设为首页收藏本站不良信息举报Q:2000617

ROS软路由论坛 ROSABC.com 网络方案网络工程交流

 找回密码
 会员注册

QQ登录

只需一步,快速开始

ROS软路由论坛 ROSABC.com 网络方案网络工程交流 »论坛 »软路由论坛 软路由论坛 网站服务器安全,安装WEB防火墙应用
返回列表 发新帖
查看: 6421|回复: 9

网站服务器安全,安装WEB防火墙应用

[复制链接]
系统集成
 楼主| 发表于 2013-5-28 10:36:46 | 显示全部楼层 |阅读模式

马上注册成为ROSABC会员,随时发帖回复。

您需要 登录 才可以下载或查看,没有账号?会员注册

x

  当时,运用网上随处可见的侵犯软件,侵犯者不需要对网络协议的深重知道基础,即可结束比方交换Web网站主页,盗取处置员暗码,数据库写入和损坏整个网站数据等等侵犯。而这些侵犯过程中发生的网络层数据,和正常数据没有什么区别。
1744520.gif


  以下是国家核算机网络应急技术处置调和中心(CNCERT/CC)核算的2008年上半年中国国内网站被黑被篡改的核算图,在1月-7月内仅发现的被篡改的网站就多达41,000多个,均匀每天就有近200个网站被篡改,这真是一个惊人的数字。

  下图是CNCERT/CC从2003-2007的被篡改网站的前史核算图:
1744521.gif

  从上图的对比中我们看出,网站被篡改的数目以每年2-3倍的递加速度还在不断的上升趋势傍边。在WEB运用如此广泛,如此至关重要的今天,可以说,网站的防黑防篡改处置计划,已经是每一个公司或事业单位网络运维有些的迫在眉急的重大任务。

  许多用户认为,在网络中安置多层的防火墙,侵犯检测系统(IDS),侵犯防护系统(IPS)等设备,就可以保证网络的安全性,就能悉数立体的防护WEB运用了,可是为何依据WEB运用的侵犯工作仍然不断发生?其根柢的缘由在于传统的网络安全设备关于运用层的侵犯防范,作用十分有限。当时的大多防火墙都是作业在网络层,通过对网络层的数据过滤(依据TCP/IP报文头部的ACL)完结访问控制的功用;通过情况防火墙保证内部网络不会被外部网络不合法接入。悉数的处置都是在网络层,而运用层侵犯的特征在网络层次上是无法检测出来的。IDS,IPS通过运用深包检测的技术检查网络数据中的运用层流量,和侵犯特征库进行匹配,然后辨认出以知的网络侵犯,抵达对运用层侵犯的防护。可是关于不知道侵犯,和将来才会出现的侵犯,以及通过活络编码和报文分割来完结的运用层侵犯,IDS和IPS一样不能有用的防护。

  WEB运用防火墙的出现处置了这方面的难题,运用防火墙通过实行运用会话内部的央求来处置运用层,它专门保护Web运用通讯流和悉数相关的运用资源免受运用Web协议或运用程序缝隙建议的侵犯。运用防火墙可以阻止将运用举动用于恶意目的的浏览器和HTTP侵犯,一些健壮的运用防火墙甚至可以仿照署理成为网站服务器接受运用交给,形象的来说相当于给原网站加上了一个安全的绝缘外壳。

  下面我们就用一款如今业界比较广泛的Barracuda-NC运用防火墙来举例,来看看运用防火墙是怎样保护网站防止被恶意写入和篡改的了。

  网络架构和安置:双臂署理方式

  双臂署理方式是Web运用防火墙安置种的最佳方式。这个方式也是拓扑过程中举荐的方式,可以供应最佳的安全功用。

  在此方式中,悉数的数据端口都将被打开;端口eth1是对外的,直接面向因特网的端口;端口eth2将会和内部的设备(沟通机等)进行联接,是面向内部的。处置端口可以被分配到另一个网段,我们举荐将处置数据和实习的流量分别,防止因为实习流量和处置数据的冲突。

  以下为示例拓扑图:
1744522.gif

  网络完结:

  1、前端端口和后端端口位于不一样的网段,悉数外部客户将会和运用虚拟IP地址进行联接,此虚拟ip将会和前端端口(eth1)进行绑定

  2、客户的联接将会在设备上中止,进行安全检查和过滤

  3、合法的流量将会由后端端口(eth2)建立新的联接到负载均衡设备

  4、负载均衡进行流量的负载

  5、双臂署理方式可以打开悉数的安全功用

  作业特征:依据运用层的检测,一同又具有依据情况的网络防火墙的优势

  对运用数据录入无缺检查、HTTP包头重写、逼迫HTTP协议合规化,根绝各种运用协议缝隙的侵犯和权限提升

  预期数据的无缺知识(CompleteKnowledgeofexpectedvalues),防止各种方式的SQL/指令写入,跨站式脚本侵犯

  实时战略生成及实行,依据您的运用程序定义相应的保护战略,而不是千人一面的厂家预定义防侵犯战略,无缝的砌合您的运用程序,不会构成任何运用失真。
1744523.gif

  网站悉数隐身:黑客再独特也无法侵犯看不见的东西

  Barracuda-NC运用防火墙对外部访问网站进行隐身,可以躲藏真实的Web服务器类型、运用服务器类型、操作系统、版别号、版别更新程度、已知安全缝隙、真实IP地址、内部作业站信息,让黑客看不见,摸不着,勘探不到,天然也无从猜测分析和侵犯。以下即是一款常用扫描东西扫描通过Barracuda-NC运用防火墙躲藏的网站的效果。
1744524.gif

  一同,它还能辨认各种爬行勘探程序,只允许正常的搜索引擎爬虫进入,抵御黑客爬行程序于门外,让想通过勘探判定侵犯政策的黑客彻底无门。

  除此之外,做为一款健壮的运用防火墙,Barracuda-NC运用防火墙还有许多运用交给功用:运用数据缓存,数据压缩,TCP联接池,SSLOffloading,7层内容沟通负载均衡等等,彻底可以替代其他运用层沟通设备,做为运用层沟通的国家栋梁。


网站服务器, 防火墙

相关帖子

A币获取各种方法及积分规则
回复

举报

nfjuv
发表于 2013-6-14 11:32:43 | 显示全部楼层

                               
登录/注册后可看大图
回复 支持 反对

举报

bwangshang
发表于 2014-8-8 18:02:26 | 显示全部楼层
o(∩_∩)o    o(∩_∩)o
回复 支持 反对

举报

huhoon
发表于 2014-10-5 11:16:39 | 显示全部楼层
没来得急看,应该不错,先帮你顶
回复 支持 反对

举报

huhoon
发表于 2014-10-5 11:16:54 | 显示全部楼层
没来得急看,应该不错,先帮你顶
回复 支持 反对

举报

huhoon
发表于 2014-10-5 11:17:48 | 显示全部楼层
没来得急看,应该不错,先帮你顶
回复 支持 反对

举报

huhoon
发表于 2014-10-5 11:18:33 | 显示全部楼层
没来得急看,应该不错,先帮你顶
回复 支持 反对

举报

huhoon
发表于 2014-10-5 11:20:30 | 显示全部楼层
没来得急看,应该不错,先帮你顶
回复 支持 反对

举报

huhoon
发表于 2014-10-5 11:20:42 | 显示全部楼层
没来得急看,应该不错,先帮你顶
回复 支持 反对

举报

huhoon
发表于 2014-10-5 11:20:53 | 显示全部楼层
没来得急看,应该不错,先帮你顶
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

不良信息举报Q:2000617

软路由

不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流

GMT+8, 2025-8-6 10:36 , Processed in 0.655997 second(s), 27 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表