精品解决方案电子政务网络安全解决方案.docVIP

电子政务网络安全方案 WEB服务器的专门保护 我们应该针对重要的、最长受到攻击的应用系统实施特别的保护。Web服务器是一个单位直接面对外界的大门，通常也是最先在网络伤害行为中受到威胁的环节，同时主页是一个单位的形象，特别是政府电子政务系统；由于它的社会、政治地位与影响，对于系统的WEB保护十分重要。对于WEB的安全维护管理，特别是主页的维护，修改主页是一种典型的网络伤害行为，所以主页的保护，及时防御此行为的有效打击。同时，需要对于Web访问、监控/阻塞/报警/、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全政策进行明确的规划。 电子政务应用系统安全风险分析 网内应用系统是日常工作重要的支撑平台，保证其正常运行意义重大。应用系统存在终端随意登录到应用系统影响ERP系统的稳定性，操作系统本身不能及时的更新补丁文件，系统服务器病毒库不能及时更新的弊端。 目前电子政务的应用系统都是基于WEB的。 Web 应用的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web 业务的攻击上。黑客利用网站操作系统的漏洞和Web 程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。 当前网络上75%的攻击是针对WEB应用的。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。各类网站客户已逐渐意识到WEB安全问题的重要性，但传统安全设备（防火墙/IPS）解决WEB 应用安全问题存在局限性，而整改网站代码需要付出较高代价从而变得较难实现。 需求建议 在交换机上划分VLAN，对各个安全域进行逻辑隔离； 在各个安全域之间部署防火墙，所有的安全域都通过防火墙接入到网络中，各个安全域通过防火墙进行逻辑隔离，安全域之间不能直接访问，在防火墙上通过访问控制策略，对用户进行文件和数据操作权限限制，防范用户的非授权访问。 通过铱迅Web Application Firewall防止来自WEB的黑客攻击，保护重要数据和应用。 部署方式 “铱迅Web 应用防火墙”支持多种灵活的部署方式，如透明网桥模式、单机模式、旁路反向代理模式。其中，“铱迅Web应用防火墙”的透明网桥模式尤为出色，管理员在不需要修改原网络拓扑结构的情况下，“铱迅Web应用防火墙”相当于一根网线串入网络中，对Web攻击进行防御。 在本方案中，WAF的部署方式如下图： 防护功能 “铱迅Web应用防火墙”可以给您的Web服务器提供应用层的全方位的保护，功能包括： 1．黑客攻击防护 ??SQL注入攻击（包括URL、POST、Cookie等方式的注入） ??XSS攻击 ??Web 常规攻击（包括远程包含、数据截断、远程数据写入等） ??命令执行（执行Windows、Linux、Unix 关键系统命令） ??缓冲区溢出攻击 ??恶意代码 2．违反策略防护 ??非法 HTTP协议 ??URL-ACL匹配 ??盗链行为 3．BOT防护 ??爬虫（蜘蛛）行为 ??Web 漏洞扫描器行为 4．应用层洪水攻击 ??SYN Flood ??ACK Flood 高级功能 1．自定义规则 提供用户编写自己的规则 支持字符串快速查找与PCRE 正则查找 2．白名单 设定某些网站、URL等对于Web应用防火墙直接放行。 3．关键词过滤 双向、单项（可选）替换关键词为**** 4．自动通知 在内置存储空间快接近最大容量时发送电子邮件提醒用户。 用户可以手工导出日志或者清空过去的部分日志。 注：若用户不予清理，防火墙将执行自动清理过去的部分日志。 5．防火墙拦截方式设置 阻断------拦截尝试入侵的数据报文，并将入侵者的IP封掉一段时间。 包过滤----拦截尝试入侵的数据报文，不阻断入侵者的IP。 全部放行--停用本防火墙，对所有数据报文一律放行。 6．防火墙过滤端口设置 用户可以自己填写需要过滤的HTTP端口。 如需要过滤80端口以外，还可以选择过滤8080端口。 7．防火墙检测方向设置 用户可以选择检测双向的数据或者流入的数据。 8．阻断时间设置 用户可以设置检测到攻击后，对某个IP的阻断时间。 统计功能 入侵统计 网络流量统计 日志分析 1．告警日志 对每次攻击记录包括攻击时间、攻击者的IP、物理地址等。 2. 审计日志 对Web应用防火墙硬件的每次操作进行记录。