一．項目簡介

1.用戶背景

秀洲--位于浙江省杭嘉湖平原，東鄰上海，西靠杭州，南瀕杭洲灣，北接蘇州，是上海經濟區的黃金腹地，也是浦東開發區的理想延伸地，極具開發潛力。是國務院確定為先行規劃、先行發展的重點沿海開放地區之一。區域經濟極富成長性和開放性，經濟增勢強勁。GDP、財政收入、居民人均收入等主要經濟指標增幅高于“長三角”16個城市平均水平。近年來，秀洲區的經濟增長率一直保持在 15％以上，2005年人均GDP達4745美元，三資企業總投資年均增長100％以上，外貿出口年均增長50％以上，外資投資企業達180多家。服務業發展迅速、市場體系日趨完善。

當今企業通過門戶網站將企業信息、最新動態等公布于眾，通過Web這個平臺展現自身的發展情況，樹立良好的企業形象。嘉興秀州區政府通過使用兩臺Web服務器作為自己的門戶網站，對外開放相關信息，與市民取得互動。

然而，當今對于Web服務器的攻擊威脅越來越普遍，手法也越來越多樣化。攻擊將造成嚴重的后果，輕者將使Web服務器無法工作，市民無法正常瀏覽網站；重者將直接篡改網站內容，嚴重損害政府形象。因此，保證Web服務器的安全顯得尤為重要。為Web服務器提供一道完善的防護迫在眉睫。

2.用戶需求

根據秀洲區政府額要求，Web服務器應該受到嚴密的保護，避免遭受任何針對Web服務器發起的攻擊，這些攻擊包括：

1.跨站腳本攻擊

2.SQL注入攻擊

3.網頁篡改

4.cookie中毒

5.緩沖區溢出

6.參數篡改

7.錯誤返回信息截取等

二．梭子魚應用防火墻解決方案

1.秀洲區政府梭子魚應用防火墻解決方案

根據秀州區政府的網絡環境和需求，梭子魚為秀洲區政府提供梭子魚應用防火墻，部署在兩臺Web服務器之前，實現反向代理，達到保護Web服務器的目的。

秀州區政府服務器網絡原始拓撲圖如下所示：

 

由圖可知，外部的請求通過網絡防火墻直接訪問到兩臺Web服務器，由于網絡防火墻無法檢查HTTP協議的內容，所以惡意的攻擊很容易滲入網絡內部。這樣的網絡無法為Web服務器提供安全防護，其實質就等于將Web服務器暴露于公網。

通過在Web服務器前部署一臺梭子魚應用防火墻來達到保護門戶網站目的。加固后網絡拓撲如下圖所示：

 

由圖可知，來自外部的請求將首先經過梭子魚應用防火墻，經過嚴格的掃描后再發送給后臺服務器，大大提高了網站的安全性。

梭子魚通過終止、安全（掃描）和加速來實現安全和優化的雙重效果。如下圖所示：

 

2.梭子魚WEB應用防火墻簡介

梭子魚應用防火墻的原理：

梭子魚應用防火墻通過代理(Proxy)幫助企業建起防線! 基于會話的雙向代理不僅能應用在網絡層，同時還能應用在HTTP應用層上，確保內部服務器操作系統和TCP堆棧不直接暴露在Internet，保障web應用的安全。

 

 

 

 

圖二 Web應用防火墻的原理

梭子魚WEB應用防火墻功能：

終止：梭子魚WEB應用防火墻有一個基本原則: 用戶瀏覽器和應用程序服務器的連接會話都在此終止。 梭子魚WEB應用防火墻將對應用流量（向內和向外）進行全面的檢查，并管理每一個會話。通過TCP握手切斷任何基于TCP的DOS攻擊。在終止會話的同時，應用防火墻可以提供網絡層的NAT、PAT 、ACL 策略和SSL 密碼系統。系統對于HTTP內容有著完全的訪問權和控制權，檢查所有的HTTP 內容，解釋和建立規則。

安全：一旦某個會話被梭子魚WEB應用防火墻終止并被控制，將會對向內或向外的流量進行多種檢查，以阻止內嵌的攻擊、數據竊取和身份竊取。 可以指定各種策略對URL、 參數和格式等進行檢查。

加速：除了WEB應用的安全性，數據中心還負責應用的可用性和響應時間。將加速功能 (TCP 池，緩存，GZIP壓縮)和可用性功能（負載均衡，內容交換，健康檢查）在一個單一的節點處結合起來會顯著地簡化數據中心的體系結構，以此來降低成本。

法律合規性

由于當今Web攻擊日益嚴重，加上與它們相關的攻擊與日俱增，因此研發一種測試產品安全性的標準來全面保護應用顯得至關重要。

兩個站在定義應用安全前線的組織機構是：

·開放Web應用安全項目 (OWASP),這是一個致力于尋找和攻克危險軟件的組織。OWASP所規定的前十項要求提供了最低標準的應用安全。梭子魚WEB應用防火墻能夠輕松解決前十項最普遍的WEB安全漏洞問題。請瀏覽OWASP官方網站：www.owasp.org.

Web應用安全聯盟 (WASC)是一個包含專家、行業人員、和生產開源應用安全標準的組織代表的國際組織。聯盟新的 “Web應用防火墻評測標準” (WAFEC)是一個為提供獨立的、與廠家無關的WEB應用防火墻產品的評測標準。符合了這些標準意味著能夠確保進入的數據都是安全的。自從標準出臺以來，梭子魚WEB應用防火墻就著手開始滿足WASC-WAFEC評測標準的工作。下表表明了梭子魚WEB應用防火墻如何滿足這些標準，包括終止，安全，加速和會話控制等功能。

 

#p#

三．秀洲區政府梭子魚WEB應用防火墻使用報告

1.物理安裝

根據秀洲區政府的網絡情況，梭子魚推薦使用雙臂透明模式進行部署。在這種部署模式下，梭子魚物理部署在兩臺web服務器之前，成為web服務器的安全屏障；在配置上，只需為梭子魚WEB應用防火墻分配一個管理IP地址，并且為后臺web服務器開啟相應的HTTP應用即可。

2.策略調整

在完成初步的安裝和配置后，觀察秀洲區政府的網站運行情況，通過訪問秀洲區政府的網站觀察網頁的打開是否正常，并觀察日志對其進行分析。根據分析結果對梭子魚WEB應用防火墻進行策略調整。具體步驟如下：

（1）網站日常訪問測試

部署完畢后，訪問網站正常，但是發現管理員向web服務器上傳數據時被梭子魚阻斷，通過觀察梭子魚的日志，發現上傳的數據的大小和所帶參數已經達到所定義的攻擊范圍，因此被阻斷。具體信息及策略調整說明如下圖所示：

 

 

 

 

 

通過對梭子魚進行策略調整，保證內部的正常請求和操作被放行，大大降低了誤判率。

（2）漏洞掃描

使用掃描工具對網站進行漏洞掃描，結果如下：

下圖為整體掃描的數據統計：

 

其中紅色為嚴重的漏洞。漏洞詳情如下圖所示：

 

 

 

點擊漏洞中包含的連接，由于找不到相應的內容，網站將顯示Web服務器的版本信息等，如下圖所示：

 

其中版本信息中之處服務器為IBM，Web應用為Apache，版本號1.3.28等重要信息。對用戶帶來極大的隱患。

此時，必須對策略進行相應的修改，才能保證用戶的Web應用的安全。

（3）策略調整

進入應用的Web Firewall頁面，然后進入URL ACLs，添加策略，如下圖所示：

 

詳細策略信息如下：

 

如圖所示，根據掃描出的漏洞所示，將Host Match設為*,表示掃描所有源主機請求，將/WEB-INF/*加入URL Match，*表示所有；Action選為Deny，相應選為Redirect，然后將秀州區政府的主頁作為重定向頁面，這樣所有試圖訪問這個受限頁面的請求將被重定向到主頁。如下圖所示：

 

在URL中輸入這個鏈接，后面隨便添加任何字符，然后回車，頁面將被直接重定向到主頁，原本的錯誤信息將不再被顯示，達到了隱藏后臺信息的目的。

一．NC Web firewall Logs 顯示

通過觀察NC的日志信息，可以清晰看到策略的擊中情況，如下圖所示：

 

點擊Details查看詳細信息，如下圖所示：

 

（4）深入掃描

在上述策略調整后，整個系統已經處于穩定運行的狀態，接下來對系統進行深入的掃描和分析。

本次掃描使用專業的MatriXay軟件進行，掃描結果如下：

 

根據掃描結果得知，系統存在網頁篡改的風險，并對其進行驗證，如下圖所示：

 

由圖可知，只需在ULR中添加任何字符，就能在頁面上顯示，此處添加“jasper”，網頁上就會顯示“jasper”的字樣，如果被黑客非法侵入，那么此處可能就會顯示惡意的文字信息，嚴重危害到政府機關的公眾形象。

根據這種情況，需要對梭子魚進行進一步的策略調整，防止任何非法字符。具體設置如下所示：

 

再次進行測試，非法字符被成功阻斷：