銳捷網(wǎng)絡(luò)政務(wù)門(mén)戶網(wǎng)站安全解決方案
背景及問(wèn)題
近年來(lái)����,隨著政務(wù)網(wǎng)站所運(yùn)行業(yè)務(wù)的重要性逐漸增加以及其公眾性質(zhì)使其越來(lái)越成為攻擊和威脅的主要目標(biāo),政府網(wǎng)站所面臨的Web應(yīng)用安全問(wèn)題越來(lái)越復(fù)雜�����,混合威脅的風(fēng)險(xiǎn)正在飛速增長(zhǎng)����,如網(wǎng)頁(yè)篡改��、蠕蟲(chóng)病毒���、DDoS攻擊、SQL注入�����、跨站腳本�、Web應(yīng)用安全漏洞利用等,極大地困擾著政府和公眾用戶�����,給政府的政務(wù)形象���、信息網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴(yán)重的破壞�。據(jù)CNCERT最新統(tǒng)計(jì)顯示���,2010年我國(guó)大陸地區(qū)政府網(wǎng)頁(yè)遭篡改事件呈大幅增長(zhǎng)趨勢(shì)��。
電子政府網(wǎng)站建設(shè)需求
電子政府網(wǎng)站的安全關(guān)系到電子政務(wù)事業(yè)能夠有效開(kāi)展�����,發(fā)揮作用����。等級(jí)保護(hù)體系也對(duì)網(wǎng)站安全提出了要求?���!秶?guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)》更是給出了電子政務(wù)門(mén)戶網(wǎng)站防護(hù)體系更明確的信息。
國(guó)內(nèi)各級(jí)政府網(wǎng)站正在向“服務(wù)平臺(tái)化�、站點(diǎn)集群化”的政府門(mén)戶網(wǎng)站的特點(diǎn)發(fā)展。通過(guò)���,在各級(jí)政府網(wǎng)站中的在線服務(wù)引導(dǎo)和電子政務(wù)����、服務(wù)結(jié)果查詢����,將政府各局�、各部門(mén)聯(lián)系在一起,共同組成一座龐大且實(shí)用的“一站式���、一體化”的政府電子政務(wù)服務(wù)平臺(tái)�。主要采用三層架構(gòu)設(shè)計(jì),從下至上分別為:數(shù)據(jù)訪問(wèn)層����、業(yè)務(wù)邏輯層、表示層��。
銳捷網(wǎng)絡(luò)WebGuard解決方案
RG-WG系列銳捷WebGuard(簡(jiǎn)稱WG)應(yīng)用保護(hù)系統(tǒng)�,是銳捷網(wǎng)絡(luò)專門(mén)解決上述Web應(yīng)用安全問(wèn)題設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備。銳捷WebGuard基于對(duì)HTTP/HTTPS流量?jī)?nèi)容的雙向檢測(cè)分析���,識(shí)別檢測(cè)各類Web編碼�、交互技術(shù)�、URL參數(shù)以及表單輸入等,為Web應(yīng)用提供實(shí)時(shí)�����、動(dòng)態(tài)的主動(dòng)性防護(hù)�。
各省級(jí)和中央的政府門(mén)戶網(wǎng)站一般都是在電子政務(wù)外網(wǎng)的數(shù)據(jù)中心,服務(wù)器數(shù)量眾多���,不單是為市民�����、企業(yè)提供政務(wù)業(yè)務(wù)����,還需要為各級(jí)地市提供政府辦公業(yè)務(wù),RG-WG部署在電子政務(wù)外網(wǎng)數(shù)據(jù)中心的前端�,可根據(jù)不同的安全域,不同的web服務(wù)特點(diǎn)和不同的代碼特點(diǎn)����,分別制定不同的個(gè)性化的安全訪問(wèn)策略,從而為眾多安全域提供集中式��、個(gè)性化的安全防護(hù)��。
RG-WG的處理性能可以達(dá)到10G����,不但可以滿足省級(jí)和中央的政府門(mén)戶網(wǎng)站高可靠的要求,在重要的活動(dòng)期間也可以根據(jù)策略的調(diào)整����,適應(yīng)大流量�、大訪問(wèn)量,多攻擊事件的高性能要求。如下圖所示:
各級(jí)地市��、區(qū)縣的政府門(mén)戶網(wǎng)站架構(gòu)相對(duì)比較簡(jiǎn)單�。依據(jù)“2010年政府網(wǎng)站績(jī)效考核各項(xiàng)指標(biāo)”,各級(jí)地市�、區(qū)縣政府以實(shí)現(xiàn)集安全、資源整合����、在線服務(wù)、信息公開(kāi)����、民主參與于一身的政府網(wǎng)站平臺(tái)為建設(shè)目標(biāo)。
RG-WG部署在政府網(wǎng)站W(wǎng)eb服務(wù)器的前端���,做為客戶端與WEB服務(wù)器端請(qǐng)求與響應(yīng)的中間人�,實(shí)時(shí)過(guò)濾阻斷或屏蔽跨站腳本����、SQL注入及惡意攻擊,從而保障政府網(wǎng)站面向居民�、企業(yè)、外籍人士及同級(jí)政府提供各種穩(wěn)定��、可靠、安全在線政務(wù)服務(wù)����。如下圖所示:
各級(jí)地市政府專業(yè)單獨(dú)防護(hù)
特色優(yōu)勢(shì)
1.全時(shí)空四維度防護(hù)策略
WG采用事前檢測(cè)、事中防護(hù)和事后恢復(fù)的“全時(shí)空”策略�����。既能在事前防御防范與未然��,又能在事后進(jìn)行頁(yè)面恢復(fù)��。設(shè)備能緩存網(wǎng)頁(yè)內(nèi)容�。當(dāng)網(wǎng)站被篡改時(shí),設(shè)備將緩存的正確頁(yè)面返回給訪問(wèn)者�����,保證對(duì)外顯示的始終是正確頁(yè)面����。
2.雙向網(wǎng)站實(shí)時(shí)檢測(cè)過(guò)濾
RG-WG作為web客戶端與服務(wù)器端請(qǐng)求與響應(yīng)的中間人,避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)上��,檢測(cè)過(guò)濾HTTP/HTTPS雙向交互流量數(shù)據(jù)��,對(duì)其中的惡意成分進(jìn)行實(shí)時(shí)在線清洗過(guò)濾�。
3.關(guān)鍵字過(guò)濾、黑白名單功能
根據(jù)客戶的使用需求��,防止網(wǎng)站論壇被上傳非法反動(dòng)言論���,或網(wǎng)頁(yè)被篡改為非法言論��,支持關(guān)鍵字過(guò)濾�。同時(shí)RG-WG系列能將確認(rèn)為攻擊的源IP自動(dòng)加入黑名單����,并且提供自動(dòng)解禁時(shí)間,不需要任何人工的操作���。
4.虛擬WAF與分級(jí)管理
單一WAF 設(shè)備支持多個(gè)網(wǎng)站管理員分別配置管理防護(hù)策略����,并提供獨(dú)立的攻擊事件報(bào)警���、分析日志與報(bào)表��。此功能非常適合具有一定數(shù)目web 服務(wù)器群的企業(yè)使用����,方便網(wǎng)絡(luò)運(yùn)營(yíng)管理,減輕設(shè)備管理員的工作量��,解決眾多網(wǎng)站所帶來(lái)的策略維護(hù)與管理的問(wèn)題�。
5.“零配置”初次運(yùn)行、一站式防護(hù)
Cisco�����、Impreva等廠商采用白名單工作方式����,使用時(shí)需要針對(duì)每個(gè)頁(yè)面的HTTP各字段進(jìn)行配置;對(duì)客戶技術(shù)水平要求高�,否則無(wú)法發(fā)揮出產(chǎn)品功效。
WG針對(duì)國(guó)內(nèi)常見(jiàn)的攻擊����,預(yù)置了攻擊防御策略;設(shè)備上線���,無(wú)需配置即可防御絕大多數(shù)攻擊�����;同時(shí)也提供白名單功能�,供高級(jí)客戶使用。
方案效果
WG可以對(duì)電子政務(wù)門(mén)戶網(wǎng)站進(jìn)行有效的安全防護(hù)��,避免入侵攻擊����、網(wǎng)頁(yè)篡改以及信息泄露等安全事件的發(fā)生����,保障電子政務(wù)門(mén)戶網(wǎng)站的長(zhǎng)期安全、穩(wěn)定的運(yùn)營(yíng)��;銳捷網(wǎng)絡(luò)電子政務(wù)門(mén)戶網(wǎng)站在全國(guó)各省市已經(jīng)部署了眾多的案例并獲得了廣泛認(rèn)可����。
