系统安全设计.pdf

一系统安全设计 1.1 常用安全设备 1.1.1 防火墙 主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等， 其主要功能实现是限制对 IP:port 的访问。基本上的实现都是默认情况下关闭所 有的通过型访问，只开放允许访问的策略。 1.1.2 抗 DDOS设备 防火墙的补充，专用抗 DDOS设备，具备很强的抗攻击能力。 1.1.3 IPS 以在线模式为主， 系统提供多个端口， 以透明模式工作。 在一些传统防火墙 的新产品中也提供了类似功能， 其特点是可以分析到数据包的内容， 解决传统防 火墙只能工作在 4 层以下的问题。和 IDS 一样 ,IPS 也要像防病毒系统定义 N种 已知的攻击模式，并主要通过模式匹配去阻断非法访问。 1.1.4 SSL VPN 它处在应用层， SSL 用公钥加密通过 SSL 连接传输的数据来工作。 SSL 协议指定了在 应用程序协议和 TCP/IP 之间进行数据交换的安全机制 ,为 TCP/IP 连接提供数据加密、 服务 器认证以及可选择的客户机认证 . 1.1.5 WAF（WEB应用防火墙） Web 应用防护系统（ Web Application Firewall, 简称： WAF ）代表了一类新兴的信息 安全技术 ,用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。 与传统防火墙 不同， WAF 工作在应用层 ,因此对 Web 应用防护具有先天的技术优势。 基于对 Web 应用业 务和逻辑的深刻理解， WAF 对来自 Web 应用程序客户端的各类请求进行内容检测和验证， 确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。 产品特点 异常检测协议 Web应用防火墙会对 HTTP的请求进行异常检测， 拒绝不符合 HTTP标准的请 求。并且，它也可以只允许 HTTP协议的部分选项通过，从而减少攻击的影响范 围。甚至 , 一些 Web应用防火墙还可以严格限定 HTTP协议中那些过于松散或未被 完全制定的选项。 增强的输入验证 增强输入验证， 可以有效防止网页篡改、 信息泄露、 木马植入等恶意网络入 侵行为 . 从而减小 Web服务器被攻击的可能性 . 及时补丁 修补 Web安全漏洞，是 Web应用开发者最头痛的问题， 没人会知道下一秒有 什么样的漏洞出现，会为 Web应用带来什么样的危害。 WAF可以为我们做这项工 作了——只要有全面的漏洞信息 WAF能在不到一个小时的时间内屏蔽掉这个漏 洞。当然，这种屏蔽掉漏洞的方式不是非常完美的， 并且没有安装对应的补丁本 身就是一种安全威胁， 但我们在没有选择的情况下， 任何保护措施都比没有保护 措施更好。 ( 附注: 及时补丁的原理可以更好的适用于基于 XML的应用中，因为这些应用 的通信协议都具规范性。 ) 基于规则的保护和基于异常的保护 基于规则的保护可以提供各种 Web应用的安全规则， WAF生产商会维护这个 规则库， 并时时为其更新。 用户可以按照这些规则对应用进行全方面检测。 还有 的产品可以基于合法应用数据建立模型， 并以此为依据判断应用数据的异常。 但 这需要对用户企业的应用具有十分透彻的了解才可能做到，