由于Web架构在成本与应用能力方面的优势,使得越来越多的企业和机构将应用迁移到基于Web的基础架构。Web 服务器与 Web 应用已经从最初提供简单的静态内容演变到提供丰富的动态内容。

现在,Web 服务器与应用除了可以创建动态页面和启动应用程序外,还可以同数据库进行通信以生成对用户有用的内容。大多数 Web 服务器平台都将应用程序与服务器捆绑在一起,这些都为***提供了机会。

要构建安全的Web应用平台,Web设计人员必须在Web应用的每个层面精心设计安全性。运行 Web 应用的服务器也必须不断更新。但是,许多企业在设计Web应用时,Web设计人员并未全面考虑安全性。更糟的是,有的用户只为Web服务器中可从外部访问的那部分设计了安全性,而忽略了内部访问Web应用的安全性。

网站现状分析

目前,利用网上随处可见的***软件,***者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,到取管理员密码,破坏整个网站数据等等***。而这些***过程中产生的网络层数据,和正常数据没有什么区别。赵明的网站类似如此,给***者留下许多机会。不难发现,通过统计国外一个***站点每天公布出来的***链接,平均每天10多个中国政府网站被攻破。赵明的网站也不能幸免于此。

笔者认为,在网络中部署***防御系统(IPS)等设备,可以提高网络的安全性。为何基于应用的***事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的***防范,作用十分有限。其实主要网站安全问题及其危害有很多明显的特征,如常见的Web***分为两类:一是利用Web服务器的漏洞进行***,如CGI缓冲区溢出,目录遍历漏洞利用等***;二是利用网页自身的安全漏洞进行***,如SQL注入,跨站脚本***等。

常见的针对Web应用的***有:

缓冲区溢出——***者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令
Cookie假冒——精心修改cookie数据进行用户假冒认证逃避——***者利用不安全的证书和身份管理
非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据
 强制访问——访问未授权的网页
隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序
拒绝服务***——构造大量的非法请求,使Web服务器不能相应正常用户的访问
跨站脚本***——提交非法脚本,其他用户浏览时盗取用户帐号等信息
SQL注入——构造SQL代码让服务器执行,获取敏感数据

随着***向应用层发展,传统网络安全设备不能有效的解决目前的安全威胁,网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层***的安全防护设备来解决。如TippingPoint***防御系统。

TippingPoint***防御系统介绍

TippingPoint***防御系统通过对所有的数据包的检测,在千兆字节速度的水平提供应用防护、执行防护和底层架构防护。应用防护能力提供快速、准确、可靠的对于电脑与网络内部和外部的***。通过它的底层架构防护能力,TippingPoint IPS提供VoIP网络电话底层架构、路由器、交换机、DNS和其他重要的底层设备的防护,以防受到***和反常网络流量的影响。TippingPoint执行防护能力是用户能够停止无任务的重要应用抢占宝贵的带宽和IT资源,因此能够协调网络资源和公司重要应用的执行。

这套系统是建立在TippingPoint的威胁抑制引擎(TSE)——由最新的网络处理器技术和TippingPoint自己的一套自定义的专用集成电路所组成的基于硬件的高度专业化的***防护平台。以基于专用集成电路的TippingPoint威胁防护引擎是一种从网络防护改进而来的重要的技术。通过流水线和大量并行处理硬件的组合,TSE有能力同时检测一个数据流数千遍。TSE体系利用了自定义的专用集成电路,一种具有20兆字节基架和和高性能的网络处理器,来执行整个从2-7层的数据流的检测。并行处理确保了不管处理多少数据流,数据流在经过84微秒后的停顿后通过IPS继续向前流动。

TippingPoint TSE体系同时还能做到流量分类和速率调整。复杂的算法定义了“普通”流量的自动的阈值和节流的基准,以确保有任务的重要应用在网络中有更高的优先级。

TippingPoint解决方案的完整部分是数字疫苗® 服务。由TippingPoint的世界著名的安全研发机构(DVLabs)开发的数字疫苗服务为TippingPoint***防御系统提供综合的安全过滤,以提前防护新的零天***(zero-day)漏洞的被利用。这些过滤用来阻挡不同的针对一个漏洞的***,并在不影响网络性能的基础上提供准确的***识别。数字疫苗每周自动升级,或是当有重要的漏洞和威胁出现时立即升级。TippingPoint的“推荐设置”提供了预定义的规则以自动和准确地阻挡***而不需调整,尤其对于防护和维护一个健康的网络,可以大量减少所花时间和资源。