项目背景
为加速国际化进程,实现跨越式发展,中国海油近两年进行了一系列与核心业务紧密相关的并购。先后并购了西班牙Reposol公司在印尼的油田,成为印尼最大的海上石油生产商;取得在澳大利亚西北大陆架天然气项目内合资实体--中国液化天然气合资企业25%的股权,并获得该项目特定生产许可证、租赁所有权及勘探许可证大约5.3%的权益;通过两次收购, 拥有印尼东固液化天然气项目16.96%的权益;签订了收购澳大利亚高根项目部分权益的协议,将达成业界最大一笔液化天然气交易。
这些并购活动增大了中海油的国际知名度,做为了解中海油的第一窗口,我们的网站也 受到了广泛的关注。其中大部分的关注访问是想了解中海油的友好请求,但是也不乏为了某些目的,或者为了经济利益的黑客性恶意访问!
据OWASP估计,现有的独立恶意软件样本总数已经超过1,100,000。Barracuda每天收到将近20,000个新的可疑软件样本,几乎每四秒就收到一个。研究还揭示出,现在大部分网络袭击都经过精心设计,试图战胜传统安全系统(如电子邮件扫描,IPS,防火墙扫描)。
2008年上半年我们看到,通过网站传播的网络攻击爆发,这些攻击更倾向于通过网络获 取金钱。博威特网络技术有限公司的梭子鱼WEB应用防火墙平均每天检测到16,173个恶意网 页,或者说每五秒就有一个,这比2007年要快三倍。正在散布木马程序和间谍软件的网页,超过90%都是那些曾经被SQL注入攻击的合法网站(一些属于家族品牌和世界500强公司)。
许多大型企业的网站遭到攻击,访问这些网页的用户可能遭遇病毒感染和身份盗窃。 如索尼 PlayStation、2008 欧洲杯门票售卖公司和英国独立广播电台等公司旗下的知名娱乐 网站都曾在这个问题上饱受困扰;尤其随着 Web 2.0 社会关系网站的逐渐流行,这些攻击更加具有杀伤力,即绕过了防火墙等常规防护手段,通过使用各种攻击手法来直接 Web 应 用层进行攻击,等于直接侵入了企业网络内部,企业的WEB服务器毫无安全可言。因此,保证Web服务器的安全显得尤为重要。为Web服务器提供一道完善的防护迫在眉睫。
在这种情况下,中海油公司深切地认识到保证Web服务器的安全显得尤为重要,为 Web服务器提供一道完善的防护迫在眉睫。
用户需求
根据中海油公司的要求,Web 服务器应该受到严密的保护,避免遭受任何针对 Web 服务 器发起的攻击,这些攻击包括:
1. 跨站脚本攻击
2. SQL 注入攻击
3. 网页篡改
4. cookie 中毒
5. 缓冲区溢出
6. 参数篡改
7. 错误返回信息截取等
项目实施 根据秀州区政府的网络环境和需求,梭子鱼为中海油公司提供梭子鱼应用防火墙,部署
在两台 Web 服务器之前,实现反向代理,达到保护中海油公司 Web 服务器的目的。 加固后网络拓扑如下图所示:
由图可知,来自外部的请求将首先经过梭子鱼应用防火墙,经过严格的扫描后再发送给
后台服务器,大大提高了网站的安全性。 梭子鱼通过终止、安全(扫描)和加速来实现安全和优化的双重效果。如下图所示:
梭子鱼WEB应用防火墙在部署之后,能对下列一般方法无法检测的Web应用层攻击手段 进行有效的防护:
植入恶意脚本
Cookie/Session 投毒
Form 表单/隐藏域修改
缓存溢出
参数篡改
跨站式脚本攻击
强制浏览/目录探测
Sql 注入/命令注入
数据窃取/身份窃取
已知漏洞攻击/Zero Day漏洞攻击
应用程序Dos
在实施过程中时,梭子鱼 WEB 应用防火墙具有基于应用层的检测,同时又拥有基于状态的网络防火墙优势的双重特点,
对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利 用协议漏洞的攻击和权限;
拥有预期数据的完整知识(Complete Knowledge of expected values)系统, 防止各种形式的SQL/命令注入,跨站式脚本攻击;
实时策略生成及执行,根据您的应用程序定义相应的保护策略,而不是千篇一 律的厂家预定义防攻击策略,无缝的砌合您的应用程序,不会造成任何应用失 真。
并且,它还可将中海油公司在Web方面的应用全面“隐身”,这样一来,即使黑客再神奇也无法攻击看不见的东西。梭子鱼WEB应用防火墙对外部访问网站进行隐身,可以隐藏真实 的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见,摸不着,探测不到,自然也无从猜测分析和攻击。以下便是一款常用扫描工具扫描经过Barracuda-NC应用防火墙隐藏的网站的结果。
同时,它还能识别各种爬行探测程序,只允许正常的搜索引擎爬虫进入,抵御黑客爬行程序于门外,让想通过探测确定攻击目标的黑客彻底无门,从而彻底了保障了企业在WEB应用方面的安全。
