【文档密级:内部使用】 |
安恒玄武盾 |
技术白皮书 杭州安恒信息技术股份有限公司 二〇二〇年三月 |
1. 安全背景
随着越来越多的用户将传统的业务系统迁移至云平台中,而目前众多云平台企业关注的更多是基础实施的完善和业务的开展,对于安全层面的关注较少,对于云端安全形势非常严峻,部分政企网站在建设、运维等环节存在着技术或管理上的漏洞与隐患,会面临安全预警难实现、攻击行为难发现、安全通报难处理、事后追踪溯源难等安全问题,而目前基本都采用传统的硬件WAF部署,一方面部署比较废时废力,而且用户需要重复投资安全设备,另一方面用户需要自己管理和运营安全产品,对于缺乏安全专业知识的用户带来困扰。
2. 产品介绍
2.1. 产品概述
安恒玄武盾采用“事前检测+事中防护+事后分析”整体WEB安全生命周期解决方案,事前采用云监测对用户网站进行漏洞监测,事中采用零部署云防护方案,用户无需在本地部署任何安全设备,只需将DNS映射至玄武盾CNAME别名地址或将网站NS解析为安恒玄武盾DNS服务器,玄武盾全国DNS调度中心会对全国的用户访问进行就近选路,用户的访问先经过云DDO
S清洗中心,安恒云DDOS清洗中心具备300G防护能力,可清洗黑客发起的Syn-flood、upd-flood、tcp-flood、应用层CC等DDOS攻击。云WAF对SQL注入、跨站脚本、Webshell上传、WEB组件漏洞等安全风险进行防护,事后采用大数据分析形成可视化报告和统计分析报表,并通过手机APP云管理服务提供数据分析和查看。
接入安恒玄武盾后,安恒提供了7*24小时监测服务,可实现监测网站可用性、应用漏洞、安全事件等安全问题。
重点网站部署防篡改模块进行重点防护,防止页面被篡改,7*24小时运维团队实时进行监测运维,发现网站出现漏洞或大规模0day攻击时进行虚拟补丁修复,对海量日志进行大数据分析,及时发现并处理误报、漏报等情况。
2.2. WEB监测功能
2.2.1. 基础信息采集模块
通过分布式爬虫技术,对政府网站进行爬取与分析,获得网站指纹信息,进行基础数据的收集与持续更新,协助开展网站摸底工作,检查与校验网站备案情况等。基础信息采集如下数据:
域名、IP及归属;
域名备案信息;
其他在线信息系统;
WEB首页及其页面内资源;
设备指纹检测:Web容器、脚本语言、框架、CMS、插件、SSL证书是否有效等;
检测联网设备是否已部署防御设备等。
2.2.2. 安全漏洞检测模块
通过大数据漏洞扫描技术,每周对政府网站进行全面的安全漏洞扫描,发现系统存在的各类安全隐患,并持续跟踪漏洞修复情况。具体包括以下类型的漏洞:
常见的Web应用漏洞,支持OWASP TOP 10等主流安全漏洞,以及各种挂马方式的网页木马如Iframe、CSS、JS、SWF、ActiveX等;
系统层漏洞,支持windows扫描、linux扫描(CentOS、ubuntu、Debian等)、类unix扫描、数据库扫描、思科设备扫描、CVE漏洞扫描等30余种;
0day漏洞。
2.2.3. 服务质量监测模块
采用分布式节点进行数据监测,以多链路多点监测形式,自动监听指定的TCP端口,通过HTTP协议访问返回的响应状态码,发现在不同区域内网站系统的多线路访问可用性情况,以及发现是否存在区域的域名劫持等安全事件。
2.2.4. 安全事件监测模块
对网站进行页面资源与指纹信息的分析,通过采用html标签域比对技术,对网站进行初始化采样建立监测基准,并对基准内容进行泛格式化处理,解析出html的相关标签作为后续比对的基准,对各类安全事件进行全面分析感知,包括网马、暗链、敏感言论、网站可用性、健壮性等;并向相关部门和人员进行定向安全通报。
2.3. 防护功能
2.3.1. 网站防护
玄武盾提供了目前业界覆盖范围最广、防护能力最强的安全防护,对Web网站或应用进行严
格的保护。安全策略来自于Snort、CWE、OWASP组织,以及安恒安全研究院对国内典型应用的深入研究成果,覆盖范围如下:
⏹ HTTP协议规范性检查
检查提交的报文是否符合HTTP协议框架,如异常的请求方法、不同字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击以及对高危文件的访问等,黑客在使用非浏览器工具调试时可迅速拦截。
⏹ 文件B超
对用户上传的文件后缀名和文件内容进行全方面检查,杜绝Webshell的上传和访问。
⏹ 注入攻击防护
对用户提交的URL、参数、Cookie等字段进行检查,采用SQL语义解析技术防止风险系数极高的SQL注入攻击,采用字符偏移技术对代码、命令、文件、LDAP、SSI等注入攻击的检测,有效地防护了对操作系统和应用的注入攻击。
⏹ 跨站脚本攻击防护
采用字符差分技术对用户提交的脚本进行检查,防止不合法跨站脚本。
⏹ 网页木马防护
对页面内容进行逐行扫描,检查是否存在网页木马,防止客户端被感染。
⏹ 信息泄漏防护
对服务器响应状态码、服务器错误信息、数据库错误信息、源代码信息泄露进行过滤,防止服务器信息被黑客利用进行有效攻击。
⏹ 智能防护
采用行为识别算法有效识别扫描器或黑客持续性攻击,避免被扫描器持续猜测攻击或黑客持续渗透攻击。
⏹ web应用防护系统第三方组件漏洞防护
对WEB服务器容器、应用中间件、CMS系统等漏洞进行有效防护。
⏹ CSRF跨站请求伪造防护
通过Referer算法和token算法有效对CSRF攻击进行防护。
⏹ 防盗链
通过Referer和Cookie算法有效防止非法外链,和对用户资源内容的盗链。
2.3.2. CDN加速
安恒玄武盾在全国拥有30多个云防护节点,可对所有省、直辖市的访问用户进行CDN加速,内置Webcache及Webrar模块,Webcache模块对静态页面进行高速缓存,提升Web服务器连接可用性,Webrar模块对页面内容进行文件压缩,压缩比率高达10:1,提升服务器带宽使用率。通过压缩及节点缓存技术,实现内容加速功能。
2.3.3. 防DDOS、CC攻击
安恒玄武盾拥有300G DDOS防护能力,有效防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood等3到7层DDoS攻击,拥有专利级防CC攻击算法,可有效解决应用层CC攻击,强大的DDOS防护能力一方面解决了用户网站被DDOS攻击时的可用性问题,另一方面对玄武盾本身也加强了防护,这样可持续保证用户的网站稳定运行。
2.3.4. 永久在线
当用户网站因为服务器故障、线路故障、电源等问题出现无法连接时,可显示云防护中的缓存页面;
当在敏感期或特殊时期时,用户网站会主动关闭,在这期间可显示云防护中的缓存页面。
2.3.5. 可视化安全防护
可实时查看可视化态势感知,实时了解安全防护状态。
2.3.6. 玄武盾态势分析
安恒风暴中心提供7*24小时安全运维服务。
2.3.7. 网页防篡改模块
通过网页防篡改技术,对网站加以防护,同时借助防篡改引擎,实现对篡改行为的监测。
网页通常有静态文件和动态文件组成,对于动态文件的保护通过在站点嵌入Web防攻击模块,通过设定关键字、IP、时间过滤规则,对扫描、非法访问请求等操作进行拦截;静态文件保护在站点内部通过防篡改模块进行静态页面锁定和静态文件监控,发现有对网页进行修
改,删除等非法操作时,进行保护并告警。
2.4. 大数据分析服务
对数据进行统一汇总分析,掌握网站的被攻击情况,并查看统计报表。
2.4.1. 可视化分析展现模块
区域态势感知子系统通过对安全监测数据与安全防御数据的汇集、去噪、存储、映射等处理,将其中的安全要素进行提取—态势评估—影响评估—可视化展现的过程,形成有效的区域安全感知,形成区域的重要站点流量分析、整体站点安全风险与威胁分析,以及依据多指标的建模分析形成可视化的态势感知。
2.4.2. 用户数据报表
用户可查看访问流量报表、安全防护报表,安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁
等级统计等。
2.4.3. 手机APP管家服务
安恒提供手机APP云管家服务,用户可通过AppStore中下载安恒通软件,通过手机APP与安恒云联动,为用户提供网站云防护态势分析,包含网站漏洞监测、可用性监测、攻击防御状态、防护报表、安全事件等数据报告。
2.5. 用户接入流程
2.5.1. 域名登记
用户联系当地销售告知需要防护的域名信息,并提供环境调研表(第2章环境调研有提供),安恒安全工程师将域名进行登记入库;
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论