一．項(xiàng)目簡介

1.用戶背景

秀洲--位于浙江省杭嘉湖平原，東鄰上海，西靠杭州，南瀕杭洲灣，北接蘇州，是上海經(jīng)濟(jì)區(qū)的黃金腹地，也是浦東開發(fā)區(qū)的理想延伸地，極具開發(fā)潛力。是國務(wù)院確定為先行規(guī)劃、先行發(fā)展的重點(diǎn)沿海開放地區(qū)之一。區(qū)域經(jīng)濟(jì)極富成長性和開放性，經(jīng)濟(jì)增勢強(qiáng)勁。GDP、財(cái)政收入、居民人均收入等主要經(jīng)濟(jì)指標(biāo)增幅高于“長三角”16個(gè)城市平均水平。近年來，秀洲區(qū)的經(jīng)濟(jì)增長率一直保持在 15％以上，2005年人均GDP達(dá)4745美元，三資企業(yè)總投資年均增長100％以上，外貿(mào)出口年均增長50％以上，外資投資企業(yè)達(dá)180多家。服務(wù)業(yè)發(fā)展迅速、市場體系日趨完善。

當(dāng)今企業(yè)通過門戶網(wǎng)站將企業(yè)信息、最新動(dòng)態(tài)等公布于眾，通過Web這個(gè)平臺(tái)展現(xiàn)自身的發(fā)展情況，樹立良好的企業(yè)形象。嘉興秀州區(qū)政府通過使用兩臺(tái)Web服務(wù)器作為自己的門戶網(wǎng)站，對(duì)外開放相關(guān)信息，與市民取得互動(dòng)。

然而，當(dāng)今對(duì)于Web服務(wù)器的攻擊威脅越來越普遍，手法也越來越多樣化。攻擊將造成嚴(yán)重的后果，輕者將使Web服務(wù)器無法工作，市民無法正常瀏覽網(wǎng)站；重者將直接篡改網(wǎng)站內(nèi)容，嚴(yán)重?fù)p害政府形象。因此，保證Web服務(wù)器的安全顯得尤為重要。為Web服務(wù)器提供一道完善的防護(hù)迫在眉睫。

2.用戶需求

根據(jù)秀洲區(qū)政府額要求，Web服務(wù)器應(yīng)該受到嚴(yán)密的保護(hù)，避免遭受任何針對(duì)Web服務(wù)器發(fā)起的攻擊，這些攻擊包括：

1.跨站腳本攻擊

2.SQL注入攻擊

3.網(wǎng)頁篡改

4.cookie中毒

5.緩沖區(qū)溢出

6.參數(shù)篡改

7.錯(cuò)誤返回信息截取等

二．梭子魚應(yīng)用防火墻解決方案

1.秀洲區(qū)政府梭子魚應(yīng)用防火墻解決方案

根據(jù)秀州區(qū)政府的網(wǎng)絡(luò)環(huán)境和需求，梭子魚為秀洲區(qū)政府提供梭子魚應(yīng)用防火墻，部署在兩臺(tái)Web服務(wù)器之前，實(shí)現(xiàn)反向代理，達(dá)到保護(hù)Web服務(wù)器的目的。

秀州區(qū)政府服務(wù)器網(wǎng)絡(luò)原始拓?fù)鋱D如下所示：

由圖可知，外部的請(qǐng)求通過網(wǎng)絡(luò)防火墻直接訪問到兩臺(tái)Web服務(wù)器，由于網(wǎng)絡(luò)防火墻無法檢查HTTP協(xié)議的內(nèi)容，所以惡意的攻擊很容易滲入網(wǎng)絡(luò)內(nèi)部。這樣的網(wǎng)絡(luò)無法為Web服務(wù)器提供安全防護(hù)，其實(shí)質(zhì)就等于將Web服務(wù)器暴露于公網(wǎng)。

通過在Web服務(wù)器前部署一臺(tái)梭子魚應(yīng)用防火墻來達(dá)到保護(hù)門戶網(wǎng)站目的。加固后網(wǎng)絡(luò)拓?fù)淙缦聢D所示：

由圖可知，來自外部的請(qǐng)求將首先經(jīng)過梭子魚應(yīng)用防火墻，經(jīng)過嚴(yán)格的掃描后再發(fā)送給后臺(tái)服務(wù)器，大大提高了網(wǎng)站的安全性。

梭子魚通過終止、安全（掃描）和加速來實(shí)現(xiàn)安全和優(yōu)化的雙重效果。如下圖所示：

2.梭子魚WEB應(yīng)用防火墻簡介

梭子魚應(yīng)用防火墻的原理：

梭子魚應(yīng)用防火墻通過代理(Proxy)幫助企業(yè)建起防線! 基于會(huì)話的雙向代理不僅能應(yīng)用在網(wǎng)絡(luò)層，同時(shí)還能應(yīng)用在HTTP應(yīng)用層上，確保內(nèi)部服務(wù)器操作系統(tǒng)和TCP堆棧不直接暴露在Internet，保障web應(yīng)用的安全。

圖二 Web應(yīng)用防火墻的原理

梭子魚WEB應(yīng)用防火墻功能：

終止：梭子魚WEB應(yīng)用防火墻有一個(gè)基本原則: 用戶瀏覽器和應(yīng)用程序服務(wù)器的連接會(huì)話都在此終止。 梭子魚WEB應(yīng)用防火墻將對(duì)應(yīng)用流量（向內(nèi)和向外）進(jìn)行全面的檢查，并管理每一個(gè)會(huì)話。通過TCP握手切斷任何基于TCP的DOS攻擊。在終止會(huì)話的同時(shí)，應(yīng)用防火墻可以提供網(wǎng)絡(luò)層的NAT、PAT 、ACL 策略和SSL 密碼系統(tǒng)。系統(tǒng)對(duì)于HTTP內(nèi)容有著完全的訪問權(quán)和控制權(quán)，檢查所有的HTTP 內(nèi)容，解釋和建立規(guī)則。

安全：一旦某個(gè)會(huì)話被梭子魚WEB應(yīng)用防火墻終止并被控制，將會(huì)對(duì)向內(nèi)或向外的流量進(jìn)行多種檢查，以阻止內(nèi)嵌的攻擊、數(shù)據(jù)竊取和身份竊取。 可以指定各種策略對(duì)URL、 參數(shù)和格式等進(jìn)行檢查。

加速：除了WEB應(yīng)用的安全性，數(shù)據(jù)中心還負(fù)責(zé)應(yīng)用的可用性和響應(yīng)時(shí)間。將加速功能 (TCP 池，緩存，GZIP壓縮)和可用性功能（負(fù)載均衡，內(nèi)容交換，健康檢查）在一個(gè)單一的節(jié)點(diǎn)處結(jié)合起來會(huì)顯著地簡化數(shù)據(jù)中心的體系結(jié)構(gòu)，以此來降低成本。

法律合規(guī)性

由于當(dāng)今Web攻擊日益嚴(yán)重，加上與它們相關(guān)的攻擊與日俱增，因此研發(fā)一種測試產(chǎn)品安全性的標(biāo)準(zhǔn)來全面保護(hù)應(yīng)用顯得至關(guān)重要。

兩個(gè)站在定義應(yīng)用安全前線的組織機(jī)構(gòu)是：

·開放Web應(yīng)用安全項(xiàng)目 (OWASP),這是一個(gè)致力于尋找和攻克危險(xiǎn)軟件的組織。OWASP所規(guī)定的前十項(xiàng)要求提供了最低標(biāo)準(zhǔn)的應(yīng)用安全。梭子魚WEB應(yīng)用防火墻能夠輕松解決前十項(xiàng)最普遍的WEB安全漏洞問題。請(qǐng)瀏覽OWASP官方網(wǎng)站：www.owasp.org.

Web應(yīng)用安全聯(lián)盟 (WASC)是一個(gè)包含專家、行業(yè)人員、和生產(chǎn)開源應(yīng)用安全標(biāo)準(zhǔn)的組織代表的國際組織。聯(lián)盟新的 “Web應(yīng)用防火墻評(píng)測標(biāo)準(zhǔn)” (WAFEC)是一個(gè)為提供獨(dú)立的、與廠家無關(guān)的WEB應(yīng)用防火墻產(chǎn)品的評(píng)測標(biāo)準(zhǔn)。符合了這些標(biāo)準(zhǔn)意味著能夠確保進(jìn)入的數(shù)據(jù)都是安全的。自從標(biāo)準(zhǔn)出臺(tái)以來，梭子魚WEB應(yīng)用防火墻就著手開始滿足WASC-WAFEC評(píng)測標(biāo)準(zhǔn)的工作。下表表明了梭子魚WEB應(yīng)用防火墻如何滿足這些標(biāo)準(zhǔn)，包括終止，安全，加速和會(huì)話控制等功能。

#p#

三．秀洲區(qū)政府梭子魚WEB應(yīng)用防火墻使用報(bào)告

1.物理安裝

根據(jù)秀洲區(qū)政府的網(wǎng)絡(luò)情況，梭子魚推薦使用雙臂透明模式進(jìn)行部署。在這種部署模式下，梭子魚物理部署在兩臺(tái)web服務(wù)器之前，成為web服務(wù)器的安全屏障；在配置上，只需為梭子魚WEB應(yīng)用防火墻分配一個(gè)管理IP地址，并且為后臺(tái)web服務(wù)器開啟相應(yīng)的HTTP應(yīng)用即可。

2.策略調(diào)整

在完成初步的安裝和配置后，觀察秀洲區(qū)政府的網(wǎng)站運(yùn)行情況，通過訪問秀洲區(qū)政府的網(wǎng)站觀察網(wǎng)頁的打開是否正常，并觀察日志對(duì)其進(jìn)行分析。根據(jù)分析結(jié)果對(duì)梭子魚WEB應(yīng)用防火墻進(jìn)行策略調(diào)整。具體步驟如下：

（1）網(wǎng)站日常訪問測試

部署完畢后，訪問網(wǎng)站正常，但是發(fā)現(xiàn)管理員向web服務(wù)器上傳數(shù)據(jù)時(shí)被梭子魚阻斷，通過觀察梭子魚的日志，發(fā)現(xiàn)上傳的數(shù)據(jù)的大小和所帶參數(shù)已經(jīng)達(dá)到所定義的攻擊范圍，因此被阻斷。具體信息及策略調(diào)整說明如下圖所示：

通過對(duì)梭子魚進(jìn)行策略調(diào)整，保證內(nèi)部的正常請(qǐng)求和操作被放行，大大降低了誤判率。

（2）漏洞掃描

使用掃描工具對(duì)網(wǎng)站進(jìn)行漏洞掃描，結(jié)果如下：

下圖為整體掃描的數(shù)據(jù)統(tǒng)計(jì)：

其中紅色為嚴(yán)重的漏洞。漏洞詳情如下圖所示：

點(diǎn)擊漏洞中包含的連接，由于找不到相應(yīng)的內(nèi)容，網(wǎng)站將顯示W(wǎng)eb服務(wù)器的版本信息等，如下圖所示：

其中版本信息中之處服務(wù)器為IBM，Web應(yīng)用為Apache，版本號(hào)1.3.28等重要信息。對(duì)用戶帶來極大的隱患。

此時(shí)，必須對(duì)策略進(jìn)行相應(yīng)的修改，才能保證用戶的Web應(yīng)用的安全。

（3）策略調(diào)整

進(jìn)入應(yīng)用的Web Firewall頁面，然后進(jìn)入U(xiǎn)RL ACLs，添加策略，如下圖所示：

詳細(xì)策略信息如下：

如圖所示，根據(jù)掃描出的漏洞所示，將Host Match設(shè)為*,表示掃描所有源主機(jī)請(qǐng)求，將/WEB-INF/*加入U(xiǎn)RL Match，*表示所有；Action選為Deny，相應(yīng)選為Redirect，然后將秀州區(qū)政府的主頁作為重定向頁面，這樣所有試圖訪問這個(gè)受限頁面的請(qǐng)求將被重定向到主頁。如下圖所示：

在URL中輸入這個(gè)鏈接，后面隨便添加任何字符，然后回車，頁面將被直接重定向到主頁，原本的錯(cuò)誤信息將不再被顯示，達(dá)到了隱藏后臺(tái)信息的目的。

一．NC Web firewall Logs 顯示

通過觀察NC的日志信息，可以清晰看到策略的擊中情況，如下圖所示：

點(diǎn)擊Details查看詳細(xì)信息，如下圖所示：

（4）深入掃描

在上述策略調(diào)整后，整個(gè)系統(tǒng)已經(jīng)處于穩(wěn)定運(yùn)行的狀態(tài)，接下來對(duì)系統(tǒng)進(jìn)行深入的掃描和分析。

本次掃描使用專業(yè)的MatriXay軟件進(jìn)行，掃描結(jié)果如下：

根據(jù)掃描結(jié)果得知，系統(tǒng)存在網(wǎng)頁篡改的風(fēng)險(xiǎn)，并對(duì)其進(jìn)行驗(yàn)證，如下圖所示：

由圖可知，只需在ULR中添加任何字符，就能在頁面上顯示，此處添加“jasper”，網(wǎng)頁上就會(huì)顯示“jasper”的字樣，如果被黑客非法侵入，那么此處可能就會(huì)顯示惡意的文字信息，嚴(yán)重危害到政府機(jī)關(guān)的公眾形象。

根據(jù)這種情況，需要對(duì)梭子魚進(jìn)行進(jìn)一步的策略調(diào)整，防止任何非法字符。具體設(shè)置如下所示：

再次進(jìn)行測試，非法字符被成功阻斷：