用戶背景
安博教育集團是一家“以學(xué)習(xí)者為中心”面向個人及機構(gòu)提供學(xué)習(xí)和教育服務(wù)的培訓(xùn)機構(gòu),該集團多年來被新浪、搜狐、騰訊、《人民日報》、新華社等國內(nèi)權(quán)威媒體譽為中國十大教育服務(wù)品牌,被《中國企業(yè)家》雜志評 為“中國最具成長性企業(yè)21星”,被《商務(wù)周刊》連續(xù)三年評為“中國100快”公司;2009年榮膺“建國60年中國教育培訓(xùn)十大品牌”,“中國教育連鎖 最具影響力品牌”,“卓越雇主——2009中國最適宜工作的公司”,“2009(第三屆)中國創(chuàng)業(yè)投資價值榜最具投資潛力企業(yè)”,騰訊網(wǎng)“2009中國最 具影響力教育集團”,以及網(wǎng)易大選“十大最具影響力教育機構(gòu)”、“十佳就業(yè)競爭力機構(gòu)”、“十佳最具投資價值機構(gòu)”,新浪教育“2009年度最具社會責(zé)任 感教育集團”、“2009年度最具就業(yè)競爭力IT教育機構(gòu)”等榮譽。此外,安博還位居德勤“2007年亞太高科技、高成長100強”前列。
目前,安博教育集團已發(fā)展成為國內(nèi)第一個真正意義的以升學(xué)與就業(yè)為導(dǎo)向的全國性教育服務(wù)品牌。
項目需求
隨著互聯(lián)網(wǎng)的發(fā)展,基于Web的應(yīng)用已經(jīng)成為互聯(lián)網(wǎng)最主要的業(yè)務(wù)。通過Web應(yīng)用對計算機發(fā)起攻擊相對容易進行且較難被察覺,因此被黑客廣為采用,并且有愈演愈烈之勢,不僅侵害了用戶利益,也給國家安全和社會穩(wěn)定帶來威脅。目前基于Web的網(wǎng)絡(luò)攻擊主要包括,針對特定網(wǎng)站漏洞進行網(wǎng)頁掛馬、利用瀏覽器插件漏洞的攻擊、基于Web2.0的攻擊、網(wǎng)絡(luò)釣魚等方式。針對Web網(wǎng)絡(luò)攻擊的安全防御已經(jīng)刻不容緩。
安博教育集團面臨著同樣的威脅。由于公司門戶網(wǎng)站的防護措施僅限于防火墻等傳統(tǒng)網(wǎng)絡(luò)設(shè)備,而網(wǎng)絡(luò)防火墻,IPS等傳統(tǒng)設(shè)備又不具備專門的七層應(yīng)用防護機制,因此安博教育集團的門戶網(wǎng)站的一些漏洞就會暴露出來,被黑客利用。如跨站腳本攻擊,SQL注入攻擊,應(yīng)用層DDOS攻擊,網(wǎng)站偵測攻擊,惡意爬行攻擊,Cookie竊取攻擊,Cookie中毒攻擊,信息泄露攻擊,網(wǎng)頁篡改攻擊等。解決WEB應(yīng)用安全問題,需要一套完整的應(yīng)用層安全防護解決方案對安博教育集團的所有Web應(yīng)用進行全面的應(yīng)用層防護。以達到如下目的:
1. 保護網(wǎng)站系統(tǒng)的連續(xù)可用性:安博集團為成千上萬用戶提供服務(wù),必須保障網(wǎng)站系統(tǒng)的連續(xù)可用性,一旦網(wǎng)站發(fā)生不可用的情況,不僅影響業(yè)務(wù)進程,也會產(chǎn)生不良的社會反響。
2. 保護網(wǎng)站資源的合法使用性:惡意瀏覽刷屏、目錄穿越、非授權(quán)訪問、cookie竊取等可能導(dǎo)致網(wǎng)站運行異常或網(wǎng)站資源機密性破環(huán)的行為,應(yīng)予以制止。
3. 防范入侵者的惡意攻擊與破壞:防止SQL注入、命令注入、跨站點腳本等流行的攻擊行為,特別是防止DDoS攻擊或CC攻擊,避免web網(wǎng)站遭受篡改、掛馬等破壞。
4. 擴展性及可管理性:能夠根據(jù)應(yīng)用及安全需求進行良好的擴展,安全策略可以個性化設(shè)定,可以根據(jù)實際需求進行調(diào)整,界面友好,易于操作。
5. 安全事件的及時發(fā)現(xiàn)及可追蹤性:系統(tǒng)應(yīng)具備主動防攻擊功能,系統(tǒng)應(yīng)詳細記錄網(wǎng)站訪問事件、特別是攻擊事件;應(yīng)具備豐富的統(tǒng)計報表以供分析。
梭子魚WEB應(yīng)用防火墻解決方案
安博教育集團門戶網(wǎng)站提供web服務(wù)的服務(wù)器大概有50臺左右,web流量在20M左右,因此使用梭子魚WAF660型號完全滿足客戶的需求。
梭子魚web應(yīng)用安全防火墻有三種部署模式,分別是路由模式,單臂模式,橋模式。根據(jù)客戶需求按照單臂模式部署上線。
梭子魚web應(yīng)用安全防火墻單臂模式部署方式拓撲如下:
·梭子魚WEB應(yīng)用防火墻可以防御的攻擊類型:
1. SQL注入:一些應(yīng)用程序通過復(fù)制Web客戶端輸入來創(chuàng)建數(shù)據(jù)庫查詢。黑客通過構(gòu)造一些應(yīng)用程序沒有仔細檢查和會被拒絕的字符串,來獲取返回的機密數(shù)據(jù)。
2. 跨站點腳本:黑客插入腳本代碼(如JavaScript或ActiveX)到一個輸入字符串,導(dǎo)致Web服務(wù)器泄漏用戶名和密碼等信息。
3. 操作系統(tǒng)命令注入:一些應(yīng)用程序從web輸入來創(chuàng)建操作系統(tǒng)命令,就像訪問一個文件和顯示文件內(nèi)容。如果輸入的字符串沒有仔細檢查機制,黑客就可以創(chuàng)建輸入來顯示未經(jīng)授權(quán)的數(shù)據(jù)、修改文件或系統(tǒng)參數(shù)。
4. 會話劫持:黑客通過猜測基于令牌格式知識的會話令牌的內(nèi)容來獲得登錄會話的權(quán)利。這使得黑客能接管會話并可以得到原來的用戶帳戶信息。
5. 篡改參數(shù)或URL:web應(yīng)用程序通常在返回的的web頁面中嵌入?yún)?shù)和URL,或者用授權(quán)的參數(shù)更新緩存。黑客可以修改這些參數(shù)、URL或緩存,使Web服務(wù)器返回不應(yīng)泄漏的信息。
6. 緩沖區(qū)溢出:應(yīng)用程序代碼應(yīng)該檢查輸入數(shù)據(jù)的長度,以確保輸入數(shù)據(jù)不會超出剩余的緩沖區(qū)和修改相鄰的存儲。黑客很快就會發(fā)現(xiàn)應(yīng)用程序不檢查溢出,并創(chuàng)建輸入來導(dǎo)致溢出。
·在部署過程中,針對安博教育集團網(wǎng)站業(yè)務(wù)的特性,梭子魚WEB應(yīng)用防火墻提供了以下解決方案:
1.WAF透明部署在防火墻和WEB服務(wù)器群及應(yīng)用服務(wù)器之間,在網(wǎng)絡(luò)中即插即用,不改變網(wǎng)絡(luò)拓撲和網(wǎng)站業(yè)務(wù)流程,管理簡單;
2. WAF提供了針對核心WEB服務(wù)器群的防護;根據(jù)其網(wǎng)站部署的特點,一般教育機構(gòu)站點都具有數(shù)十個主站點,同一臺服務(wù)器會同時具有幾個站點的特色,梭子魚會區(qū)分各站點之間的不同屬性進行分類管理,例如:學(xué)生用戶登陸的站點都是HTTP協(xié)議,而培訓(xùn)教師登陸的管理平臺和辦公系統(tǒng)都是HTTPS協(xié)議,因此我們會設(shè)計一套HTTP協(xié)議的基本防御模版,而HTTPS協(xié)議我們會在基本保護的策略框架下,再啟用SSL加速的功能,來幫助提升用戶的訪問速度。
3. WAF自動掃描網(wǎng)站結(jié)構(gòu);梭子魚WAF主動掃描網(wǎng)站結(jié)構(gòu)并根據(jù)結(jié)果生成防護規(guī)則,分析整個Web站點,并建立正常狀態(tài)模型。根據(jù)其網(wǎng)站設(shè)計的特點,梭子魚會主動尋找每一個小站點的樹型目錄和文件結(jié)構(gòu),幫助防御不必要外網(wǎng)“窮舉型”的攻擊。
4. WAF自動學(xué)習(xí)用戶習(xí)慣;WAF會自動調(diào)整外網(wǎng)用戶登陸網(wǎng)站后的使用習(xí)慣,例如在某個學(xué)院站點的通告欄上的發(fā)貼字數(shù)長度,會隨著用戶習(xí)慣逐漸增多。
5. 梭子魚提供簡明維護的平臺;經(jīng)過長期的了解和溝通,該集團網(wǎng)絡(luò)管理者非常青睞于梭子魚簡明的維護平臺和日志系統(tǒng)。經(jīng)過簡單的培訓(xùn),即可輕松的查看網(wǎng)站的安全隱患和輕松的進行安全加固。
效果及用戶評價:
網(wǎng)站安全問題成為企業(yè)開展在線業(yè)務(wù)服務(wù)日益關(guān)注的焦點。對于客戶而言,需要的不僅僅是網(wǎng)絡(luò)安全設(shè)備,更需要具備快速應(yīng)急響應(yīng)、豐富實踐經(jīng)驗和強大技術(shù)實力的合作伙伴,為其提供專業(yè)完善的網(wǎng)站應(yīng)用安全解決方案。梭子魚網(wǎng)絡(luò)有限公司以專業(yè)的產(chǎn)品和服務(wù),贏得了客戶的贊譽。
