再看一下传统设备对WEB应用系统防护,一方面看一下它的工作原理,我们看一下防火墙,它的最基本原理就是对你的地址或者端口进行数据保温的过滤,有一个特点,它无法检测到应用层的攻击。那么再看一下IPS-IDS,由于它缺少协议完整性检测以及应用层的运行状态,导致了对于一些伪冒正常的请求特定攻击无法检测,比如SQL、CC攻击等。
传统的网络设备缺乏对用户身份和基于角色细粒度的授权管理,对威权访问方面的控制能力很差。同时我们在另一个角度来看一下,就是我们自身,我们往往为增强WEB应用系统的安全性,往往每个应用系统都会建立自己的认证系统,导致一个实际用户有多套用户名和口令的现象,造成用户帐号或密码遗忘现象时有发生,或者一套简单用户名和密码多个系统使用,造成口令过于简单、保密强度降低、用户身份管理混乱等问题。也为我们应用系统安全带来了很大的隐患。
最后一点,大家都知道我们现在有各种WEB服务器和应用服务器的种类很多,包括开源的IS,包括j2ee的应用服务其,这对管理人员提出了很高的要求,如果我们对各种配置不当也会造成很大的安全隐患。那么WEB攻击已经成为了不可忽视的问题,也曾经了我们后续安全网络建设的重点。
首先看一下WEB攻击的分类,总体上可以分为三大类:输入攻击、授权和访问的攻击、可用性的攻击。下面我们看一下捷普针对这个问题提出的完整解决方案。先介绍一下服务器安全防护系统,它可以说是一种多技术的融合体,包括防火墙技术、VPN技术、检测管理技术、认证审计技术,通过不同的层次为用户提供全方位、多层次的防护。这是一个非常简单的系统防护图,可以看出安全网关实现了服务器系统和访问系统的隔离。下面我们看一下在产品设计上的主要思路,这可以归结为三点,第一点我们可以实现服务器网络与访问网络的隔离,建立服务器群组的物理安全域。从另外一点来讲,就是说,最简单的一点,我们建条防线,不要把我们的内容暴露在所有人、所有用户面前。第二,从网络层到应用层安全防范整体考虑,以便有效的对各种安全攻击进行防护,提高WEB应用系统的安全性。第三,根据用户信息身份进行授权管理。
在网络层上我们有自己的防火墙模块以及抗DDS攻击模块,在几个层面上去抵挡网络层的攻击,在VPN层面上我们会保证我们数据的完整性,在网络层上我们有日志检测、授权管理等应用模块。
下面看一下对一个简单的应用请求的防护过程。首先用户发起一个请求,那么我们会对他的信息进行审核,如果通过之后我们就会进行更深层次的分析,分析这个请求是否合法,另外一方面会对他的内容进行深层次的检测,看这个请求是不是潜在着安全攻击,另外我们还会对他的行为进行检测,只有通过这些才能使请求进入到WEB服务器。
那么现在看一下,WEB服务器安全了?后面的数据是不是达到安全了呢?今天的主题是可信安全,那我们在部署当中有些层面还没有达到安全的部署,我们的服务器系统也在强调安全接入,我们虽然强调可信接入技术,最基本的也就是身份认证,通过了才能访问我们的资源。
大家可以回忆一下,不管防火墙、IPS,我都是基于我IP地址的目的,进入到原端模块和我们的协议,而在这些产品设计上我们强调了面向资源的东西,对于应用系统来讲强调的是资源的安全性。
大家可以看一下这是一个授权的过程,我们可以授权这个用户对服务器A上的资源1进行访问,同时我们也可以授权这个用户对服务器B对资源2不能访问。
我们前面提到WEB攻击的三个分类,下面介绍一下对于攻击的检测,系统检测引擎根据IETE规范,对HTTP、HTTPS等协议进行完整性检查,对不符合协议规范的非法、恶意访问进行过滤。第二个方面,基于特征的攻击检测,我们这套系统建立了丰富的攻击特征库。我们可以看到对跨站脚本攻击、SQL注入攻击等都可以进行过滤。第三个攻击检测是基于访问行为的攻击检测,系统检测引擎建立了一套完整的基于会话的攻击检测规则,对用户的访问行为进行分析。
今天我向大家介绍了捷普对应用安全的一些应对措施,谢谢大家。
| 共2页: 上一页 [1] 2 |
| 【内容导航】 |
| |
服 务 CIO 推 进 信 息 化
|
|
