日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
安信華助力北京大學(xué)web應(yīng)用系統(tǒng)安全防護(hù)

背景介紹

北京大學(xué)創(chuàng)辦于1898年,初名京師大學(xué)堂,是中國(guó)第一所國(guó)立綜合性大學(xué),也是當(dāng)時(shí)中國(guó)最高教育行政機(jī)關(guān)。辛亥革命后,于1912年改為現(xiàn)名。北京大學(xué)內(nèi)包含多個(gè)學(xué)院,每個(gè)學(xué)院都有不同的系,而每個(gè)學(xué)院和系都有對(duì)外的功能性網(wǎng)站,這些網(wǎng)站不但向社會(huì)展現(xiàn)著北大形象的一個(gè)窗口,也是師生們學(xué)習(xí)溝通的橋梁與平臺(tái),與整個(gè)北京大學(xué)正常教育的開(kāi)展息息相關(guān)。

北京大學(xué)一直非常重視網(wǎng)絡(luò)建設(shè),網(wǎng)絡(luò)中已經(jīng)部署了多臺(tái)防火墻、IPS等網(wǎng)絡(luò)安全產(chǎn)品,有些院系也曾經(jīng)購(gòu)買過(guò)專門的網(wǎng)頁(yè)防篡改軟件。但是,在網(wǎng)絡(luò)運(yùn)營(yíng)過(guò)程中,他們發(fā)現(xiàn)其web服務(wù)器依然遭受到SQL注入、網(wǎng)頁(yè)掛馬等惡意威脅的侵入。在此情況下,北京大學(xué)決定采用當(dāng)前安全市場(chǎng)上最熱門WAF產(chǎn)品和技術(shù)來(lái)保護(hù)他們的web應(yīng)用系統(tǒng)安全。在測(cè)試對(duì)比同類產(chǎn)品后,北京大學(xué)最終選擇了安信華Web應(yīng)用安全網(wǎng)關(guān)(簡(jiǎn)稱WAF) S系列。

目前很多國(guó)外廠商的WAF產(chǎn)品主要針對(duì)支付行業(yè),而相比來(lái)看國(guó)內(nèi)的主要用戶則集中在高校和政府行業(yè)。安信華作為一家純內(nèi)資的安全公司,致力于做出適合國(guó)內(nèi)web安全需求和發(fā)展趨勢(shì)的產(chǎn)品。安信華WAF產(chǎn)品S系列基于對(duì)HTTP/HTTPS流量?jī)?nèi)容的雙向檢測(cè)分析,識(shí)別檢測(cè)各類web編碼、交互技術(shù)、URL參數(shù)以及窗體輸入等,為web應(yīng)用平臺(tái)提供實(shí)時(shí)、動(dòng)態(tài)的主動(dòng)性防護(hù)。同時(shí)安信華還配備專業(yè)團(tuán)隊(duì)提供規(guī)則庫(kù)與防護(hù)算法的升級(jí)服務(wù)、web系統(tǒng)風(fēng)險(xiǎn)評(píng)估和web系統(tǒng)運(yùn)營(yíng)監(jiān)控服務(wù),為客戶提供web站點(diǎn)運(yùn)營(yíng)全生命周期的安全防御方案。

圖1:安信華WAF核心功能架構(gòu)示意圖

北京大學(xué)Web應(yīng)用系統(tǒng)安全運(yùn)營(yíng)需求

北京大學(xué)其內(nèi)部web站點(diǎn)域名多達(dá)1000多個(gè),而且呈分散性部署,很多服務(wù)器分散在各個(gè)院系的網(wǎng)絡(luò)中(如下圖2所示),龐大的數(shù)量和分散部署性使得網(wǎng)站的安全運(yùn)維與管理成了很頭疼的問(wèn)題,何況網(wǎng)站會(huì)不時(shí)遭受攻擊。

圖2:原有網(wǎng)絡(luò)拓?fù)鋱D

解決方案

如上圖2所示,北大擁有眾多的分布在各個(gè)教學(xué)樓里的服務(wù)器:

" 如果每個(gè)教學(xué)樓都部署一臺(tái)web應(yīng)用防火墻,不僅會(huì)造成資源的浪費(fèi)也會(huì)使部署和日常管理更加繁雜;

" 如果把web應(yīng)用防火墻架設(shè)在核心交換機(jī)上,那么因?yàn)樗性盒5挠脩襞c服務(wù)器都是使用一個(gè)核心交換訪問(wèn),核心交換的數(shù)據(jù)量很大(基本都是工作在萬(wàn)兆模式下),如此一來(lái)一臺(tái)應(yīng)用層的設(shè)備肯定不能勝任的,勢(shì)必要選用多臺(tái)設(shè)備負(fù)載均衡的部署模式。

安信華在充分了解用戶的需求和困擾后,結(jié)合其web應(yīng)用防火墻設(shè)備架設(shè)部署靈活的特點(diǎn),為用戶提供了以下的解決方案:

如下圖3所示,使用一臺(tái)交換機(jī)連接各接入交換機(jī),利用STP優(yōu)先級(jí)技術(shù)使得服務(wù)器相應(yīng)的vlan流量?jī)?yōu)先通過(guò)服務(wù)器交換機(jī)到達(dá)核心,而用戶機(jī)的流量依然通過(guò)匯聚交換機(jī)到達(dá)核心。在服務(wù)器交換機(jī)與核心交換機(jī)中間部署安信華S900設(shè)備對(duì)網(wǎng)站的威脅進(jìn)行過(guò)濾。

圖3:部署WAF后的拓?fù)鋱D#p#

對(duì)于以上方案設(shè)計(jì)有如下特點(diǎn):

" 1、透明部署,簡(jiǎn)單方便。

透明部署不改變用戶網(wǎng)絡(luò)原有的物理拓?fù)?,并且安信華WAF支持對(duì)單個(gè)或多個(gè)vlan的過(guò)濾,這就使得過(guò)濾來(lái)自于各個(gè)教學(xué)樓的流量更加便利。

" 2、即插即用,適用強(qiáng),配置方便,簡(jiǎn)單快捷地建立高校IDC網(wǎng)站群運(yùn)營(yíng)防護(hù)策略。

安信華WAF默認(rèn)安全策略精確度高, 適應(yīng)性強(qiáng), 方便為眾多服務(wù)器群配置統(tǒng)一的安全策略,而不需要復(fù)雜的調(diào)配過(guò)程,適用北大這種服務(wù)器眾多,內(nèi)容經(jīng)常不定時(shí)變化的校園IDC運(yùn)營(yíng)的需要。之前,北京大學(xué)曾經(jīng)試用過(guò)國(guó)內(nèi)外眾多的專業(yè)web應(yīng)用防火墻產(chǎn)品,但是很多產(chǎn)品規(guī)則策略配置很復(fù)雜,即使功能很強(qiáng)大,因?yàn)閺?fù)雜的配置操作原因,很多防護(hù)理念或原理很好的功能不能充分使用,從而發(fā)揮應(yīng)有的作用。安信華WAF即插即用的策略配置,大大簡(jiǎn)化了管理員的策略配置,此功能受到北大網(wǎng)絡(luò)運(yùn)維老師的好評(píng),也是北大選擇安信華WAF的重要原因之一。

" 3、高性能WAF帶給高校IDC高性價(jià)比的防護(hù)方案

安信華S900設(shè)備最高HTTP吞吐可以達(dá)到1G,目前單一設(shè)備同時(shí)保護(hù)著北大300多個(gè)核心網(wǎng)站的運(yùn)營(yíng),并且不僅為這些站點(diǎn)提供常見(jiàn)的web應(yīng)用攻擊防御功能,還提供針對(duì)北大學(xué)生上傳作業(yè)和論文附件的病毒過(guò)濾功能。

" 4、支持對(duì)多個(gè)網(wǎng)站管理員的分級(jí)管理和資產(chǎn)導(dǎo)入,方便高效IDC的運(yùn)營(yíng)管理。

安信華WAF針對(duì)多個(gè)網(wǎng)站的分級(jí)管理和資產(chǎn)導(dǎo)入功能解決北大眾多網(wǎng)站所帶來(lái)的策略維護(hù)與管理的問(wèn)題,設(shè)備管理員可以給各個(gè)網(wǎng)站管理員分配不同的權(quán)限來(lái)管理各自的web服務(wù)器,并可批量將防護(hù)網(wǎng)站信息列表導(dǎo)入到WAF中,以便針對(duì)各個(gè)不同的站點(diǎn)設(shè)置不同的防護(hù)策略,并且方便設(shè)備管理員聯(lián)系網(wǎng)站管理員,發(fā)布各種防護(hù)告警通告或通知。北大認(rèn)為此功能大大方便了其IDC的運(yùn)營(yíng)管理,推動(dòng)了其web安全運(yùn)營(yíng)業(yè)務(wù)的開(kāi)展。

方案效果及價(jià)值

在安信華WAF設(shè)備上線之后北大的管理人員對(duì)其防護(hù)效果進(jìn)行了較長(zhǎng)時(shí)間的跟蹤,總結(jié)如下:

1、設(shè)備性能與運(yùn)行穩(wěn)定性良好

安信華WAF在同時(shí)保護(hù)著北大300多個(gè)核心網(wǎng)站正常運(yùn)營(yíng)的同時(shí),其設(shè)備運(yùn)行穩(wěn)定,其CPU使用率趨勢(shì)圖如下圖4所示,CPU最大使用率13%,內(nèi)存最大使用率30%。

圖4:CPU使用率趨勢(shì)圖

2、有效攔截SQL注入、XSS等攻擊流量,加強(qiáng)了網(wǎng)站運(yùn)營(yíng)的安全性。

下圖5為4月1日至4月10日安信華WAF設(shè)備每天攔截的攻擊事件統(tǒng)計(jì)圖,其中攔截攻擊事件最多的是4月7日,接近18萬(wàn),攔截攻擊事件最少的是4月4日,7.2萬(wàn)多。

圖5:設(shè)備攔截的惡意行為或攻擊截圖

下圖6為前10名的攻擊排名,從該圖可以看出未授權(quán)的非法訪問(wèn)、SQL注入、XSS攻擊、弱口令攻擊等這些web應(yīng)用攻擊事件非常突出。

圖6:前10名攻擊排名圖#p#

目前SQL注入、XSS攻擊是黑客最常用的2種攻擊手段,造成的危害也很大,可以篡改網(wǎng)站、偷竊用戶數(shù)據(jù)、用于網(wǎng)絡(luò)釣魚(yú)、網(wǎng)站掛馬等。部署安信華WAF后,北大網(wǎng)絡(luò)運(yùn)維的管理人員反映網(wǎng)站被掛馬的現(xiàn)象大大減少,而且安信華的WAF還提供了掛馬監(jiān)測(cè)過(guò)濾功能,對(duì)未部署WAF設(shè)備前已經(jīng)被掛馬的頁(yè)面,將及時(shí)報(bào)警給管理員,協(xié)助管理員清除已有威脅,進(jìn)一步降低站點(diǎn)運(yùn)營(yíng)風(fēng)險(xiǎn)。

3. webshell檢測(cè)過(guò)濾與偵測(cè)功能效果明顯

日前webshell盛行,能夠防御4000多種webshell也是安信華WAF的很大特色。經(jīng)長(zhǎng)時(shí)間的觀察分析Cernet流量,發(fā)現(xiàn)在教育網(wǎng)絡(luò)中利用webshell達(dá)到攻擊服務(wù)器的現(xiàn)象非常普遍。webshell常常被入侵者利用通過(guò)Web服務(wù)端口對(duì)Web服務(wù)器進(jìn)行操控,由于其大多是以網(wǎng)頁(yè)腳本的形式出現(xiàn),也稱之為網(wǎng)站后門工具,簡(jiǎn)單的說(shuō)來(lái),webshell就是一個(gè)asp或php木馬后門,黑客在入侵了一個(gè)網(wǎng)站后,常常在將這些asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁(yè)文件混在一起,然后黑客就可以用web的方式,通過(guò)asp或php木馬后門控制網(wǎng)站服務(wù)器,如下圖7所示的webshell,提供文件下載、數(shù)據(jù)庫(kù)備份、執(zhí)行SQL語(yǔ)句、批量掛馬等等簡(jiǎn)單易上手的攻擊破壞功能,入侵者只需簡(jiǎn)單的操作就可以輕松實(shí)現(xiàn)對(duì)web應(yīng)用系統(tǒng)的很多入侵破壞活動(dòng)。

圖7:Webshell實(shí)例

因?yàn)閃ebshell通常嵌套在正常網(wǎng)頁(yè)中運(yùn)行,不容易被查殺,并且其與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過(guò)80端口傳遞的,因此不會(huì)被網(wǎng)絡(luò)防火墻攔截。并且使用webshell一般不會(huì)在系統(tǒng)日志中留下記錄,只會(huì)在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄,沒(méi)有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡的。因此,安信華采取了多種途徑進(jìn)行webshell的檢測(cè)過(guò)濾與偵測(cè)監(jiān)控,即使在網(wǎng)站已經(jīng)被植入webshell的情況下也能通過(guò)檢測(cè)過(guò)濾webshell請(qǐng)求操作特征和攻擊特征來(lái)阻斷黑客的各種非法操作和攻擊行為。下圖8、為安信華WAF在 1月24日、1月25日攔截的webshell日志,攻擊者企圖上傳擴(kuò)展名為JSP的文件,經(jīng)安信華WAF檢測(cè)發(fā)現(xiàn)實(shí)際上是web后門。

圖8:webshell攔截日志

綜上所述,安信華針對(duì)北大網(wǎng)站群的保護(hù),不僅從功能上能防御常見(jiàn)的SQL注入、XSS腳本攻擊、命令行注入等,還可以對(duì)目前流行的網(wǎng)頁(yè)掛馬、webshell等進(jìn)行有效的檢測(cè)過(guò)濾與監(jiān)控阻止,效果明顯,并且性能經(jīng)受住了考驗(yàn),而且其分級(jí)管理和資產(chǎn)管理功能,能夠協(xié)助北大校園IDC安全運(yùn)維管理工作的開(kāi)展,大大減輕了網(wǎng)絡(luò)管理員的工作量。

除了以上安信華WAF自身的易部署性、易管理、良好的功能與性能,安信華還為其客戶配備了其網(wǎng)絡(luò)安全試驗(yàn)室的專業(yè)服務(wù),不僅提供日常的升級(jí)服務(wù),還提供了網(wǎng)站安全運(yùn)營(yíng)的監(jiān)控服務(wù),不僅使北大的眾多web服務(wù)器時(shí)刻處在最新的保護(hù)下,而且是一個(gè)網(wǎng)站運(yùn)營(yíng)全生命周期的安全解決方案,是一種持續(xù)有效的防護(hù)方案,而不僅僅只是部署一臺(tái)設(shè)備。


文章名稱:安信華助力北京大學(xué)web應(yīng)用系統(tǒng)安全防護(hù)
網(wǎng)頁(yè)路徑:http://m.5511xx.com/article/djphgic.html