web网络安全解决方案
（文档版本号：V1.0）
沈阳东网科技有限公司
一、前言 (1)
二、如何确保web的安全应用 (1)
三、常见部署模式 (2)
四、需求说明 (5)
五、网络拓扑 (6)
六、总结 (6)
一、前言
Web应用处在一个相对开放的环境中，它在为公众提供便利服务的同时，也极易成为不法分子的攻击目标，黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。

当前，信息安全攻击约有75%都是发生在Web应用而非网络层面上。

Web攻击者针对Web应用程序的可能漏洞、 Web系统软件的不当配置以及http协议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对Web站点特别是Web应用进行侦测和攻击，攻击的目的包括：非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。

目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议有深厚理解，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。

而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。

二、如何确保web的安全应用
在Web系统的各个层面，都会使用不同的技术来确保安全性：为了保护客户端机器的安全，用户会安装防病毒软件；为了保证用户数据传输到Web服务器的传输安全，通信层通常会使用SSL技术加密数据；为了阻止对不必要暴露的端口和非法的访问，用户会使用网络防火墙和IDS/IPS来保证仅允许特定的访问。

但是，对于Web应用而言，Web服务端口即80和443端口是一定要开放的，恶意的用户正是利用这些Web端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏Web应用中的重要信息。

而传统安全设备仅仅工作在网络层上，并不能精确理解应用层数据，更无法结合Web系统对请求进行深入分析，针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS/IP 保护的网站。

因此，在大量而广泛的Web网站和Web应用中，需要采用专门的Web 安全防护系统来保护Web应用层面的安全，WAF（Web Application Firewall，WEB应用防火墙）产品开始流行起来。

WAF产品按照形态划分可以分为三种，硬件、软件及云服务。

软件WAF 由于功能及性能方面的缺陷，已经逐渐被市场所淘汰。

云WAF近两年才刚刚兴起，产品及市场也都还未成熟。

与前两种形态相比，硬件WAF经过多
年的应用，在各方面都相对成熟及完善，也是目前市场中WAF产品的主流形态。

既然是硬件产品，网络部署对于用户来说，是一个必须要考虑的问题。

纵观国内外的硬件WAF产品，通常一个产品会支持多种部署模式。

这也给用户在购买或部署产品时带来了困惑。

以下将对硬件WAF几种常见的部署模式做一个介绍。

三、常见部署模式
1.WAF部署位置
通常情况下，WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域，也可以与防火墙或IPS等网关设备串联在一起（这种情况较少）。

总之，决定WAF部署位置的是WEB服务器的位置。

因为WEB服务器是WAF所保护的对象。

部署时当然要使WAF尽量靠近WEB 服务器。

2.WAF部署模式分类
3.根据WAF工作方式及原理不同可以分为四种工作模式：透明代理模式、
反向代理模式、路由代理模式及端口镜像模式。

前三种模式也被统称为在线模式，通常需要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。

端口镜像模式也称为离线模式，部署也相对简单，只需要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。

图1：WAF部署模式分类
4.WAF几种部署模式的技术原理
5.WAF几种部署模式的典型拓扑
6.WAF几种部署模式的优缺点
四、需求说明
公司现有主营云托管，租用业务，本着高性能、高效率、高可用性、高经济性原则。

提出如下需求：
1.设备本身的高性能，并发连接数高，大吞吐量，很好的解决了平均
在线人数众多，连接不正常的问题。

2.高性能的负载均衡功能，支持多种均衡算法，保障网络带宽的稳
定。

3.多台设备的双机热备功能。

4.网页防护功能实时检测页面篡改，网页防盗链，防止敏感信息、服
务器信息的泄露，阻断攻击探测，有效防止WEB应用信息泄露、篡
改，恶意截取。

5.智能应用感知，自动分析双向HTTP流量，基于URL、表单类型、
参数类型等信息应用访问知识库，防止未知攻击。

6.支持https访问服务的保护。

7.全面的协议分析，支持Cookie保护，防范http flood攻击。

8.WEB漏洞扫描，支持主动扫描，及时发现并弥补系统漏洞，减少被
攻击的可能。

9.内置WEB诱捕系统，吸引攻击者注意力，暴露攻击者行踪，转移应
用风险，支持第三方蜜罐系统，采集攻击行为，记录攻击手法，完
善网络防御体系。

10.全面的应用控制，控制不同区域用户对敏感资源的访问时间，减少
安全风险，针对不同资源保护等级的要求，进行安全认证。

11.基于用户访问的行为分析与审计，对攻击来源、数据、时间、处理
结果提供灵活查询和过滤。

12.支持万兆光纤接口
五、网络拓扑
六、总结
根据目前网络拓扑结构选用带有反向代理模式或者路由模式的wpf设备。

反向代理模式提供外网和内网隔离web防护功能，所有web流量经过waf设备再转发到内网服务器上。

提供内外网隔离和安全防护，设备本身可以提供负载均衡、CDN、双机热备功能。

路由模式由外网防火墙USG6680指向目标路由指向到waf设备，waf 设备防护后转发到服务器上。

这种形式部署透明，web防护开关切换比较灵活适合与云平台联动后实现云平台安全防护功能。