华城应用防火墙解决方案

                         华城应用防火墙解决方案
   
    “为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。——国际标准化组织（ISO）
    随着web应用的日益增多，如电子商务，交流论坛，公司网站等等都使用web作为应用的平台，如何保证web应用的安全性也成为当前日益重要、必须解决的问题。

    由于Web架构在成本与应用能力方面的优势，使得越来越多的企业和机构将应用迁移到基于Web的基础架构。Web 服务器与 Web 应用已经从最初提供简单的静态内容演变到提供丰富的动态内容。现在，Web 服务器与应用除了可以创建动态页面和启动应用程序外，还可以同数据库进行通信以生成对用户有用的内容。大多数 Web 服务器平台都将应用程序与服务器捆绑在一起，这些都为攻击提供了机会。要构建安全的Web应用平台，Web设计人员必须在Web应用的每个层面精心设计安全性。运行 Web 应用的服务器也必须不断更新。但是，许多企业在设计Web应用时，Web设计人员并未全面考虑安全性。更糟的是，有的用户只为Web服务器中可从外部访问的那部分设计了安全性，而忽略了内部访问Web应用的安全性。

中国网站安全需求分析

    网站现状分析

    目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，到取管理员密码，破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。

通过统计国外一个黑客站点每天公布出来的黑客链接，平均每天10多个中国政府网站被攻破。

很多用户认为，在网络中不断部署防火墙，入侵检测系统（IDS），入侵防御系统（IPS）等设备，可以提高网络的安全性。但是为何基于应用的攻击事件仍然不断发生？其根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接入。所有的处理都是在网络层，而应用层攻击的特征在网络层次上是无法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的应用层流量，和攻击特征库进行匹配，从而识别出以知的网络攻击，达到对应用层攻击的防护。但是对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，IDS和IPS同样不能有效的防护。

    主要网站安全问题及其危害

    常见的Web攻击分为两类：一是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击等。常见的针对Web应用的攻击有：

    缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令
    假冒——精心修改数据进行用户假冒
    认证逃避——攻击者利用不安全的证书和身份管理
    非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据
    强制访问——访问未授权的网页
    隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序
    拒绝服务攻击——构造大量的非法请求，使Web服务器不能相应正常用户的访问
    跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息
    SQL注入——构造SQL代码让服务器执行，获取敏感数据

    下面列举简单的两个攻击手段进行说明。

    SQL注入：

    对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。

    跨站脚本攻击：

    由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和 HTML 标记。如果不可信的内容被引入到动态页面中，则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就可以在网上上提交可以完成攻击的脚本，如Java、VB、ActiveX、HTML或 Flash 等内容，普通用户一旦点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用户设置、窃取和篡改 到虚假广告在内的种种攻击行为。

    随着攻击向应用层发展，传统网络安全设备不能有效的解决目前的安全威胁，网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防火墙——应用防火墙来解决。应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。

    应用防火墙客户分析

    国内目前的单位因为人力和资金上的局限，需要的网络安全产品不仅仅是简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案，如：网络安全、病毒检测、网站过滤等等。其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体系。

    华城安全方案

    产品介绍
    华城应用防火墙是华城瑞安技术有限公司基于多年对网络安全各方面深刻的理解而开发出的一款集应用防御、反病毒、防火墙、VPN、入侵检测技术于一身的All     in One防御系统。网络威胁是来自多方面的，传统单一的网关设备（如防火墙）所能解决的只是在边界进行数据包的过滤，而不能对所嵌入的恶意内容进行识别，这也是目前病毒，蠕虫，木马、SQL注入、cc攻击肆意泛滥的一个重要原因。华城应用防火墙采用了多种独特的安全概念模型，并通过多项专有技术保证安全理念的实现。通过一体化的新型芯片和支持内容处理的软件架构使得华城应用防火墙防御系统具备概念独创、技术先进、性能优异、健壮稳定等多项特性。

    该产品能够模块化地设计、部署网络安全解决方案，为用户提供一体化的全面解决方案。并且与客户现有网络基础设施结合起来，提供全面的网络保护：

    提供高效的投资保护，而不必丢弃现有网络设备
    模块化部署，可逐步实现深度分层防御
    与合作伙伴良好的互操作性
    24x7 技术支持
    易于管理

    应用方案

    下面是针对昆山市某政府应用防火墙解决方案，通过华城应用防火墙实现网站的安全隔离。

    用户特点：
    目前有4台Web服务器对外提供服务，一段时间后在扩展一台。
    网络数据吞吐流量比较大。
    Web Server在DMZ区，并且需要和SQL Server得到数据。

    方案示意图：