网域科技——上网行为管理! 关于我们 | 联系我们 |
全国统一服务热线
400-6666-049
证券代码:872379

相关资讯

咨询热线:

400-6666-049

固话:0898-66889888

邮箱:[email protected]

地址:海口市港澳开发区D区100厂房

当前位置:主页 > 解决方案 > 政府解决方案 >

ACF第二代防火墙电子政务网站解决方案

  ACF第二代防火墙电子政务网站解决方案

  1应用背景

  近年来,网站安全事件数量不断攀升,电子政务网站成为了主要目标,国家互联网应急中心(CNCERT/CC)《2011年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。

  而网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益和互联网安全。”

  2需求分析

  2.1网站安全风险分析

  为了保证电子政务网站业务正常运行,保证电子政务网站不受到上述安全问题的影响。电子政务网站应重点关注以下安全威胁:

  (1)、可造成数据库信息泄露、网站挂马篡改、资源获取的web攻击

  SQL注入、XSS、CSRF等攻击是常见的包含在http正常请求中的web攻击,可以通过80端口渗透传统防火墙与多功能网关,造成正对数据中心数据库服务器、web服务器、存储服务器的攻击,可能导致信息泄露、数据中心服务器挂马、数据中心B/S业务篡改、甚至是电子政务网站业务中断。

  SQL注入等web攻击逃逸攻击,由于传统的多功能网关或者IPS实现应用层攻击仅仅通过DPI数据包的深度检测进行攻击特征分析,攻击行为一旦采用了逃逸手段,传统多功能网关类设备或者IPS设备便无法检测出来。聪明黑客会通过多种手段对防止攻击行为被检测,一旦攻击被利用重新编码、分片、乱序等逃逸处理方式,传统的多功能网关将无法检测并防护。只有真正对数据流进行深度内容解析,理解协议本身,还原其真实的攻击行为才能够进行有效的阻断。

  其他针对电子政务网站的web攻击还包括:信息泄露攻击、目录遍历、系统命令注入、webshell等多种传统基于DPI技术的多功能网关无法防御的攻击,如:

  信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞,导致一些系统文件或者配置文件直接暴露在互联网中,泄露web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。

  目录遍历漏洞攻击就是通过浏览器向web服务器任意目录附加“。。/”,或者是附加“。。/”的一些变形,编码,访问web服务器根目录或者之外的目录。

  系统命令注入是攻击者提交的特殊字符或者操作系统命令,web程序没有进行检测或者绕过web应用程序过滤,把用户提交的请求作为指令进行解析,导致操作系统命令执行。

  (2)、可获得高级系统权限,造成系统瘫痪的漏洞利用攻击

  利用web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,可造成使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。如:

  操作系统漏洞:构架网站的Web系统包括底层的操作系统(windowssever2003、2007、XP)和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞;

  应用程序漏洞:构架网站Web系统包括Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞;

  (3)、可造成网站瘫痪的网络层+应用层拒绝服务攻击

  常见的网络层DDOS攻击方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood等;应用层DOS/DDOS攻击包括:httpgetflood等攻击。

  这些网络层和应用层DOS/DDOS攻击会耗尽用户宝贵的网络和系统资源,使依赖计算机网络的正常网站业务无法进行,严重损害政府的声誉并造成极大的损失,使IT部门承受极大的压力。

  (4)、绕过防御体系对业务系统的信息泄露攻击

  网络安全往往不是绝对的,黑客仍有机会渗透安全防御体系进行更有目的性、攻击性的攻击。黑客绕过防御体系对后台数据库进行攻击,导致在数据中的储存的用户资料、身份证信息、账户信息、联系方式等敏感信息被攻击者获取的信息泄漏攻击对网站本身产生重大的威胁,同时也涉及到政府网站后台的涉密敏感数据信息。

  3深圳网域第二代防火墙安全解决方案

  深圳网域科技提供电子政务网站一站式完整安全解决方案。通过部署深圳网域科技第二代防火墙ACF,可实现业务服务器的业务逻辑隔离,核心业务带宽保障、防止网络层、应用层安全威胁在数据中心内扩散。

  ACF的部署可以从从攻击源头上防护导致电子政务网站的各类网络/应用层安全威胁;同时深圳网域科技第二代防火墙ACF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题,实现防攻击、防篡改、防泄密的效果。

  (1)、ACF通过访问控制策略ACL可实现Web服务器区、数据库服务器区、DMZ等区域的网络安全域划分,阻断各个区域间的网络通信,防止威胁扩散,防止访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题;

  (2)、ACF通过服务器防护功能模块的开启,可实现对各个区域(尤其是DMZ区)的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;

  (3)、ACF通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能开启IPS、WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;

  (4)、利用ACF入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;

  (5)、ACFDDOS/DOS攻击防护模块可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题。

  4。方案价值

  深圳网域科技电子政务网站安全“一站式“解决方案是针对面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套安全防护解决方案。该方案有效的弥补了传统安全解决方案在Web业务安全防护能力的不足:

  事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;

  事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;

  事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系,对Web业务产生的网站篡改、数据泄漏问题。

  同时该方案从简化组网、方便运维、最优投资的用户角度出发,可为电子政务网站打造L2-L7层的安全防护体系构架,实现完整的安全防护,同时在可用性、可靠性上采用了深圳网域科技特有的先进技术电子政务网站的正常稳定运行,打造一个“安全”、“可靠”、“高效”的“一站式“电子政务网站安全解决方案。

  

下一篇:没有了 上一篇:没有了
访问量:
此文关键词:第二代防火墙,第二代防火墙解决方案
河北快3 彩都会彩票网 江苏快3官网 106彩票充值中心 福德正神彩票充值中心 159彩票 159彩票充值中心 河北快3走势图 河北快3 170彩票充值中心