寶界科技推出網(wǎng)頁防篡改WEB應(yīng)用防火墻(硬件)
一�����、網(wǎng)站攻擊背景分析
1���、75% 攻擊覆蓋于應(yīng)用層
2�����、現(xiàn)有單方面安全措施*為力
1、為何防火墻不能抗應(yīng)用攻擊�?
- 只對(duì)IP地址和端口起作用����,且端口都必須處于*狀態(tài)�����。 HTTP服務(wù)器通常部署在防火墻的DMZ區(qū)域���,其應(yīng)用端口不但完全向外部網(wǎng)絡(luò)*,且此方式對(duì)HTTP應(yīng)用沒有任何的保護(hù)作用����。
- 使用HTTP代理型防火墻時(shí)����,只驗(yàn)證HTTP協(xié)議本身的合法性�,完全不能分析所承載的數(shù)據(jù),更無從判斷其訪問行為是否合法����。
- 因端口掃描攻擊有難度�����,故轉(zhuǎn)向通過應(yīng)用層協(xié)議進(jìn)入企業(yè)內(nèi)部����,不僅對(duì)網(wǎng)絡(luò)協(xié)議無需深厚理解�����,且產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù),和正常數(shù)據(jù)無區(qū)別����,即順利蒙混繞過達(dá)成攻擊目的���。
2�����、為何IDS不能抗應(yīng)用攻擊
- 入侵檢測(cè)技術(shù)中最成熟的是攻擊特征檢測(cè)���。
- 入侵檢測(cè)系統(tǒng)利用含有已知攻擊特征的數(shù)據(jù)庫����,來判斷是否匹配符合�����,若非即是���。
- 入侵檢測(cè)技術(shù)的局限性�,對(duì)于未知及不能有效提取攻擊特征的���,不能檢測(cè)和防御����。
- 入侵檢測(cè)技術(shù)實(shí)現(xiàn)的矛盾,防御的攻擊和所需的規(guī)則一旦水漲船高�����,系統(tǒng)出現(xiàn)的虛假報(bào)告(正常連接的被迫中斷)率就會(huì)上升�����,且系統(tǒng)的效率降低�。
- 對(duì)于采用SSL加密���、編碼、碎化等方式的應(yīng)用程序���,數(shù)據(jù)流�,均無法識(shí)別
3、單純文件防篡改系統(tǒng)也存在缺陷
- 利用網(wǎng)站服務(wù)器未打補(bǔ)丁進(jìn)行溢出攻擊,或網(wǎng)站服務(wù)器對(duì)外*了某些存在缺陷的服務(wù)���,造成系統(tǒng)管理員密碼被破解�,那么相應(yīng)的文件防篡改軟件的進(jìn)程將有可能會(huì)被禁用���,或IIS指向的網(wǎng)站的目錄被重定向�,都將會(huì)使防篡改軟件的功能失效���。
- 網(wǎng)站服務(wù)器遠(yuǎn)程維護(hù)不可避免�,相應(yīng)的遠(yuǎn)程維護(hù)軟件端口被迫對(duì)外*�����,這將會(huì)給黑客有機(jī)可乘�����。
- 在IIS或apache系統(tǒng)上做防sql注入����,黑客可輕松繞過�。
針對(duì)以上綜合分析�,我們提出了寶界網(wǎng)站保護(hù)整體解決方案,它集防火墻+VPN+IPS+網(wǎng)頁防篡改多種防黑技術(shù)為一體,更為有效全面的保護(hù)了政府����、企業(yè)的網(wǎng)站�����。
二�����、 寶界網(wǎng)站防篡改WEB應(yīng)用防火墻各功能模塊組成
1、網(wǎng)絡(luò)層防護(hù)模塊功能
- 有效抵御各種DoS/DDoS攻擊
- 有效解決內(nèi)網(wǎng)ARP病毒攻擊對(duì)WEB服務(wù)器的影響
- 內(nèi)置入侵檢測(cè)模塊,檢測(cè)阻斷常見的網(wǎng)絡(luò)攻擊行為
- 對(duì)WEB服務(wù)器的流量進(jìn)行整形,保證WEB服務(wù)器的帶寬
- 支持多一臺(tái)WEB服務(wù)器,以多外網(wǎng)IP地址向外發(fā)布
- 支持多臺(tái)WEB服務(wù)器負(fù)載均衡
2���、應(yīng)用層防護(hù)模塊功能
- SSL VPN---網(wǎng)站管理員遠(yuǎn)程VPN撥入后,再使用遠(yuǎn)程維護(hù)軟件���,無需對(duì)外*遠(yuǎn)程桌面�����、PCANYWHERE等軟件的端口����。減少黑客攻擊的可能性
- 提供防SQL 注入功能
- 提供強(qiáng)大的日志管理和日志審計(jì)軟件(有報(bào)表和圖形二種形式)
3、文件層防護(hù)模塊功能
- 第三代核心內(nèi)嵌技術(shù)
- 結(jié)合事件觸發(fā)機(jī)制的基于文件過濾驅(qū)動(dòng)級(jí)多因子檢測(cè)技術(shù) :保護(hù)靜態(tài)內(nèi)容的完整性
- 應(yīng)用防護(hù)技術(shù):保護(hù)動(dòng)態(tài)內(nèi)容的完整性
- 可靠的防護(hù)效果
- 杜絕非法網(wǎng)頁被訪問的可能性
- 杜絕利用腳本實(shí)施注入式攻擊
- 跨平臺(tái)全系列支持
操作系統(tǒng):支持Windows、Linux���、Unix
Web服務(wù)器:支持IIS、Apache�、J2EE
三����、 寶界網(wǎng)站防篡改WEB應(yīng)用防火墻系統(tǒng)網(wǎng)絡(luò)部署拓?fù)鋱D網(wǎng)絡(luò)層防護(hù)部署拓?fù)鋱D
1�、網(wǎng)絡(luò)層防護(hù)部署拓?fù)鋱D
2�、文件層防護(hù)部署拓?fù)鋱D
四���、寶界網(wǎng)頁防篡改WEB應(yīng)用防火墻系統(tǒng)優(yōu)勢(shì)總結(jié)
1、關(guān)鍵優(yōu)勢(shì)
- 技術(shù)先進(jìn)����,采用第三代防篡改技術(shù)���,成熟����、穩(wěn)定�、可靠;從根本上杜絕非法進(jìn)程篡改WEB服務(wù)器網(wǎng)頁
- 不需要額外的備份服務(wù)器,減小了系統(tǒng)部署的難度�,特別是主機(jī)托管類型的用戶
- 效率較高����,對(duì)服務(wù)器資源消耗低于2%,遠(yuǎn)高于同類產(chǎn)品����;不存在篡改網(wǎng)頁對(duì)比水印�����,實(shí)時(shí)恢復(fù)的延遲����。
- 采用立體防護(hù)措施���,與網(wǎng)絡(luò)層設(shè)備防火墻����、入侵檢測(cè)系統(tǒng)進(jìn)行互動(dòng)����,一旦發(fā)現(xiàn)攻擊篡改行為立即告知防火墻����、入侵檢測(cè)系統(tǒng)�����,由它們自動(dòng)判斷攻擊源�,實(shí)時(shí)切斷其網(wǎng)絡(luò)鏈接����。
- 汲取廣大網(wǎng)管員建議�����,操作及其簡便�,可在一個(gè)控制臺(tái)上管理多個(gè)服務(wù)器,以及服務(wù)器上的多個(gè)網(wǎng)站�,大大提高工作人員效率;
- 產(chǎn)品不僅僅適合web網(wǎng)站�,而且適用于���,F(xiàn)TP服務(wù)器�����、共享文件柜、ERP����、OA、CRM等應(yīng)用程序���。
- 安全性高,不僅使用了PKI雙因子身份認(rèn)證���,而且采用了SSL 加密傳輸協(xié)議�,保證文件上傳過程不被截取���。
2�、主要特點(diǎn)
- 基于事件觸發(fā)機(jī)制�����,節(jié)省服務(wù)器自身資源���;
- 基于驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù)�����,支持各類格式�����,包含各類動(dòng)態(tài)頁面�;
- 支持大規(guī)模虛擬機(jī)�、熱備網(wǎng)站系統(tǒng)部署;
- 支持?jǐn)嗑€狀態(tài)下篡改檢測(cè)����,后臺(tái)自動(dòng)運(yùn)行;
- 完全防護(hù)技術(shù),支持大規(guī)模連續(xù)篡改攻擊防護(hù)�����;
- 完全杜絕被篡改內(nèi)容被外界瀏覽;
- 支持單獨(dú)文件篡改保護(hù)�;
- 支持文件夾篡改保護(hù)���;
- 支持多級(jí)目錄文件夾內(nèi)容篡改保護(hù)����;
- *支持SQL注入攻擊防護(hù)����;
- *支持跨站腳本攻擊防護(hù);
- *支持對(duì)系統(tǒng)文件的訪問防護(hù)���;
- *支持特殊字符構(gòu)成的URL利用防護(hù)�����;
- *支持對(duì)危險(xiǎn)系統(tǒng)路徑的訪問防護(hù)����;
- *支持構(gòu)造危險(xiǎn)的Cookie攻擊防護(hù);
- *各類攻擊的變種防護(hù)�;
3、管理特點(diǎn)
- 支持多用戶管理功能���;
- 自動(dòng)檢測(cè)文件系統(tǒng)變化�����,并實(shí)時(shí)記入日志�����;
- 支持聲音告警、郵件告警或定制短信告警模塊等功能���;
- 實(shí)現(xiàn)網(wǎng)站內(nèi)容修改記錄的完全審計(jì)功能�����,支持導(dǎo)出查詢���;
- 系統(tǒng)C/S結(jié)構(gòu),確保高可靠性�;
- 策略設(shè)置支持即時(shí)生效�,無需重啟;
- 系統(tǒng)全中文界面,操作�����、配置方便,網(wǎng)絡(luò)管理人員僅需十分鐘即可熟練完成系統(tǒng)初始配置�,大大提高工作效率�;
3���、部署靈活
- 支持多站點(diǎn)分布式部署�����,統(tǒng)一集中管理功能�����;
- 部署簡單���,無需改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)�;
- 支持服務(wù)器冗余雙機(jī)及負(fù)載均衡分布�����;
- 支持用戶認(rèn)證���,采用加密傳輸����,安全可靠���;
- 傳輸過程加密防竊聽和防篡改�;
聯(lián)系方式
聯(lián)系人:嚴(yán)先生,裘先生
手機(jī): 13951568951,15251683135
Email: softvpn@163.com
MSN: yanbenshan8951@hotmail.com
QQ: 760005682,564238409
網(wǎng)站: www.
|
