让黑客无计可施 安达通网站防护解决方案

　　------杜绝信息泄露，让黑客无计可施

　　第一部分 概述

　　2011年12月，是中国互联网“黑色”的一个月，据多家媒体披露多达千万用户信息大规模泄露。从国内最大的计算机技术社区到国内各大论坛社区，以及网络支付平台无一幸免。不管是作为中国互联网的长寿产品，还是近年来迅猛发展的互联网公司，都一一淹没在了用户信息泄露的舆论声中。

　　您的网站在使用过程中遭到过攻击么？您的网站有被黑客篡改的一塌糊涂么？对于访问您公司网站的计算机，尤其是访问核心关键数据的服务器的行为进行监控记录了么？您是否希望自己的网站能够在黑客攻击中完好无损，立于不败之地？如果您有这样的需求，那么安达通网站防护解决方案就是您最好的选择!

　　第二部分 网站防护解决方案介绍

    2.1风险分析

　　频频出现在国内各知名网站的关于“数据库被黑客攻陷导致用户信息泄露”的新闻，事件过程大致都是黑客入侵了网站的web服务器，盗取了大量用户注册信息，其中包括注册邮箱、用户名、密码(多是密文、部分网站是明文)，并将这些数据在互联网中进行传播，给广大网民和网站运营商带来很大的恐慌，使得相当一部分人陷入了不停修改账户密码的深渊中。

　　“黑客”、“网络安全”、“信息泄露”这些字眼再度引起大家的关注，到底是黑客技术太高导致黑客攻击行为日益猖獗，还是网站自身安全意识不够导致安全问题频出呢？首先我们了解一下黑客惯用用的十种攻击方式：

　　一、缓冲区溢出攻击。由于应用程序的编码会尝试将应用数据存储于缓存中，而不是正常的分配，这种漏洞往往被黑客所利用，变为攻击手段。因为借助这种错误，恶意代码就可以溢出到另外一个缓存中去执行。

　　二、跨站点脚本攻击。攻击类型的代码数据可以被插入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击，这种攻击方式也是黑客惯用的伎俩。

　　三、服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。

　　四、异常错误处理的风险。当错误发生时，系统向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

　　五、非法会话标识攻击。当会话标识没有被正常使用时，攻击者还可以借机破坏Web会话，并且实施多个攻击(通过冒用其他的可信任的凭证)，借此来绕开认证机制。

　　六、命令注入攻击。这一问题的风险是，如果系统没有成功的阻止带有语法含义的输入内容，就有可能导致对计算机系统的非法访问。黑客通过把HTML代码输入一个缺乏有效验证限制的表格域来改变网页的动态生成的内容。当用户进入一个有命令注入漏洞的网页时，他们的浏览器会执行那个代码，而这样就可能会导致恶意命令掌控该用户的计算机和他们的网络。

　　七、弱认证机制的隐患。虽然只要通过正确的开发Web应用就可以轻而易举的避免此问题，但是在众多已经在线使用的应用中，这类问题却十分严重。一旦黑客利用弱认证机制或者未加密的数据来获得访问，或是破坏、控制数据，就会造成非常严重的影响。

　　八、未受保护的参数传递风险。由于利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器，所以浏览器在将HTML传回给服务器之前，是不会修改这些参数的。利用这一破绽的黑客工具现在也比比皆是。

　　九、不安全的存储。对于Web应用程序来说，妥善的保存用户名、密码，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密才是最有效预防的方法。然而，在实际操作过程中。大多企业却总是采用那些未经实践验证的加密解决方案，这些方案本身就充满了漏洞。

　　十、非法输入。在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。在对Web应用程序脆弱性的调查中，非法输入问题已经成为大多数Web应用程序的最典型漏洞之一。

　　2.2解决之道

　　作为长期致力于网络安全行业的国内领军厂商，上海安达通公司不断推陈出新，在网站安全技术上，有效融合“软硬结合、防控一体”等技术，全新推出业界领先的网站防护解决方案。

　　安达通网站防护解决方案功能实现主要依托于安达通WEB安全网关(硬件)和网页防篡改Safeweb(软件)。主要实现了网页的文件过滤驱动保护、防SQL注入、双机热备、抗网络攻击能力等功能。以期防止黑客入侵、网站篡改，从而更有效地对网站网页安全进行保护。

　　2.3系统设计原则

　　网站防护解决方案的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、可靠性、安全型、先进性、扩展性、易管理性、兼容性”建设系统。

　　2.4系统部署介绍

　　安达通WEB安全网关融合了WEB安全防护、链路负载均衡、网站访问加速和WEB审计、双机热备功能模块。在部署方式上，安达通WEB安全网关支持透明代理模式、反向代理模式和旁路模式三种部署方式。可根据具体功能需求以及实际网络环境灵活部署WEB安全网关。

　　SafeWeb 系统包含三个部分：监控客户端、管理中心服务器和管理客户端，各部分功能如下：

　　1. 监控客户端(Monitor Client)安装在Web 站点服务器上，安装完后即后台自动运行，无界面，主要用于监控站点攻击状态，执行管理中心所配置的策略，有效阻止各类篡改攻击;

　　2. 管理中心服务器(Center Server)建议部署在独立PC 服务器上，若所管理的web 服务器数量较少，也可以同时部署在管理客户端;主要用于用户管理，策略下发，日志监控，以及发布各监控客户端安全策略;此程序以后台服务模式运行，无程序界面。

　　3. 管理控制台(Console)部署在网管员任意一台计算机，主要用于登录管理中心服务器，进行管理;

　　如下图，总部网络边界防火墙后透明模式部署2台WEB安全网关，每个WEB服务器安装监控客户端，管理员通过IE浏览器方式管理WEB安全网关，采用C/S方式的控制台管理网页防篡改Safeweb系统。

　　根据Web网站服务器每天用户访问的流量，我们在现有的网络中部署WEB安全网关，目的是防止SQL语句注入，避免数据库服务器被黑客使用SQL注入、跨站攻击、恶意扫描等对服务器及数据库攻击。透明模式是最便捷部署的方式，在已经交付使用的系统中需要快速部署WEB 防护系统 时，推荐使用此种部署方式。工作在透明方式时，网关工作在链路层，不需要对服务器和其他的网络设备作任何改动。

　　我们对Web服务器分别装入我们的网页防纂改程序Safeweb，目的是保护Web服务器的网页不被纂改。当发生网页遭受到意外恶意破坏时，系统将自动启用文件安全性校验模块，主要对比网页文件指纹ID，将包含文件内容、大小、创建修改时间、作者、关键词、所属权限等等。如校验发现文件属性发生变化，则从可信备份端进行实时恢复，确保文件的真实可靠性。

　　每个企业和机构可以结合各自的实际网络环境采用反向代理、透明或者旁路的方式部署WEB安全网关，采用安达通特色网站防护技术，建立安全的WEB连接，给企业的各项WEB应用，提供安全保障。

　　2.3网站防护解决方案详解

    2.3.1集成领先WEB应用漏洞检测技术

　　Web应用安全问题，成因在于Web应用程序开发阶段留下的安全隐患为攻击者所利用。这主要由于Web发展过程前进过于迅速，更多考虑如何快速提供服务，往往忽略了之前在传统软件工程开发中已经面临的安全问题。因此，Web上的很多应用都没有经过传统软件开发所必需完成的细致检查和完整处理过程。

　　针对这种情况，WEB应用安全网关集成了业界领先的Web应用检测技术，检测Web应用自身的脆弱性，诸如SQL注入、跨站脚本(XSS)等页面漏洞，为解决根本问题提供技术依据。

　　2.3.2多维防护体系

　　WEB应用安全网关应用了先进的多维防护体系，对Web应用攻击进行了广泛且深入的研究，固化了一套针对Web应用防护的专用特征规则库，对当前国内主要的Web应用攻击手段实现了有效的防护机制，应对黑客传统攻击(缓冲区溢出、CGI扫描、遍历目录等)以及新兴的SQL注入和跨站脚本等攻击手段。

　　WEB应用安全网关应用了自主研发的抗拒绝服务攻击算法，可防护各类带宽及资源耗尽型拒绝服务攻击。尤其是针对HTTP Get Flood以及CC攻击，基于智能关联分析技术能够有效识别，提供应用层细粒度的防护。基于特征检测和智能关联分析技术，WEB应用安全网关提供针对传奇游戏的攻击防护，如常见的假人攻击、创建帐号攻击、数据库攻击等。

　　对于蠕虫变形，WEB应用安全网关基于关联分析技术进行有效识别和阻断告警。对于混合型攻击，WEB应用安全网关提供多重检查机制和智能分析，确保对高安全风险级别攻击事件的准确识别率，同时也有效避免告警误报率高为用户带来的告警风暴。对于不符合RFC标准的畸形包，采用协议异常检测技术，进行识别和过滤。

　　黑客攻击技术是不断发展的，安全产品面对的是充满“智慧”的攻击者，Web安全攻防是持续变化的过程。攻击者可以调整攻击力度、采用新的攻击手段，突破攻击防护设备的性能极值，能够及时跟踪、发现互联网上新出现的Web应用攻击类型，并最优化防护技术，从而为客户提供对抗最新攻击的解决方案。

　　有关安达通公司的各种WEB安全技术，详见“安达通WEB安全网关技术白皮书”。

　　2.3.3网页篡改防护

　　针对目前猖獗的网页篡改问题，WEB应用安全网关结合Safeweb系统提供“安全-成本”的最佳平衡点，从“事前、事中以及事后进行综合考虑。事前WEB安全网关提供漏洞扫描，作为预防解决方案，为解决根本问题提供技术依据。事中，Safeweb基于内核驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本的安全防护;支持内核级事件触发技术，大大减少系统额外开支;支持完全防护技术，对大规模连续篡改攻击防护;支持系统后台自动运行，断线状态下阻止篡改;支持内核出站校验技术完全杜绝被篡改内容被外界浏览;支持单独文件、文件夹及多级文件夹目录内容篡改保护;WEB安全网关则基于智能特征分析技术，对网页篡改所采用的主要攻击手段(如SQL注入、XSS)进行检测并做有效阻断，且及时跟踪、发现互联网上新出现的SQL注入攻击类型，并最优化防护技术，帮助用户对抗最新攻击。事后对WEB网页篡改能进行检测并做应急保护，有效阻止非法页面发布、为公众浏览，极大降低网页篡改引发重大影响的安全风险。

　　2.3.4网页挂马主动诊断

　　网页挂马，可以认为是一种比较隐蔽的网页篡改方式，其最终目的为盗取客户端的敏感信息，如各类帐号密码，甚而可能导致客户端主机沦为攻击者的肉鸡。Web服务器成为了传播网页木马的“傀儡帮凶”，严重影响到网站的公众信誉度。对于Web服务器而言，最大隐患在于，多数情况网站实质已被入侵，只是攻击者出于经济利益考虑，未采用更为直观的篡改方式。

　　目前，网页挂马主要解决方案还是聚焦于终端安全。事实上，随着一系列常见应用软件漏洞的曝光，之前达成的共识“打齐微软补丁可以解决90%问题”已经不复成立，微软补丁所能提供的保护已经变得非常有限。而解决各类应用软件的漏洞问题，还有待各方面的共同努力。

　　Web服务器在网页挂马中作为被利用者，各网站的公信度需要得到维护。基于此种考虑，WEB应用安全网关提供网页挂马检测功能，全面检查网站各级页面中是否被植入恶意代码，并及时提醒客户。

　　2.3.5 HA(High Availability)

　　WEB应用安全网关支持双机热备，可根据网络情况和用户需求，部署Active/Active或Active/Standby的工作模式，提供load balance或者failover功能，避免传统串联设备存在单点故障的隐患，从而有力保障Web业务的高可用性。

　　2.3.6提升企业网站安全性

　　1. 从事前、事中及事后综合考虑问题，提供最佳安全-成本平衡点，为用户降低安全风险;

　　2. 采用网络串联方式对页面进行实时防护;支持对动态、静态网页的检测和防护;

　　3. 网关设备，防护对象不受操作系统、数据库和应用程序限制。不介入网站正常业务流程，不占用Web服务器资源。接入网络即插即用，安装方便，配置简单，用户能够远程通过浏览器访问系统，后期的维护工作较少;

　　4. 系统内核经过优化的安全操作系统，自身安全性高。设备与设备自带安全中心通信协议为SSL。

　　5. Safeweb系统在事中对网页实行不间断全方位的监控，防止被篡改。

　　第三部分 总结

　　安达通针对Web网站应用安全，将网络防火墙、入侵防护系统、 Web应用防火墙、 DOS防护网关、网页防篡改系统等多种安全产品和技术进行高效的整合后设计了安达通WEB安全网关系统;

　　此外，根据多年对黑客攻击行为的追踪和渗透测试的经验，安达通建立了对黑客行为特征的完整数据库，据此对黑客的各种攻击方式进行检测，从而对已知的Web应用程序漏洞进行防护，并且对基于正常行为认知和协议(行为)异常的情况也有很完善的检测防护机制，从根本上杜绝由于Web防护的漏洞被黑客入侵导致重要数据泄露的情况。

　　同时，安达通Web安全网关针对Web服务器防护特点及管理员的使用习惯，提供了最简洁方便的策略配置逻辑，无需专业安全技术背景也能很好的对其进行操作。安达通Web安全网关部署无需更改网络拓扑、无需变更服务器配置，以极具竞争力的管理维护成本，实现用户投资回报的最大化。

　　虽然目前并不存在能够100%免疫黑客入侵的产品或者解决方案，但是我们应该提高网络安全防范意识，有效应对已知及未知的入侵攻击，妥善保管用户的数据资料，避免此类“信息泄露”事件再次发生，给予用户充分的安全保障。