一、项目背景
某单位杂志社门户网站中国畜牧兽医信息网www.cav.net.cn为全国群众提供有关畜牧方面的各类技术支持以及相关法律法规的宣传工作,对我国畜牧业的发展起着非常重要的意义。
目前某单位杂志社机房,放置了一台对外发布的Web服务器,主要向因特网外网区域提供服务,所以面临来自外网繁杂的安全威胁,作为国家畜牧技术及信息的门户网站,其安全保障意义重大。
二、现状分析
2.1 现网安全分析
某单位杂志社网站的对外发布的Web服务器位于某单位的总机房内,并直接连接到路由器,具有两条网络链路出口,一条为直接连接互联网,一条为2M的专线连接到农业部总局。具体网络如图1所示。
图1某单位杂志社网络现状
由于Web服务器前端缺乏网络安全设备的防护,导致目前中国畜牧兽医信息网经常遭到黑客的攻击,比如网页的篡改、网页挂马、甚至导致网络用户无法正常访问网站的现状,严重影响了某单位的形象以及日常工作的正常进行。由于安全防护的不足,必须要求网管运维人员频繁对网站进行监督以及对攻击的破坏行为进行及时修改,在很大程度上造成了管理人员的工作压力。
2.2 现网安全威胁
面对现网防护能力不足的情况,主要会导致以下安全威胁:
1、网页篡改问题
网页篡改是指攻击者利用Web应用程序漏洞将正常的Web网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响,但对于重要的Web业务,需要与用户通过Web业务进行沟通的应用而言,就意味着Web业务将被迫停止服务,对某单位杂志社的经济利益、企业形象及信誉会造成严重的损害。
2、网页挂马问题
网页挂马也是利用Web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了网页的完整性。网页挂马会导致Web业务的最终用户成为受害者,成为攻击者的帮凶或者造成自身的经济损失。这种问题出现在Web业务中也严重影响某单位杂志社的正常运作并影响到公司的公信度。
3、漏洞利用攻击
利用web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,可造成使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。
4、敏感信息泄漏问题
这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于承载多种Web业务而言是致命的打击,可产生巨大的经济损失。
5、无法响应正常服务的问题
黑客通过DOS/DDOS拒绝服务攻击使WEB服务器无法响应正常请求。这种攻击行为使得Web服务器充斥大量要求回复的信息,严重消耗网络系统资源,导致Web业务无法响应正常的服务请求。对于Web业务而言是巨大的威胁。
为了防止网站及服务器遭到攻击及破坏,我们急需建立一个安全的网络环境以保证网站的正常访问和降低网管人员的工作压力。
三、解决方案
3.1 建议方案
通过对某单位杂志社网络的综合分析,保证业务的正常进行,现需要在Web服务器前增加一台深信服防火墙来保证整个网络的安全要求。如图2所示。
图2某单位杂志社网络安全建设方案
3.2 方案价值
深信服下一代防火墙部署在服务器前端,避免了服务器遭受黑客的各种攻击,防止了网页篡改、网页挂马、系统瘫痪等威胁,有效的降低了网管人员的工作压力。
其具体价值点表现为:
1. 全面的防护能力
下一代应用防火墙并不等同于传统设备功能的叠加,而是智能的融合了传统防火墙、系统漏洞入侵防护、web应用漏洞防护、网关病毒查杀、APT攻击检测和防护等多种安全功能,并且实现了多个安全模块之间的智能联动以及全模块开启高性能的特点,保证业务系统的高可靠性。
2.便捷的网络管理
设计方案采用了目前安全系统通用的、成熟的架构设计方案,一体化的安全设备更易于用户的管理和运维,大大提升了工作效率。
3.高可用性
产品已在市场上长期使用,不存在较难解决的新设备、新技术带来的技术难点,厂家、代理商、集成商的技术人员基本都可以调试配置,一旦硬件损坏也有替换产品进行快速替换。
4.易延展性
当前服务器只作为Web网站系统的平台,后期如有业务增加需求,比如邮箱服务、数据存储等业务,深信服下一代防火墙可对其进行全面的防护,保证各类业务的正常进行。
四、设备功能详解
4.1下一代防火墙安全防护
在Web服务器前端部署深信服下一代防火墙设备。提供L2-7层的防护,全面应对来自应用层的各种威胁攻击
4.2全面的应用安全防护能力
深信服下一代防火墙,是面向应用层设计,能精确识别用户、应用和内容、具备完整的安全防护能力,是国内唯一同时融合FW、IPS、WAF、AV功能并能智能联动的L2-L7层一体化安全防护产品。
4.3基于应用的深度入侵防御
深信服下一代防火墙的灰度威胁关联分析引擎具备4800+条漏洞特征库、2500+We应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;围绕“深层防御、精确阻断”这个核心,通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全, 可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断。另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
4.4强化的WEB攻击防护
深信服下一代防火墙能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服下一代防火墙为国内同类产品评分最高),防SQL注入攻击、XSS跨站脚本攻击、CSRF攻击、主动防御技术(自动建模,防0-DAY攻击)、应用信息隐藏、URL防护、弱口令防护、HTTP异常检测、文件上传过滤、用户登陆权限防护,对Web登陆方式、非Web登陆方式(telnet、irc、ldap、mysql、pop3、RDP等)进行强化保护,提供登陆前短信动态口令认证功能,黑客即使成功获取管理员账户口令,因无法获取动态验证口令,也无法完成对目标系统的访问,从而杜绝账户盗用、非授权访问等风险。
4.5完整的终端安全保护
病毒防护,深信服下一代防火墙提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar等)中的病毒。
基于终端的漏洞防护,内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。深信服下一代防火墙同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。
僵尸网络检测,僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。深信服下一代防火墙提供业界最大的僵尸网络特征库,能够通过检测服务器和终端外发流量的异常的特征,来判断外发的流量是否存在威胁,是否成为僵尸网络的一部分,可以解决长期被动利用和新型病毒木马导致的恶意流量外发的问题。
4.6独特的双向内容检测技术
网关型网页防篡改,网页防篡改是深信服下一代防火墙服务器防护中的一个子模块,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题
深信服下一代防火墙提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。
4.7智能的网络安全防御体系
安全风险评估与策略联动,深信服下一代防火墙基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。
智能的防护模块联动,智能的主动防御技术可实现深信服下一代防火墙内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。
4.8更高效的应用层处理能力
为了实现强劲的应用层处理能力,深信服下一代防火墙抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,深信服下一代防火墙也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力
五、建议设备型号
根据中国畜牧兽医信息网的数据统计,目前每天的访问量大约为2000人左右,同时在线人数为20~30人,考虑到后期扩容,人数可能发展到70~80人。
依此选择型号为:AF-1520
