论文部分内容阅读
Web数据流是现在威胁传播的主要载体。据业内估计,大约50%以上的电脑曾感染间谍软件,但只有不足10%的系统在网络周边部署了恶意软件防御设备。基于Web的恶意软件传播速度非常快,变种能力也很强,其危害性日益严重。所以,拥有一个强健的、能够保护网络周边并抵御这些安全威胁侵害的安全平台极为重要。
东软NISG的Web防护模块通过Web流量的深度检测实现了Web应用的深度防护,提供全面的入侵防御保护。Web防护模块能在攻击到达Web服务器之前进行阻断,防止恶意请求或内置非法程序请求访问目标应用。
Web防御的五大法宝
据了解,东软NetEye主要依靠五大法宝在大多Web防御战中取胜。
法宝一:站点隐藏。成功的Web攻击往往从探测网络漏洞开始。在网络上,黑客很容易找到漏洞扫描工具对网站的应用程序、服务器、URL等进行扫描。东软NISG的Web防护模块提供站点隐藏功能,黑客将无法查看Web的源信息,如返回码、终端服务器的IP等,并且访问出错信息也将由Web防护模块提供,后端服务器的出错信息不会直接返回给用户,有效避免了服务器敏感信息的泄露,同时也防止黑客利用出错信息发动攻击。
法宝二:合规性检查。东软NISG的Web防护模块能够解码进入请求是否合法合规,仅允许正确的格式或RFC遵从的请求通过,有效阻止恶意请求或Header、URL中脚本非法植入。另外,Web防护模块能防御包括如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等一系列已知或未知的攻击。Web防护模块还能进行Web地址翻译、请求限制和URL格式定义等。
法宝三:HTTP协议方法控制。东软NISG的Web防护模块可以限制外部访问Web服务器所使用的HTTP方法,包括:GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT等。同时,它可以设定可信访问客户端IP(白名单)而跳过安全策略规则的检测;设定非法访问客户端(黑名单)直接禁止其任何对Web服务器的访问。此外,用户还能够根据业务需求,针对某些关键字、数据段长度等相关信息自定义安全过滤规则。
法宝四:默认安全策略。东软NISG的Web防护模块提供默认的安全策略对Web网站或应用进行严格的保护。每个策略分为若干子策略,包括:HTTP协议合规性、SQL注入阻断、跨站点脚本攻击防护、DoS攻击防护、请求包大小限制等。
法宝五:个性化安全策略。除了默认的策略外,用户还可以创建个性化的安全策略,如限制HTTP请求Head大小、丢弃超过规定大小的请求、避免恶意代码通过等。
利用先进的对象解析和导向技术,东软NISG的Web防护可以在多个层次上提供反恶意软件扫描引擎。通过对内容应用的深入检查及网络层的模式检测,实现进站和出站活动的双向检查,高效防范包括广告软件、浏览器黑客、钓鱼、网址嫁接攻击等多种安全威胁,保障网络数据流的全面安全。
另外,利用东软NISG的Web防护模块执行可接受的Web使用政策能够培养员工的风险防范意识,强化风险防范教育,激励合规操作,减少对网络和带宽的误用和滥用。
四层保障防御DDoS攻击
徐松泉介绍道,东软NISG集成DDoS防护功能,主要包括以下几个方面:漏洞防护、木马防护、带宽防护以及针对具体的DDoS攻击的防护。通过以上四个不同层次的防御,东软NISG可以将DDoS攻击拒之门外。以SYN Flood 攻击为例,东软NISG可以起到代理服务器的作用,生成SYN/ACK 数据包,将它作为应答传给请求者,并等候返回的ACK 数据包。当收到请求者的ACK 数据包后,东软NISG将把三次的“握手”过程“回放”给接收端。如果是一个攻击者发起的请求,不会完成TCP 的“三次握手”,就不会由数据包传向目标服务器,避免了连接资源的占用。即使是正常的TCP连接建立,东软NISG也会持续监视数据和连接,确保服务器始终处于安全状态下。
东软NISG还可以实现“反攻击”效果。当NISG的SYN COOKIE被设置启用后,端口扫描软件进行扫描时会显示所有端口都处于开放状态。由于端口数量过多甚至会造成扫描程序的假死状况,而假死的原因是LISTBOX的空间最多只能显示65535行。如果所有端口全部开放,最终显示的端口列表将超过控件上限而导致扫描程序的假死,由于所有端口都显示开放,也就让攻击者无从下手了。
东软NISG的Web防护模块通过Web流量的深度检测实现了Web应用的深度防护,提供全面的入侵防御保护。Web防护模块能在攻击到达Web服务器之前进行阻断,防止恶意请求或内置非法程序请求访问目标应用。
Web防御的五大法宝
据了解,东软NetEye主要依靠五大法宝在大多Web防御战中取胜。
法宝一:站点隐藏。成功的Web攻击往往从探测网络漏洞开始。在网络上,黑客很容易找到漏洞扫描工具对网站的应用程序、服务器、URL等进行扫描。东软NISG的Web防护模块提供站点隐藏功能,黑客将无法查看Web的源信息,如返回码、终端服务器的IP等,并且访问出错信息也将由Web防护模块提供,后端服务器的出错信息不会直接返回给用户,有效避免了服务器敏感信息的泄露,同时也防止黑客利用出错信息发动攻击。
法宝二:合规性检查。东软NISG的Web防护模块能够解码进入请求是否合法合规,仅允许正确的格式或RFC遵从的请求通过,有效阻止恶意请求或Header、URL中脚本非法植入。另外,Web防护模块能防御包括如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等一系列已知或未知的攻击。Web防护模块还能进行Web地址翻译、请求限制和URL格式定义等。
法宝三:HTTP协议方法控制。东软NISG的Web防护模块可以限制外部访问Web服务器所使用的HTTP方法,包括:GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT等。同时,它可以设定可信访问客户端IP(白名单)而跳过安全策略规则的检测;设定非法访问客户端(黑名单)直接禁止其任何对Web服务器的访问。此外,用户还能够根据业务需求,针对某些关键字、数据段长度等相关信息自定义安全过滤规则。
法宝四:默认安全策略。东软NISG的Web防护模块提供默认的安全策略对Web网站或应用进行严格的保护。每个策略分为若干子策略,包括:HTTP协议合规性、SQL注入阻断、跨站点脚本攻击防护、DoS攻击防护、请求包大小限制等。
法宝五:个性化安全策略。除了默认的策略外,用户还可以创建个性化的安全策略,如限制HTTP请求Head大小、丢弃超过规定大小的请求、避免恶意代码通过等。
利用先进的对象解析和导向技术,东软NISG的Web防护可以在多个层次上提供反恶意软件扫描引擎。通过对内容应用的深入检查及网络层的模式检测,实现进站和出站活动的双向检查,高效防范包括广告软件、浏览器黑客、钓鱼、网址嫁接攻击等多种安全威胁,保障网络数据流的全面安全。
另外,利用东软NISG的Web防护模块执行可接受的Web使用政策能够培养员工的风险防范意识,强化风险防范教育,激励合规操作,减少对网络和带宽的误用和滥用。
四层保障防御DDoS攻击
徐松泉介绍道,东软NISG集成DDoS防护功能,主要包括以下几个方面:漏洞防护、木马防护、带宽防护以及针对具体的DDoS攻击的防护。通过以上四个不同层次的防御,东软NISG可以将DDoS攻击拒之门外。以SYN Flood 攻击为例,东软NISG可以起到代理服务器的作用,生成SYN/ACK 数据包,将它作为应答传给请求者,并等候返回的ACK 数据包。当收到请求者的ACK 数据包后,东软NISG将把三次的“握手”过程“回放”给接收端。如果是一个攻击者发起的请求,不会完成TCP 的“三次握手”,就不会由数据包传向目标服务器,避免了连接资源的占用。即使是正常的TCP连接建立,东软NISG也会持续监视数据和连接,确保服务器始终处于安全状态下。
东软NISG还可以实现“反攻击”效果。当NISG的SYN COOKIE被设置启用后,端口扫描软件进行扫描时会显示所有端口都处于开放状态。由于端口数量过多甚至会造成扫描程序的假死状况,而假死的原因是LISTBOX的空间最多只能显示65535行。如果所有端口全部开放,最终显示的端口列表将超过控件上限而导致扫描程序的假死,由于所有端口都显示开放,也就让攻击者无从下手了。