|
簡(jiǎn)析高校網(wǎng)絡(luò)攻擊及網(wǎng)站防篡改解決方案
畢業(yè)論文網(wǎng) 2009/7/30
(接上頁(yè))出臺(tái)相應(yīng)安全政策以及保證對(duì)用戶(hù)定時(shí)的安全培訓(xùn)也是相當(dāng)重要的。用戶(hù)本地計(jì)算機(jī)可采取些輔助措施保護(hù)計(jì)算機(jī)系統(tǒng)的安全���,如本地硬盤(pán)克隆���、局域網(wǎng)硬盤(pán)克隆技術(shù)等。高校網(wǎng)站防篡改解決方案
很多網(wǎng)絡(luò)管理者認(rèn)為��,在網(wǎng)絡(luò)中部署多層的防火墻�����、入侵檢測(cè)系統(tǒng)(IDS)��、入侵防御系統(tǒng)(IPS)等設(shè)備,就可以保障網(wǎng)絡(luò)的安全性��,就能全面立體地防護(hù)Web應(yīng)用了����,但是為何基于WEB應(yīng)用的攻擊事件仍然不斷發(fā)生����?其根本的原因在于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備對(duì)于應(yīng)用層的攻擊防范,作用十分有限��。目前的防火墻大多是工作在網(wǎng)絡(luò)層�,通過(guò)對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)過(guò)濾(基于TCP/IP報(bào)文頭部的ACL)實(shí)現(xiàn)訪問(wèn)控制的功能,通過(guò)防火墻保證內(nèi)部網(wǎng)絡(luò)不會(huì)被外部網(wǎng)絡(luò)非法接入��,而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層上是無(wú)法檢測(cè)出來(lái)的��。IDS��、IPS通過(guò)使用深度包檢測(cè)技術(shù)檢查網(wǎng)絡(luò)數(shù)據(jù)中的應(yīng)用層流量�����,和攻擊特征庫(kù)進(jìn)行匹配�,從而識(shí)別出已知的網(wǎng)絡(luò)攻擊����,達(dá)到對(duì)應(yīng)用層攻擊的防護(hù)��。但是對(duì)于未知攻擊��,以及通過(guò)靈活編碼和報(bào)文分割來(lái)實(shí)現(xiàn)的應(yīng)用層攻擊����,IDS和IPS同樣不能實(shí)現(xiàn)有效的防護(hù)。
Web應(yīng)用防火墻的出現(xiàn)解決了這方面的難題���,應(yīng)用防火墻通過(guò)執(zhí)行應(yīng)用會(huì)話(huà)內(nèi)部的請(qǐng)求來(lái)處理應(yīng)用層�,它專(zhuān)門(mén)保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊�。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊,一些強(qiáng)大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付����,形象地來(lái)說(shuō)相當(dāng)于給原網(wǎng)站加上了一個(gè)安全的絕緣外殼。
下面以當(dāng)前使用比較普遍的Barracuda-NC應(yīng)用防火墻來(lái)為例�,說(shuō)明應(yīng)用防火墻是如何保護(hù)網(wǎng)站防止被惡意注入和篡改。
網(wǎng)絡(luò)架構(gòu)和部署:雙臂代理模式雙臂代理模式是Web應(yīng)用防火墻部署中的最佳模式����。這個(gè)模式也是拓?fù)溥^(guò)程中推薦的模式���,能夠提供最佳的安全性能。在此模式中�,所有的數(shù)據(jù)端口都將被開(kāi)啟;端口eth1是對(duì)外的�,直接面向因特網(wǎng)端口�����;端口eth2面向內(nèi)部��,將會(huì)和內(nèi)部的設(shè)備(交換機(jī)等)進(jìn)行連接��。管理端口可以被分配到另一個(gè)網(wǎng)段��,建議將管理數(shù)據(jù)和實(shí)際流量分離����,避免二者的沖突。
網(wǎng)絡(luò)實(shí)現(xiàn)(1)前端端口和后端端口位于不同的網(wǎng)段�����,所有外部客戶(hù)將會(huì)和應(yīng)用虛擬IP地址進(jìn)行連接����,此虛擬IP將會(huì)和前端端口(eth1)進(jìn)行綁定����。(2)客戶(hù)的連接將會(huì)在設(shè)備上終止���,進(jìn)行安全檢查和過(guò)濾���。(3)合法的流量將會(huì)由后端端口(eth2)建立新的連接到負(fù)載均衡設(shè)備。(4)負(fù)載均衡進(jìn)行流量的負(fù)載���。(5)雙臂代理模式可以開(kāi)啟所有的安全功能�����。
工作特點(diǎn):基于應(yīng)用層的檢測(cè)����,同時(shí)又擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢(shì)(1)對(duì)應(yīng)用數(shù)據(jù)錄入完整檢查���、HTTP包頭重寫(xiě)�����、強(qiáng)制HTTP協(xié)議合規(guī)化�,杜絕各種利用協(xié)議漏洞的攻擊和權(quán)限提升。(2)預(yù)期數(shù)據(jù)的完整知識(shí)��,防止各種形式的SQL命令注入��,跨站式腳本攻擊���。(3)實(shí)時(shí)策略生成及執(zhí)行���,根據(jù)您的應(yīng)用程序定義相應(yīng)的保護(hù)策略��,無(wú)縫地砌合用戶(hù)的應(yīng)用程序���,不會(huì)造成任何應(yīng)用失真�。
網(wǎng)站全面隱身Barracuda-NC應(yīng)用防火墻對(duì)外部訪問(wèn)網(wǎng)站隱身���,可以隱藏真實(shí)的Web服務(wù)器類(lèi)型����、應(yīng)用服務(wù)器類(lèi)型�、操作系統(tǒng)�����、版本號(hào)����、版本更新程度�����、已知安全漏洞����、真實(shí)IP地址、內(nèi)部工作站信息��,讓黑客看不見(jiàn)��、摸不著��、探測(cè)不到�����,自然也無(wú)從猜測(cè)分析和攻擊。同時(shí)����,它還能識(shí)別各種爬行探測(cè)程序,只允許正常的搜索引擎爬蟲(chóng)進(jìn)入����,抵御黑客爬行程序于門(mén)外,讓想通過(guò)探測(cè)確定攻擊目標(biāo)的黑客徹底無(wú)門(mén)�。
參考文獻(xiàn):
[1]李大友,邱建霞.計(jì)算機(jī)網(wǎng)絡(luò)(第二版)[M].北京:清華大學(xué)出版社���,2003.9
[2]徐敬東����,張建忠.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社�,2002.
[3]william stallings.高速網(wǎng)絡(luò)與互聯(lián)網(wǎng)——性能與服務(wù)質(zhì)量(第二版)[M].北京:電子工業(yè)出版社���,2003.
[4]鐘小平��,張金石.網(wǎng)絡(luò)服務(wù)器配置與應(yīng)用(第二版)[M].北京:人民郵電出版社�����,2004.
|