【拯救赵明】TippingPoint助赵明渡过难关

由于Web架构在成本与应用能力方面的优势，使得越来越多的企业和机构将应用迁移到基于Web的基础架构。Web 服务器与 Web 应用已经从最初提供简单的静态内容演变到提供丰富的动态内容。

现在，Web 服务器与应用除了可以创建动态页面和启动应用程序外，还可以同数据库进行通信以生成对用户有用的内容。大多数 Web 服务器平台都将应用程序与服务器捆绑在一起，这些都为攻击提供了机会。

要构建安全的Web应用平台，Web设计人员必须在Web应用的每个层面精心设计安全性。运行 Web 应用的服务器也必须不断更新。但是，许多企业在设计Web应用时，Web设计人员并未全面考虑安全性。更糟的是，有的用户只为Web服务器中可从外部访问的那部分设计了安全性，而忽略了内部访问Web应用的安全性。

网站现状分析

目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，到取管理员密码，破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。赵明的网站类似如此，给攻击者留下许多机会。不难发现，通过统计国外一个黑客站点每天公布出来的黑客链接，平均每天10多个中国政府网站被攻破。赵明的网站也不能幸免于此。

笔者认为，在网络中部署入侵防御系统（IPS）等设备，可以提高网络的安全性。为何基于应用的攻击事件仍然不断发生？其根本的原因在于传统的网络安全设备对于应用层的攻击防范，作用十分有限。其实主要网站安全问题及其危害有很多明显的特征，如常见的Web攻击分为两类：一是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击等。

常见的针对Web应用的攻击有：

缓冲区溢出――攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令

Cookie假冒――精心修改cookie数据进行用户假冒认证逃避――攻击者利用不安全的证书和身份管理

非法输入――在动态网页的输入中使用各种非法数据，获取服务器敏感数据

 强制访问――访问未授权的网页

隐藏变量篡改――对网页中的隐藏变量进行修改，欺骗服务器程序

拒绝服务攻击――构造大量的非法请求，使Web服务器不能相应正常用户的访问

跨站脚本攻击――提交非法脚本，其他用户浏览时盗取用户帐号等信息

SQL注入――构造SQL代码让服务器执行，获取敏感数据

随着攻击向应用层发展，传统网络安全设备不能有效的解决目前的安全威胁，网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防护设备来解决。如TippingPoint入侵防御系统。

TippingPoint入侵防御系统介绍

TippingPoint入侵防御系统通过对所有的数据包的检测，在千兆字节速度的水平提供应用防护、执行防护和底层架构防护。应用防护能力提供快速、准确、可靠的对于电脑与网络内部和外部的攻击。通过它的底层架构防护能力，TippingPoint IPS提供VoIP网络电话底层架构、路由器、交换机、DNS和其他重要的底层设备的防护，以防受到攻击和反常网络流量的影响。TippingPoint执行防护能力是用户能够停止无任务的重要应用抢占宝贵的带宽和IT资源，因此能够协调网络资源和公司重要应用的执行。

这套系统是建立在TippingPoint的威胁抑制引擎(TSE)――由最新的网络处理器技术和TippingPoint自己的一套自定义的专用集成电路所组成的基于硬件的高度专业化的入侵防护平台。以基于专用集成电路的TippingPoint威胁防护引擎是一种从网络防护改进而来的重要的技术。通过流水线和大量并行处理硬件的组合，TSE有能力同时检测一个数据流数千遍。TSE体系利用了自定义的专用集成电路，一种具有20兆字节基架和和高性能的网络处理器，来执行整个从2-7层的数据流的检测。并行处理确保了不管处理多少数据流，数据流在经过84微秒后的停顿后通过IPS继续向前流动。

TippingPoint TSE体系同时还能做到流量分类和速率调整。复杂的算法定义了“普通”流量的自动的阈值和节流的基准，以确保有任务的重要应用在网络中有更高的优先级。

TippingPoint解决方案的完整部分是数字疫苗® 服务。由TippingPoint的世界著名的安全研发机构（DVLabs）开发的数字疫苗服务为TippingPoint入侵防御系统提供综合的安全过滤，以提前防护新的零天攻击（zero-day）漏洞的被利用。这些过滤用来阻挡不同的针对一个漏洞的攻击，并在不影响网络性能的基础上提供准确的攻击识别。数字疫苗每周自动升级，或是当有重要的漏洞和威胁出现时立即升级。TippingPoint的“推荐设置”提供了预定义的规则以自动和准确地阻挡攻击而不需调整，尤其对于防护和维护一个健康的网络，可以大量减少所花时间和资源。