【正文】 ? 業(yè)務(wù)模塊強(qiáng)大的硬件平臺(tái) 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 38 DPtech 業(yè)務(wù)模塊 采用了專用多核高性能處理器和高速存儲(chǔ)器 ， 在高速處理安全業(yè)務(wù)的同時(shí)，主網(wǎng)絡(luò)設(shè)備的原有業(yè)務(wù)處理不會(huì)受到任何影響 。 產(chǎn)品定位 DPtech DPX8000 系列深度業(yè)務(wù)交換網(wǎng)關(guān)是 DPtech 公司專門為大型運(yùn)營(yíng)商和數(shù)據(jù)中心網(wǎng)絡(luò)提供業(yè)界最高性能 安全防護(hù)的高端核心設(shè)備。有效的防止了非法人員對(duì)WebShield 的逃避或管理人員的誤操作。 服務(wù)器安全運(yùn)行監(jiān)管 系統(tǒng)可以監(jiān)控服務(wù)器當(dāng)前的運(yùn)行狀態(tài)，監(jiān)視其 CPU、內(nèi)存、網(wǎng)絡(luò)流量等 核心性能。 系統(tǒng) 采用的是與操作系統(tǒng)底層文件驅(qū)動(dòng)級(jí)保護(hù)技術(shù)， 相當(dāng)于在操作系統(tǒng)增加一個(gè)防護(hù)層， 與操作系統(tǒng)緊密結(jié)合 ，所有對(duì)底層的數(shù)據(jù)修改都進(jìn)行監(jiān)控，通過 內(nèi)核事件觸發(fā)保護(hù)機(jī)制，確保系統(tǒng)資源不被浪費(fèi)。系統(tǒng)日志記錄了所有用戶（包括超級(jí)用戶和各個(gè)管理員）的操作記錄，如更改策略、打開關(guān)閉保護(hù)、增刪保護(hù)目錄、備份恢復(fù)、增刪管理員等。 網(wǎng)站防護(hù)系統(tǒng) 能夠有效的保護(hù)網(wǎng)站系統(tǒng)的內(nèi)容不被非法篡改（非法修改、添加、刪除），從而使得網(wǎng)站保持穩(wěn)定的運(yùn)行，瀏覽者所瀏覽到的網(wǎng)頁(yè)都是合法的正常的網(wǎng)頁(yè)。 網(wǎng)頁(yè)文件被篡改后如何恢復(fù) 系統(tǒng) 使用系統(tǒng)文件驅(qū)動(dòng)技術(shù)，首先對(duì)所有針對(duì)被保護(hù)目錄的修改、刪除與新增磁盤操作進(jìn)行合法性檢測(cè)，只有預(yù)先被管理人員設(shè)定的放行操作才能夠成功，所有未 經(jīng)許可的操作都將被禁止，因此即使有入侵者通過各種途徑獲得系統(tǒng)管理員權(quán)限，也無法對(duì)該目錄內(nèi)被保護(hù)的文件及目錄進(jìn)行修改、刪除或新增操作。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 30 功能簡(jiǎn)表如下： 產(chǎn)品型號(hào) WebShiled 網(wǎng)站防護(hù)系統(tǒng) 防篡改技術(shù) 文件驅(qū)動(dòng)級(jí)與系統(tǒng)內(nèi)核級(jí)事件觸發(fā)技術(shù)相結(jié)合 網(wǎng)頁(yè)監(jiān)控 支持各種靜態(tài)網(wǎng)頁(yè)、動(dòng)態(tài)腳本、多目錄監(jiān)控、特定目錄下例外監(jiān)控、網(wǎng)絡(luò)斷線時(shí)保護(hù) 進(jìn)程監(jiān)控 支持對(duì)性能、狀態(tài)等進(jìn)程監(jiān)控 可防護(hù)系統(tǒng) Windows、 Linux 、 Unix 等 可監(jiān)管發(fā)布方式 可監(jiān)管在線、旁路發(fā)布方式 支持 FTP/SFTP/HTTP/HTTPS 方式發(fā)布 同步方式 支持自動(dòng) /手動(dòng)精確同步 支持自動(dòng) /手動(dòng)增量同步 內(nèi)容發(fā)布檢測(cè) 可在內(nèi)容發(fā)布到網(wǎng)站之前進(jìn)行攻擊檢測(cè) 支持 OWASP 相關(guān)攻擊檢測(cè) 支持網(wǎng)頁(yè)掛馬檢測(cè) 支持特征庫(kù)庫(kù)自動(dòng)和手動(dòng)升級(jí) 自身安全性 監(jiān)控進(jìn)程不可見 內(nèi)容發(fā)布通道可以采用加密方式通信 服務(wù)器和客戶端采用加密通道通信 技術(shù)原理 系統(tǒng)文件 驅(qū)動(dòng)技術(shù)原理 對(duì)于操作系統(tǒng)而言，硬件、軟件程序以及操作系統(tǒng)本身對(duì)磁盤文件的操作都要通過操作系統(tǒng)的文件驅(qū)動(dòng)部分來進(jìn)行，僅有文件驅(qū)動(dòng)層才能最終將要進(jìn)行的修改操作傳達(dá)給磁盤存儲(chǔ)設(shè)備，從而改變其內(nèi)容。針對(duì)網(wǎng)站進(jìn)行的各類篡改企圖或篡改操作，實(shí)時(shí)地以告警的方式提交給網(wǎng)站管理人員。 動(dòng)態(tài)防護(hù)模塊 ：部署于網(wǎng)站服務(wù)器， 用于加強(qiáng)對(duì)應(yīng)用層攻擊的防范，如 SQL注入、 XSS 跨站腳本和網(wǎng)頁(yè)掛馬等 。 WebShield 時(shí)刻監(jiān)測(cè)被保護(hù)的網(wǎng)站服務(wù)器，一旦發(fā)現(xiàn)攻擊或文件異常變化，則立即阻止非法行為并對(duì)網(wǎng)站進(jìn)行實(shí)時(shí)恢復(fù)，可以有效防止SQL 注入、 XSS 跨站腳本等各種網(wǎng)站非法篡改攻擊，并且對(duì)服務(wù)器向外發(fā)送信息進(jìn)行動(dòng)態(tài)檢查，避免機(jī)密信息泄露。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 24 部署特點(diǎn)： 快速，簡(jiǎn)便，能夠做到即插即用，先部署后配置。 gzip 格式壓縮比例高 ， 能夠有效提高服務(wù)器的響應(yīng)速度，減輕服務(wù)器的負(fù)荷， 節(jié)省用戶帶寬，縮短用戶下載內(nèi)容的時(shí)間 ，從而 提高網(wǎng)站訪問的響應(yīng)質(zhì)量 。 智能緩存加速技術(shù) 采用新型的緩存加速技術(shù)，通過修改響應(yīng)報(bào)文內(nèi)容，對(duì) web 資源屬性進(jìn)行重組，減少客戶端請(qǐng)求次數(shù)，提高 客戶端請(qǐng)求效率。例如，可以 解析 HTTP 協(xié)議，從數(shù)據(jù)包中提取出 HTTP URL 或 Cookie 信息。 具有隱式關(guān)聯(lián)關(guān)系持續(xù)性功能 ? 基于源 IP 地址的 持續(xù)性 功能 基于源 IP 地址的持續(xù)性功能常用于服務(wù)器負(fù)載均衡應(yīng)用中，用以確保同一個(gè)客戶端的業(yè)務(wù)能分配到同一個(gè)服務(wù)器中。這些 TCP 連接間有些存在顯式關(guān)聯(lián)關(guān)系，如 FTP 應(yīng)用，數(shù)據(jù)通道的 TCP 連接是通過控制通道協(xié)商得來的。 適用場(chǎng)景：服務(wù)器集群中各服務(wù)器性能存在差異，不同用戶發(fā)起的連接保存時(shí)長(zhǎng)差異較大。 ? 基于目的 IP 的 Hash（ Destination IP Hashing Scheduling） 通過一個(gè)散列函數(shù)將 去往同一個(gè)目的 IP 的請(qǐng)求 映射到一臺(tái)服務(wù)器 上 。 適用場(chǎng)景：服務(wù)器集群中各服務(wù)器性 能相當(dāng)，無優(yōu)劣之分。 適用場(chǎng)景：服務(wù)器集群中各服務(wù)器性能相當(dāng)，無優(yōu)劣之分。調(diào)度算法以連接為粒度，同一條連接的所有報(bào)文都會(huì)分發(fā)到同一個(gè)服務(wù)器上。 ? 爬蟲行為智能過濾 能夠?qū)υL問服務(wù)器的爬蟲進(jìn)行分類阻斷，防止爬蟲消耗大量服務(wù)器資源。 多種策略防護(hù)方式 DPtech WAF3000 系列產(chǎn)品支持多種策略防護(hù)方式： ? url 黑白名單策略防護(hù) 通過 url 黑白名單可以對(duì)特定用戶限定其訪問路徑范圍。 WAF 能夠通過智能分析請(qǐng)求目錄異常行為，對(duì)惡意訪問行為進(jìn)行阻斷。 ? 命令注入防護(hù) 隨著 web 服務(wù)器平臺(tái)的迅速發(fā)展，它們已經(jīng)能夠使用內(nèi)置的 API 與服務(wù)器的操作系統(tǒng)進(jìn)行幾乎任何必須得交互。 三 、 產(chǎn)品介紹 1 Web 應(yīng)用防火墻 全方位 Web 防護(hù)功能 參數(shù)攻擊防護(hù) OWASP 最新的“ Web 應(yīng)用十大安全風(fēng)險(xiǎn)”中，前兩位分別是注入攻擊和 XSS(跨站式腳本攻擊 )，這兩種攻擊方式均是與 HTTP 請(qǐng)求參數(shù)密切相關(guān)的。 Web 應(yīng)用防火墻通過對(duì) HTTP 流量的雙向分析，為 WEB 應(yīng)用提供實(shí)時(shí)的防護(hù)。 解決 方案的 角度分析， 傳統(tǒng) 防火墻、入侵檢測(cè)等安全類產(chǎn)品主要是針對(duì)鏈路層、網(wǎng)絡(luò)層信 息進(jìn)行威脅識(shí)別，然而，從近幾年網(wǎng)站篡改的大量案例來看，攻擊過程所包含的信息內(nèi)容在鏈路層、網(wǎng)絡(luò)層都是合法的，問題其實(shí)主要出現(xiàn)在應(yīng)用層面，因此傳統(tǒng)的安全防護(hù)體系對(duì)此類攻擊的防范效果不甚理想。 網(wǎng)站安全 建設(shè)思路 目前，網(wǎng)絡(luò) 安全建設(shè)主要是由防火墻、入侵檢測(cè)構(gòu)成的兩層防護(hù)體系。因此，導(dǎo)致目前有很多黑客將 SQL 注入， XSS 攻擊作為入侵 Web 系統(tǒng) 的首選攻擊技術(shù)。對(duì)于 Web 應(yīng)用程序的 SQL注入漏洞，有試驗(yàn)表明，通過搜尋 1000 個(gè)網(wǎng)站取樣測(cè)試，檢測(cè)到有 %存在 SQL 注入漏洞。如今， Web業(yè)務(wù)平臺(tái)已經(jīng)在 電信 信息化中得到廣泛應(yīng)用，很多 都將應(yīng)用架設(shè)在 Web 平臺(tái)上，在通過瀏覽器方式實(shí)現(xiàn)展現(xiàn)與交互的同時(shí)，用戶的業(yè)務(wù)系統(tǒng)所受到的威脅也隨之而來，并且隨著業(yè)務(wù)系統(tǒng)的復(fù)雜化及互聯(lián)網(wǎng)環(huán)境的變化，所受威脅也在飛速增長(zhǎng)。 Web 系統(tǒng)安全問題總結(jié) Web 系統(tǒng) 安全形勢(shì)堪憂，究其原因，主要是因?yàn)榇嬖谝?下幾個(gè)方面的問題： 1. 大多數(shù) Web 系統(tǒng)設(shè)計(jì)，只關(guān)注正常應(yīng)用，未關(guān)注代碼安全 一個(gè) Web 系統(tǒng) 設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)。這樣， 網(wǎng)站成了黑客散布木馬的一個(gè)渠道： Web 系統(tǒng) 本身雖然能夠提供正常服務(wù)，但 Web 系統(tǒng) 的訪問者卻遭受著持續(xù)的危害。這些也是為什么有些 Web 系統(tǒng) 安裝網(wǎng)頁(yè)防篡改、 Web 系統(tǒng) 恢復(fù)軟件后仍然遭受攻擊。 從技術(shù)角度分析網(wǎng)站安全問題，可以從設(shè)計(jì)思想和 解決方案 實(shí)現(xiàn)兩個(gè)層面闡述。理想的情況是軟件開發(fā)人員能夠按照安全的 編碼原則進(jìn)行 Web 開發(fā)，但對(duì)于這些已經(jīng)上線，正提供對(duì)外業(yè)務(wù)的 Web應(yīng)用，因整改代碼代價(jià)過大而較難實(shí)行。除此之外，不具備其他應(yīng)用層防護(hù)手段，如針對(duì)網(wǎng)頁(yè)篡改、應(yīng)用層 DDoS、網(wǎng)絡(luò)蠕蟲病毒、木馬 等防范手段。對(duì)風(fēng)險(xiǎn)語(yǔ)句進(jìn)行告警和阻斷，防止惡意請(qǐng)求對(duì)數(shù)據(jù)進(jìn)行篡改。 ? 目錄遍歷攻擊 現(xiàn)在許多 web 功能強(qiáng)迫應(yīng)用程序根據(jù)用戶在請(qǐng)求中提交的參數(shù)向文件系統(tǒng)讀取或?qū)懭霐?shù)據(jù)。 DPtech WAF3000 系列產(chǎn)品能夠?qū)?HTTP 請(qǐng)求行和請(qǐng)求頭雙向流進(jìn)行檢測(cè)，通過特征檢測(cè)和閾值阻斷來保護(hù) Web 服務(wù)器正常運(yùn)作。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 15 會(huì)話劫持防護(hù) 會(huì)話劫持是指通過仿冒客戶 session 獲取用戶權(quán)限并進(jìn)行一系列危害用戶的行為。防止黑客通過搜集服務(wù)器殘留的測(cè)試腳本，目錄文件，殘舊數(shù)據(jù)庫(kù)分析服務(wù)器漏洞或竊取用戶信息。算法特點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單，調(diào)度快捷。 適用場(chǎng)景：服務(wù)器集群中各服務(wù)器性能存在差異。 適用場(chǎng)景：需要保證來自同一個(gè)用戶的請(qǐng)求分發(fā)到同一個(gè)服務(wù)器。該算法能把負(fù)載差異較大（連接保持時(shí)長(zhǎng)差異較大）的請(qǐng)求平滑分發(fā)到各個(gè)服務(wù)器上。 ? TCP 向服務(wù)器集群中服務(wù)器的某端口發(fā)起 TCP 連接建立請(qǐng)求，若成功建立 TCP 連接，則服務(wù)器正常。 具有顯式關(guān)聯(lián)關(guān)系持續(xù)性功能 如前所述， FTP 應(yīng)用的多條 TCP 連接之間具有顯式關(guān)聯(lián)關(guān)系：子通道五元組是通過父通道協(xié)商得來的。 Cookie 支持 4 種持續(xù)性方式，包括 插入模式，重寫模式，被動(dòng)模式， HASH 模式。 由于 L7 負(fù)載均衡對(duì)應(yīng)用層協(xié)議進(jìn)行深度識(shí)別，因此，對(duì)于每種應(yīng)用層協(xié)議都需要有獨(dú)立的識(shí)別機(jī)制，這大大限制了 L7 負(fù)載均衡的應(yīng)用擴(kuò)展性，一般只是針對(duì) HTTP 進(jìn)行負(fù)載均衡。例如：復(fù)用比例配置成 10： 1 時(shí)，對(duì)于實(shí)服務(wù)器的 TCP 三次握手次數(shù)變成原來的 1/10，理論上服務(wù)器的負(fù)荷也減輕到原來的 1/10，客戶端的連接平均響應(yīng)時(shí)間因?yàn)?TCP 三次握 手次數(shù)的減少而減少 ；復(fù)用比例配置成20： 1 時(shí)， 客戶端的連接平均響應(yīng)時(shí)間的減少量則會(huì)因?yàn)閺?fù)用比例的增加而有所上升，但 對(duì)于實(shí)服務(wù)器的 TCP 三次握手次數(shù)變成原來的 1/20，理論上服務(wù)器的負(fù)荷也減輕到原來的 1/20。 WAF3000GEN 千兆中端產(chǎn)品， 2 萬兆 12 千兆光 12 千兆電，高密度接口，萬兆接口，適用于大中型 網(wǎng)站 、數(shù)據(jù)中心及運(yùn)營(yíng)商網(wǎng)絡(luò)。 2 WebShield 網(wǎng)頁(yè)防篡改系統(tǒng) 系統(tǒng)概述 在解決方案層次，通過應(yīng)用層安全設(shè)備（尤其是迪普科技的 WAF）可以實(shí)現(xiàn)基于網(wǎng)關(guān)的防護(hù)，將網(wǎng)絡(luò)中各種威脅流量清除。系統(tǒng)根據(jù)軟件分層原則將復(fù)雜業(yè)務(wù)處理劃分為多個(gè)相對(duì)獨(dú)立的邏輯層，每一層又由一個(gè)或多個(gè)相對(duì)獨(dú)立的模塊 /組件構(gòu)成，從而提高了系統(tǒng)的可復(fù)用程度和可維護(hù)性，充分體現(xiàn)了軟構(gòu)件設(shè)計(jì)理念；此外，系 統(tǒng)對(duì)于眾多模塊或組件采用插件化管理方式，由統(tǒng)一的框架實(shí)現(xiàn)具體功能模塊 /組件的組裝調(diào)配，該設(shè)計(jì)方式提高了自身應(yīng)對(duì)需求變 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 27 更的可擴(kuò)展能力。 同步與備份 與各類網(wǎng)站發(fā)布方式（如 FTP、 CMS 等）無縫集成，確保網(wǎng)站內(nèi)容正常更新維護(hù)的自動(dòng)化、實(shí)時(shí)性。這不僅降低了分布式網(wǎng)站安全管理方面的難度和成本，同時(shí)也極大地提高了管理效能。當(dāng)有任何進(jìn)程（或程序）企圖對(duì)磁盤上該目錄下的被保護(hù)文件及目錄 進(jìn)行修改、刪除或新增等操作時(shí)，相應(yīng)的操作被發(fā)送到主機(jī)操作系統(tǒng)，而 網(wǎng)站防護(hù)系統(tǒng) 會(huì)在這時(shí)進(jìn)行合法性檢測(cè)。 確保瀏覽者能正常網(wǎng)頁(yè)訪問 系統(tǒng) 對(duì)原有網(wǎng)站的正常瀏覽訪問不造成任何影響。 系統(tǒng) 目前可以針對(duì)大部分的網(wǎng)站更新方式作出適應(yīng)，包括主流的內(nèi)容發(fā)布系統(tǒng)、 FTP 上傳、控制臺(tái)更新等。自適應(yīng)匹配算法包括應(yīng)用特征庫(kù)、網(wǎng)頁(yè)還原、上下文語(yǔ)義分析等，確保系統(tǒng)對(duì)注入、網(wǎng)頁(yè)掛馬等應(yīng)用層風(fēng)險(xiǎn)的全面防范。 普通的 Web 內(nèi)嵌事件觸發(fā)型防篡改軟件在發(fā)生大規(guī)模連續(xù)篡改時(shí)，需要每次通過應(yīng)用層插件計(jì)算校驗(yàn)匹配，由于不能阻止篡改發(fā)生，這些軟件需要不停的重復(fù)恢復(fù)原始網(wǎng)頁(yè)內(nèi)容，極大的占用系統(tǒng)資源和網(wǎng)絡(luò)資源，并可能造成顯示錯(cuò)誤頁(yè)給訪問用戶。 多虛擬目錄 、 多終端 管理 系統(tǒng) 能夠自動(dòng)、實(shí)時(shí)監(jiān)控多個(gè)子文件夾內(nèi)容，各子文件夾包含多個(gè)網(wǎng)站可同時(shí)進(jìn)行監(jiān)測(cè)，支持多虛擬目錄，網(wǎng)頁(yè)文件支持?jǐn)?shù)以萬計(jì)，且對(duì)系統(tǒng)性能沒有任何影響。 DPtech 正是在此背景下推出了 DPX8000 系列深度業(yè)務(wù)交換網(wǎng)關(guān)，包括 DPX8000A DPX8000A DPX8000A12 三款產(chǎn)品。 ? 強(qiáng)大的性能可擴(kuò)展性 DPtech 業(yè)務(wù)模塊作為 DPtech DPX A3/DPX A5/DPX A12 系列 深度業(yè)務(wù)交換網(wǎng)關(guān)的模塊， 用戶可以根據(jù)需要 ， 選擇 不同數(shù)量的 模塊， 方便快捷的實(shí)現(xiàn)性能擴(kuò)展。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 41 福州電信 IDC 綜合防護(hù) WAF 部署于 IDC 服務(wù)器前端，提供 Web 應(yīng)用的各種安全防護(hù)功能，滿足運(yùn)營(yíng)商集成安全要求 。 產(chǎn)品優(yōu)勢(shì) ? 先