      安全廠家 系統?;び沒У腤EB應用攻擊,例如SQL注入、Cookie毒化、參數篡改、路徑遍歷以及更多攻擊(詳見列表)。動態評估技術自動創建WEB應用的使用和結構的正向安全模型,包括URL、http形式、參數、隱藏的域、Cookie、事務ID以及應答代碼等。當用戶和網絡應用進行交互時,安全廠家 系統密切監視他們的活動,并與安全模型比較。任何攻擊的企圖都將被監測到,并被阻止。

•          WEB服務防火墻
       安全廠家的互聯網服務網關主要針對XML、SOAP和WSDL等應用進行?;?。如同安全廠家系統的應用防火墻功能一樣,服務網關采用安全廠家公司的動態評估技術建立合法應用行為的安全模型,包括XML URL、SOAP行為、XML元素和XML屬性。所有篡改網絡服務應用模式或者變量的企圖都會被識別出來,并加以阻止和防范。
       安全廠家對已知的攻擊和“第零日蠕蟲”的提供?;?。這些攻擊通常針對WEB服務器、應用服務器和操作系統軟件的弱點(例如,IIS、Apache和Windows 2000)。安全廠家的“第零日蠕蟲”自動評估技術可自動識別尚未定義特征的攻擊。 安全廠家系統同時提供多網絡協議的Snort兼容的特征庫,符合http協議和來自“應用防御中心”– 安全廠家自己內部的安全研究組織,的高級應用?;ぬ卣?。安全廠家 系統提供定時更新服務,確保安全?;さ氖斃?。
       安全廠家集成的網絡防火墻用于防范未授權用戶、危險的協議、通常的網絡層攻擊以及蠕蟲感染。訪問控制策略支持協議/IP地址組合的控制列表,以避免數據中心暴露給不必要的用戶,或者限制危險的協議,例如Telnet、pcAnywhere或者是SQL。


 

?