嘉兴市秀洲区政府 梭子鱼应用防火墙解决方案

安全
根据秀州区政府的网络环境和需求,梭子鱼为秀洲区政府提供梭子鱼应用防火墙,部署在两台Web服务器之前,实现反向代理,达到保护Web服务器的目的。

一.项目简介

1.用户背景

秀洲--位于浙江省杭嘉湖平原,东邻上海,西靠杭州,南濒杭洲湾,北接苏州,是上海经济区的黄金腹地,也是浦东开发区的理想延伸地,极具开发潜力。是国务院确定为先行规划、先行发展的重点沿海开放地区之一。区域经济极富成长性和开放性,经济增势强劲。GDP、财政收入、居民人均收入等主要经济指标增幅高于“长三角”16个城市平均水平。近年来,秀洲区的经济增长率一直保持在 15%以上,2005年人均GDP达4745美元,三资企业总投资年均增长100%以上,外贸出口年均增长50%以上,外资投资企业达180多家。服务业发展迅速、市场体系日趋完善。

当今企业通过门户网站将企业信息、最新动态等公布于众,通过Web这个平台展现自身的发展情况,树立良好的企业形象。嘉兴秀州区政府通过使用两台Web服务器作为自己的门户网站,对外开放相关信息,与市民取得互动。

然而,当今对于Web服务器的攻击威胁越来越普遍,手法也越来越多样化。攻击将造成严重的后果,轻者将使Web服务器无法工作,市民无法正常浏览网站;重者将直接篡改网站内容,严重损害政府形象。因此,保证Web服务器的安全显得尤为重要。为Web服务器提供一道完善的防护迫在眉睫。

2.用户需求

根据秀洲区政府额要求,Web服务器应该受到严密的保护,避免遭受任何针对Web服务器发起的攻击,这些攻击包括:

1.跨站脚本攻击

2.SQL注入攻击

3.网页篡改

4.cookie中毒

5.缓冲区溢出

6.参数篡改

7.错误返回信息截取等

二.梭子鱼应用防火墙解决方案

1.秀洲区政府梭子鱼应用防火墙解决方案

根据秀州区政府的网络环境和需求,梭子鱼为秀洲区政府提供梭子鱼应用防火墙,部署在两台Web服务器之前,实现反向代理,达到保护Web服务器的目的。

秀州区政府服务器网络原始拓扑图如下所示:

 

由图可知,外部的请求通过网络防火墙直接访问到两台Web服务器,由于网络防火墙无法检查HTTP协议的内容,所以恶意的攻击很容易渗入网络内部。这样的网络无法为Web服务器提供安全防护,其实质就等于将Web服务器暴露于公网。

通过在Web服务器前部署一台梭子鱼应用防火墙来达到保护门户网站目的。加固后网络拓扑如下图所示:

 

由图可知,来自外部的请求将首先经过梭子鱼应用防火墙,经过严格的扫描后再发送给后台服务器,大大提高了网站的安全性。

梭子鱼通过终止、安全(扫描)和加速来实现安全和优化的双重效果。如下图所示:

 

2.梭子鱼WEB应用防火墙简介

梭子鱼应用防火墙的原理:

梭子鱼应用防火墙通过代理(Proxy)帮助企业建起防线! 基于会话的双向代理不仅能应用在网络层,同时还能应用在HTTP应用层上,确保内部服务器操作系统和TCP堆栈不直接暴露在Internet,保障web应用的安全。

 

 

 

 


图二 Web应用防火墙的原理

梭子鱼WEB应用防火墙功能:

终止:梭子鱼WEB应用防火墙有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。 梭子鱼WEB应用防火墙将对应用流量(向内和向外)进行全面的检查,并管理每一个会话。通过TCP握手切断任何基于TCP的DOS攻击。在终止会话的同时,应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权,检查所有的HTTP 内容,解释和建立规则。

安全:一旦某个会话被梭子鱼WEB应用防火墙终止并被控制,将会对向内或向外的流量进行多种检查,以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进行检查。

加速:除了WEB应用的安全性,数据中心还负责应用的可用性和响应时间。将加速功能 (TCP 池,缓存,GZIP压缩)和可用性功能(负载均衡,内容交换,健康检查)在一个单一的节点处结合起来会显著地简化数据中心的体系结构,以此来降低成本。

法律合规性

由于当今Web攻击日益严重,加上与它们相关的攻击与日俱增,因此研发一种测试产品安全性的标准来全面保护应用显得至关重要。

两个站在定义应用安全前线的组织机构是:

·开放Web应用安全项目 (OWASP),这是一个致力于寻找和攻克危险软件的组织。OWASP所规定的前十项要求提供了最低标准的应用安全。梭子鱼WEB应用防火墙能够轻松解决前十项最普遍的WEB安全漏洞问题。请浏览OWASP官方网站:www.owasp.org.

Web应用安全联盟 (WASC)是一个包含专家、行业人员、和生产开源应用安全标准的组织代表的国际组织。联盟新的 “Web应用防火墙评测标准” (WAFEC)是一个为提供独立的、与厂家无关的WEB应用防火墙产品的评测标准。符合了这些标准意味着能够确保进入的数据都是安全的。自从标准出台以来,梭子鱼WEB应用防火墙就着手开始满足WASC-WAFEC评测标准的工作。下表表明了梭子鱼WEB应用防火墙如何满足这些标准,包括终止,安全,加速和会话控制等功能。

 

#p#

三.秀洲区政府梭子鱼WEB应用防火墙使用报告

1.物理安装

根据秀洲区政府的网络情况,梭子鱼推荐使用双臂透明模式进行部署。在这种部署模式下,梭子鱼物理部署在两台web服务器之前,成为web服务器的安全屏障;在配置上,只需为梭子鱼WEB应用防火墙分配一个管理IP地址,并且为后台web服务器开启相应的HTTP应用即可。

2.策略调整

在完成初步的安装和配置后,观察秀洲区政府的网站运行情况,通过访问秀洲区政府的网站观察网页的打开是否正常,并观察日志对其进行分析。根据分析结果对梭子鱼WEB应用防火墙进行策略调整。具体步骤如下:

(1)网站日常访问测试

部署完毕后,访问网站正常,但是发现管理员向web服务器上传数据时被梭子鱼阻断,通过观察梭子鱼的日志,发现上传的数据的大小和所带参数已经达到所定义的攻击范围,因此被阻断。具体信息及策略调整说明如下图所示:

 

 

 

 

 

通过对梭子鱼进行策略调整,保证内部的正常请求和操作被放行,大大降低了误判率。

(2)漏洞扫描

使用扫描工具对网站进行漏洞扫描,结果如下:

下图为整体扫描的数据统计:

 

其中红色为严重的漏洞。漏洞详情如下图所示:

 

 

 

点击漏洞中包含的连接,由于找不到相应的内容,网站将显示Web服务器的版本信息等,如下图所示:

 

其中版本信息中之处服务器为IBM,Web应用为Apache,版本号1.3.28等重要信息。对用户带来极大的隐患。

此时,必须对策略进行相应的修改,才能保证用户的Web应用的安全。

(3)策略调整

进入应用的Web Firewall页面,然后进入URL ACLs,添加策略,如下图所示:

 

详细策略信息如下:

 

如图所示,根据扫描出的漏洞所示,将Host Match设为*,表示扫描所有源主机请求,将/WEB-INF/*加入URL Match,*表示所有;Action选为Deny,相应选为Redirect,然后将秀州区政府的主页作为重定向页面,这样所有试图访问这个受限页面的请求将被重定向到主页。如下图所示:

 

在URL中输入这个链接,后面随便添加任何字符,然后回车,页面将被直接重定向到主页,原本的错误信息将不再被显示,达到了隐藏后台信息的目的。

一.NC Web firewall Logs 显示

通过观察NC的日志信息,可以清晰看到策略的击中情况,如下图所示:

 

点击Details查看详细信息,如下图所示:

 

(4)深入扫描

在上述策略调整后,整个系统已经处于稳定运行的状态,接下来对系统进行深入的扫描和分析。

本次扫描使用专业的MatriXay软件进行,扫描结果如下:

 

根据扫描结果得知,系统存在网页篡改的风险,并对其进行验证,如下图所示:

 

由图可知,只需在ULR中添加任何字符,就能在页面上显示,此处添加“jasper”,网页上就会显示“jasper”的字样,如果被黑客非法侵入,那么此处可能就会显示恶意的文字信息,严重危害到政府机关的公众形象。

根据这种情况,需要对梭子鱼进行进一步的策略调整,防止任何非法字符。具体设置如下所示:

 

再次进行测试,非法字符被成功阻断:

 


 

责任编辑:守望幸福1 来源: 51CTO.com
相关推荐

2009-07-02 15:34:11

2011-03-15 17:01:40

2011-07-06 14:30:37

2009-05-12 09:40:26

2011-07-21 13:28:30

2011-12-09 13:06:12

2012-02-24 15:34:39

2012-02-17 18:06:09

2011-04-20 21:46:33

2010-06-14 23:06:32

2012-02-13 13:22:10

2009-05-12 10:08:37

2012-02-09 16:33:52

2009-06-04 13:23:57

2012-02-01 14:56:53

梭子鱼负载均衡

2015-12-07 16:32:30

2012-10-23 13:29:49

2014-07-10 15:42:43

下一代防火墙

2011-07-13 09:42:09

2011-05-17 22:47:23

点赞
收藏

51CTO技术栈公众号