一、Web防护应用需求

目前中国互联网发展迅猛，由中国互联网络信息中心发布的《第39次中国互联网络发展状况统计报告》显示，截至2016年12月底，中国网民规模达7.31亿，手机网民规模达6.95亿。同时网站域名总数达到3502万个。这样Web应用越来越为丰富的同时，Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标，层出不穷的网络安全问题仍然难以避免。利用分网页篡改获得经济利益现象普遍；个人信息泄露引发的精准网络诈骗和勒索事件增多；移动互联网恶意程序的传播渠道转移到网盘或广告平台等网站。SQL注入、网页篡改、网页挂马等安全 事件，频繁发生。针对Web的攻击事件也在不断增多，目前常见来自Web的安全威胁主要表现在以下多方面：

从安全角度考虑，针对目前泛滥的SQL注入、跨站脚本、应用层DDoS等Web应用攻击，提供有效检测、防护，降低攻击的影响，最为理想情况，解决根本问题是对Web应用代码进行整改，严格遵循安全编码，确保网站安全。但通常，我们会发现为此付出的代价过大，对正常业务开展有很大影响。

二、Web防护方案设计要求

我们针对目前信息系统存在的风险，同时根据安全事件发生的三个时间点，设计了一个防御功能强大的解决方案，做到事前、事中、事后成为一个可闭环又可循环的方式去降低潜在的威胁，对于事中疏漏的攻击，可用事前的预发现和事后的弥补，形成环环相扣的动态安全防护。事前是用扫描方式主动检查网站并把结果形成新的防护规则增加到事中的防护策略中，而事后的防篡改可以保证即使疏漏也让攻击的步伐止于此，不能进一步修改和损坏网站文件。

1、方案设计原则

网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。

2、最小授权与管理

整个网络信息系统应保证知悉范围最小化；系统内用户的权限应只授予其完成任务最小权限；系统内帐户设置、服务配置、主机间信任关系的配置应只保证系统正常运行的最小权限。不同用户的权限应相互独立、相互制约。

3、完整性原则

网络安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果，单一的安全产品对安全问题的发现处理控制等能力各有优劣。从安全性的角度考虑，需要不同安全产品之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。一个完整的网络安全体系要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。

三、Web防护解决方案

中科网威Web应用防护系统（ANYSEC WAF）是中科网威公司结合多年在应用安全领域实践经验积累的基础上，自主研发的一款Web应用安全防护系统。在提供Web应用实现深度防御的同时，实现Web应用安全防护，黑客漏洞攻击防护，恶意扫描及探测防护，DDOS/CC攻击防御，URL自学习保护、Web漏洞扫描、服务器防护、网页防篡改，数据库防篡改，网站访问统计，Web负载均衡等常见及最新的安全问题，为Web应用提供全方位的安全防护解决方案。

3.1 Web应用安全防护

中科网威Web应用防火墙融合了漏洞防护、Web安全防护等多种安全技术，具备超过5万多条的Web漏洞特征库，可以全面识别各种应用层和内容级别的各种安全威胁。提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用。

中科网威WEB防火墙Web应用安全防护通过主动防御已知和未知攻击，实时阻断各种黑客攻击，如SQL注入、XSS跨站脚本、CSRF、远程包含漏洞利用、Cookie劫持

    防御非法HTTP请求：如PUT、COPY、MOVE等危险HTTP请求；

    防御脚本木马上传：如上传ASP/PHP/JSP/ASP.NET脚本木马；

    防御目录遍历、源代码泄露：如目录结构、脚本代码；

    防御服务器漏洞：如IIS代码执行漏洞、Lotus缓冲区溢出漏洞等

    防御网站挂马：如IE极光漏洞；

    防御扫描器扫描：如WVS、Appscan等扫描器的扫描

    防御DDOS攻击：抵御SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood

    防御CC攻击：如HTTP Flood、Referer Flood，抵御Web页面非法采集

3.2 URL自学习保护

中科网威Web应用防护系统提供主动防护安全模型URL自学习，可以自动抓取网页结构并构建web应用的规划模型，能自动对双向的HTTP流量进行智能分析和自动建立可信的URL数据模型及对自动建立模型的修改，支持更新和及时修改。使得防护更加的安全。

中科网威Web应用防护系统可以智能识别外来的攻击行为，根据自定义单位时间内触发安全规则次数的方式，自动阻断攻击源，阻断的时间及次数均可自行定义，系统可根据设定的触发条件，动态识别频繁尝试入侵的来源IP地址，并在一段时间内拒绝该IP地址对网站的入侵行为和正常访问。

3.3网页防篡改

中科网威Web防火墙网页防篡改功能对网站数据实时监控网页请求的合法性，拦截篡改攻击企图，保障网站公信度，发现有对网页进行任何形式的非法添加、修改、删除等操作时，立即进行保护，恢复数据并进行告警，同时记录防篡改日志。

防篡改模块运行在WAF中，不占用主机资源，隐藏自身，提高自身安全性；

设置精确到URL级别的目的、来源IP的访问控制；

支持针对防御规则的ACL高级访问控制：具有5种状态控制；

内置50多种搜索引擎保护策略，可制定计划任务根据时间段高级访问控制；

支持使用单个公网IP地址，绑定多个主机头名，自动根据主机头名的不同，将HTTP流量分发到内网多台Web服务器中。

3.4 网站加速与维护

中科网威Web应用防护系统内置强大脚本木马检测功能，有效地对用户网络中已经存在的木马进行实时探测拦截，对上传的脚本木马进行细粒度检测，防止各种变形的脚本木马的上传与执行。

内置Web应用漏洞扫描器：采用多并发，自动分析扫描引擎，支持扫描SQL注入、XSS跨站脚本、CGI漏洞等；

内置Web应用层负载均衡：可设置多台服务器进行Web业务流量的负荷分担，具有自动流量分配、会话保持、离线感知等功能；

内置Web流量数据硬件压缩：Web流量数据硬件GZIP在线压缩，HTTP硬件加密；

精细网页访问统计：精确统计Web应用多维度，多视角的智能统计分析，全面了解Web服务和应用，最大限度发挥信息化的价值，提高Web服务的效能。

3.5 高性能抗攻击能力

中科网威Web应用防护系统具有超强的吞吐能力，自主知识产权的快速攻击特征检测引擎支持千万级别的并发连接,能够满足“流量与并发请求数”巨大的网络环境吞吐的要求。首创“攻击混淆解码引擎”针对Web攻击的各种编码、特征变换进行迅速、准确的解码处理、防止被绕过再次攻击，同时内置了实时的攻击识别与拦截模块，多年Web安全攻防研究经验，拥有各行业用户验证的实战型规则库，抵御OWASP TOP 10攻击，解决0Day攻击，有效应对新型攻击，支持包过滤、阻断、入侵检测等防御手段，采用多检测引擎并发处理流量数据防护功能，能够有效地避免网站攻击对用户各网站及WEB应用服务器的影响。

3.6数据情报中心

中科网威Web应用防护系统提供了详细的基于图文的安全报表（按攻击类别、流量、主机、来源IP、目的URL攻击方式、地位位置、webshell分析、页面访问次数等）并可以按事件攻击类型、周期、统计目标进行统计。支持Html、Word、Pdf格式的输出。定时去发送攻击报表等功能。

3.7产品部署方式

中科网威Web应用防护系统（ANYSEC WAF）支持多种灵活的部署方式，如透明网线模式、旁路反向代理模式、路由模式、混合部署模式、虚拟化部署模式。

其中，中科网威Web应用防护系统的透明网线模式尤为出色，管理员在不需要修改原网络拓扑结构的情况下，中科网威Web应用防护系统相当于一根网线串入网络中，对Web攻击进行防御。而混合部署模式更是对较为复杂的网络应用环境提供了更加人性化的均衡部署能力。