圖1:WAF部署方案
2.WAF提供了針對核心WEB服務(wù)器群的防護;根據(jù)高校的網(wǎng)站部署的特點���,一般大學(xué)站點都具有數(shù)十個主站點����,同一臺服務(wù)器會同時具有幾個站點的特色�����,我們會區(qū)分各站點之間的不同屬性進行分類管理����,例如:普通學(xué)生登陸的站點都是HTTP協(xié)議,而教師員工登陸的管理平臺和辦公系統(tǒng)都是HTTPS協(xié)議�����,因此我們會設(shè)計一套HTTP協(xié)議的基本防御模版�����,而HTTPS協(xié)議我們會在基本保護的策略框架下,再啟用SSL加速的功能�����,來幫助提升用戶的訪問速度�����。
3.WAF自動掃描網(wǎng)站結(jié)構(gòu)����;梭子魚WAF主動掃描網(wǎng)站結(jié)構(gòu)并根據(jù)結(jié)果生成防護規(guī)則,分析整個Web站點��,并建立正常狀態(tài)模型�����。根據(jù)高校的網(wǎng)站設(shè)計的特點�,一般高校網(wǎng)站中各學(xué)院站點的設(shè)計模版都比較固定化���,梭子魚會主動尋找每一個小站點的樹型目錄和文件結(jié)構(gòu)�,幫助防御不必要外網(wǎng)“窮舉型”的攻擊����。
4.WAF自動學(xué)習(xí)用戶習(xí)慣�;WAF會自動調(diào)整外網(wǎng)用戶登陸網(wǎng)站后的使用習(xí)慣���,例如在某個學(xué)院站點的通告欄上的發(fā)貼字?jǐn)?shù)長度����,會隨著用戶習(xí)慣逐漸增多����。
5.WAF調(diào)整主動模式來過濾所有的WEB請求;根據(jù)高校的網(wǎng)站防御的特點�,一般高校的門戶網(wǎng)站都具有前端學(xué)生登陸信息平臺查看信息,后端管理人員發(fā)布學(xué)校最新動態(tài)�����、管理學(xué)生檔案�����、處理學(xué)生業(yè)務(wù)等等工作流��。所以在網(wǎng)站前端我們過濾的總體策略都是過濾常規(guī)攻擊方式,并且對進入網(wǎng)站之后所有提交的數(shù)據(jù)和語句做限定�����,在網(wǎng)站后端管理平臺�����,一方面我們將限定指定的管理人員登陸�����,另一方面我們適當(dāng)調(diào)整管理者登陸系統(tǒng)之后的限定權(quán)限����,以免發(fā)生網(wǎng)站后端被攻擊的事件?����;趯W(xué)習(xí)的主動模式目的是為了建立一個安全防護模型�����,一旦行為有差異則可以發(fā)現(xiàn)�����,比如隱藏的表單�����、限制型的Listbox值是否被篡改���、輸入的參數(shù)類型不合法等�����,這樣在面對多變的攻擊手法和未知的攻擊類型時能依靠安全防護模型動態(tài)調(diào)整防護策略��。
6.梭子魚提供簡明維護的平臺����;經(jīng)過長期的了解和溝通�,高校的網(wǎng)絡(luò)管理者非常青睞于梭子魚簡明的維護平臺和日志系統(tǒng)。一般經(jīng)過簡單的培訓(xùn)�����,他們便可以輕松的查看網(wǎng)站的安全隱患和輕松的進行安全加固��。
效果及用戶評價:
網(wǎng)站安全問題成為高校開展電子信息服務(wù)日益關(guān)注的焦點。對于客戶而言�,需要的不僅僅是網(wǎng)絡(luò)安全設(shè)備,更需要具備快速應(yīng)急響應(yīng)���、豐富實踐經(jīng)驗和強大技術(shù)實力的合作伙伴�����,為其提供專業(yè)完善的網(wǎng)站應(yīng)用安全解決方案����。梭子魚網(wǎng)絡(luò)有限公司以專業(yè)的產(chǎn)品和服務(wù)����,贏得了客戶的贊譽。
