梭子鱼WEB应用防火墙对中海油网站的整体安全方案

项目背景

为加速国际化进程，实现跨越式发展，中国海油近两年进行了一系列与核心业务紧密相关的并购。先后并购了西班牙Reposol公司在印尼的油田，成为印尼最大的海上石油生产商；取得在澳大利亚西北大陆架天然气项目内合资实体--中国液化天然气合资企业25%的股权，并获得该项目特定生产许可证、租赁所有权及勘探许可证大约5.3%的权益；通过两次收购，拥有印尼东固液化天然气项目16.96%的权益；签订了收购澳大利亚高根项目部分权益的协议，将达成业界最大一笔液化天然气交易。

这些并购活动增大了中海油的国际知名度，做为了解中海油的第一窗口，我们的网站也受到了广泛的关注。其中大部分的关注访问是想了解中海油的友好请求,但是也不乏为了某些目的,或者为了经济利益的黑客性恶意访问!

据OWASP估计，现有的独立恶意软件样本总数已经超过1,100,000。Barracuda每天收到将近20,000个新的可疑软件样本，几乎每四秒就收到一个。研究还揭示出，现在大部分网络袭击都经过精心设计，试图战胜传统安全系统（如电子邮件扫描，IPS，防火墙扫描）。

2008年上半年我们看到，通过网站传播的网络攻击爆发，这些攻击更倾向于通过网络获取金钱。博威特网络技术有限公司的梭子鱼WEB应用防火墙平均每天检测到16,173个恶意网页，或者说每五秒就有一个，这比2007年要快三倍。正在散布木马程序和间谍软件的网页，超过90%都是那些曾经被SQL注入攻击的合法网站（一些属于家族品牌和世界500强公司）。 

       许多大型企业的网站遭到攻击，访问这些网页的用户可能遭遇病毒感染和身份盗窃。如索尼PlayStation、2008欧洲杯门票售卖公司和英国独立广播电台等公司旗下的知名娱乐网站都曾在这个问题上饱受困扰；尤其随着Web 2.0 社会关系网站的逐渐流行，这些攻击更加具有杀伤力，即绕过了防火墙等常规防护手段，通过使用各种攻击手法来直接Web应用层进行攻击，等于直接侵入了企业网络内部，企业的WEB服务器毫无安全可言。因此，保证Web服务器的安全显得尤为重要。为Web服务器提供一道完善的防护迫在眉睫。

在这种情况下，中海油公司深切地认识到保证Web服务器的安全显得尤为重要，为Web服务器提供一道完善的防护迫在眉睫。

用户需求

根据中海油公司的要求，Web服务器应该受到严密的保护，避免遭受任何针对Web服务器发起的攻击，这些攻击包括：

1. 跨站脚本攻击

2. SQL注入攻击

3. 网页篡改

4. cookie中毒

5. 缓冲区溢出

6. 参数篡改

7. 错误返回信息截取等

项目实施

根据秀州区政府的网络环境和需求，梭子鱼为中海油公司提供梭子鱼应用防火墙，部署在两台Web服务器之前，实现反向代理，达到保护中海油公司Web服务器的目的。

加固后网络拓扑如下图所示：

由图可知，来自外部的请求将首先经过梭子鱼应用防火墙，经过严格的扫描后再发送给后台服务器，大大提高了网站的安全性。

梭子鱼通过终止、安全（扫描）和加速来实现安全和优化的双重效果。如下图所示：

梭子鱼WEB应用防火墙在部署之后，能对下列一般方法无法检测的Web应用层攻击手段进行有效的防护：

Ø 植入恶意脚本

Ø Cookie / Session投毒

Ø Form表单 / 隐藏域修改

Ø 缓存溢出

Ø 参数篡改

Ø 跨站式脚本攻击

Ø 强制浏览 / 目录探测

Ø Sql注入 / 命令注入

Ø 数据窃取 / 身份窃取

Ø 已知漏洞攻击 /  Zero Day漏洞攻击

Ø 应用程序Dos

    在实施过程中时，梭子鱼WEB应用防火墙具有基于应用层的检测，同时又拥有基于状态的网络防火墙优势的双重特点，

Ø 对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化，杜绝各种利用协议漏洞的攻击和权限；

Ø  拥有预期数据的完整知识(Complete Knowledge of expected values)系统，防止各种形式的SQL/命令注入，跨站式脚本攻击；

Ø  实时策略生成及执行，根据您的应用程序定义相应的保护策略，而不是千篇一律的厂家预定义防攻击策略，无缝的砌合您的应用程序，不会造成任何应用失真。

    并且，它还可将中海油公司在Web方面的应用全面“隐身”，这样一来，即使黑客再神奇也无法攻击看不见的东西。梭子鱼WEB应用防火墙对外部访问网站进行隐身，可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息，让黑客看不见，摸不着，探测不到，自然也无从猜测分析和攻击。以下便是一款常用扫描工具扫描经过Barracuda-NC应用防火墙隐藏的网站的结果。

    同时，它还能识别各种爬行探测程序，只允许正常的搜索引擎爬虫进入，抵御黑客爬行程序于门外，让想通过探测确定攻击目标的黑客彻底无门，从而彻底了保障了企业在WEB应用方面地安全。