万兆环境下的Web安全思考

简介:
本文讲的是 万兆环境下的Web安全思考, 万兆网络并不仅仅意味着网络带宽的增加,与之相匹配的业务系统亦随之而变得更加复杂。万兆安全解决方案并不是简单的选择相应安全设备的万兆型号,还会包括更为复杂的部分。拿最为常见的Web业务安全举例,我们可以清楚的看到,随着业务系统的复杂化,安全防护措施也在不断完善。

  单一技术对抗简单的攻击手段的时期

  这个时期,由于Web威胁行为的危害程度不是非常高,调整网络结构或者是部署WAF产品,都可以在很大程度上解决Web威胁相关问题。其主要的手段有以下两种:

  1.通过设置DMZ区来防御Web威胁

  DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web业务系统以及其他对外提供服务的业务系统。将Web业务放置在DMZ区,可以避免承载重要数据的服务器直接面对来自互联网的攻击,起到缓冲的作用。

万兆环境下的Web安全思考

  2.通过部署WAF产品来抵御Web威胁

  随着攻击技术的发展,尤其是注入技术的出现,DMZ已经不能起到安全防护的作用了,攻击者可以通过最为正常不过的HTTP协议,攻陷Web业务前台系统,从而直接对后台数据进行访问或者是篡改。于是出现了用于抵御应用层攻击的WAF类产品,对Web业务前台系统的漏洞进行封堵,藉此来防护Web业务系统的安全。

万兆环境下的Web安全思考

  多技术组合对抗复杂攻击手段的时期

  这个时期,网络带宽、应用业务的复杂度都进入了一个新的阶段。Web业务资产价值的提升、Web威胁行为的危害程度升级,都进一步加大了Web业务的风险值。这个时期对Web威胁的防御,不能仅仅考虑Web业务本身,而应当扩展到全业务流程中去。

  仔细审视大流量环境下的Web业务系统,我们可以发现安全风险点不仅仅存在于网络的出口。由于业务系统的庞杂,各个节点都可能存在安全隐患。

  1.网络出入口的安全隐患

  分布式拒绝服务攻击(DDoS)。意大利政府网站、墨西哥政府网站、CIA网站都是DDoS攻击的受害者。

  数据窃取和页面篡改。今年,某黑客组织曾攻陷了数百个政府机关网站并篡改其网站页面。后来,该黑客组织还公布了1.7G的窃取自美国司法部的数据。

  2.后台数据库的安全隐患

  数据库的越权访问。对于大型Web业务系统而言,后台数据库服务器的维护者往往采用另外的维护入口进行数据库相关维护,拥有数据库访问权限的维护人员的越权操作,将影响Web业务系统的正常运行。

  敏感信息泄露。除了可能存在的越权数据库访问之外,运维人员所使用的PC上往往存放着一些重要的信息,如数据库表结构、管理员密码等。这些信息也存在通过IM或者是邮件、U盘等泄露的可能。

  一个面对复杂Web业务系统的安全解决方案,需要考虑到上面所提到的所有问题。同时,结合信息安全体系中经典的PDR模型,还需要同时考虑到检测、防护和响应三个方面。

  以国内信息安全领军企业启明星辰的产品为例,通过将万兆WAF、万兆流量清洗与抗拒绝服务产品(ADM)和其他安全产品进行组合,能够提供全面的Web应用安全解决方案。在网络出入口部署WAF、流量清洗与抗拒绝服务产品进行防御;在网络内部部署堡垒机及数据防泄密(DLP)产品,降低由于内部运维人员的违规操作带来的安全风险,同时还提供针对业务系统的漏洞扫描产品,以提前发现安全隐患。而PDR模型中的响应部分,大型Web业务系统需要建立安全应急响应规范及队伍,以应对紧急情况下的应急处理。

 

万兆环境下的Web安全思考

  从上面的例子可以看出,万兆网络的安全问题并不只与带宽相关,带宽的变化同时也带来了业务复杂度的增加,从而对安全提出了更高的要求。当然,带来变化的不仅仅有带宽,无线、IPV6、云计算、BYOD(自带设备办公)、SCADA,这些业务模式的变化都引发了安全状况变化。为了适应这种变化,安全防护手段亦需随之而变。


作者: 海浪
来源:it168网站
原文标题:万兆环境下的Web安全思考
相关文章
|
6天前
|
SQL 安全 Java
理解Web安全:防止Java Web应用的安全漏洞
【4月更文挑战第3天】在互联网时代,Java Web应用面临严峻的安全挑战,包括注入攻击、XSS、CSRF等。为保护应用,需实施安全措施和最佳实践:如输入验证、输出编码、使用安全框架、防范CSRF、管理会话、加密数据、智能错误处理及定期安全审计。通过这些方法,可降低安全风险,但需持续关注安全趋势并适应新技术。
|
6天前
|
安全
网易web安全工程师进阶版课程
《Web安全工程师(进阶)》是由“ i春秋学院联合网易安全部”出品,资深讲师团队通过精炼的教学内容、丰富的实际场景及综合项目实战,帮助学员纵向提升技能,横向拓宽视野,牢靠掌握Web安全工程师核心知识,成为安全领域高精尖人才。 ## 学习地址
24 6
网易web安全工程师进阶版课程
|
6天前
|
XML 云安全 安全
了解常见的web漏洞-XXE漏洞,日常如何做好web安全
随着网络技术的不断发展,网站安全问题日益受到人们的关注。当前随着技术发展,网站存在一些常见的可能被攻击者利用的漏洞,而在众多网站安全漏洞中,XXE(XML External Entity)漏洞是一个不容忽视的问题。今天我们就来分享了解一下关于XXE漏洞的概念、原理以及日常上有哪些可以措施可以防护网站安全。
|
6天前
|
前端开发 API Docker
web前端开发项目走proxy代理后端接口,构建发布到生产等环境后,如何修改api接口
web前端开发项目走proxy代理后端接口,构建发布到生产等环境后,如何修改api接口
45 0
|
6天前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
6天前
|
SQL 安全
CTF--Web安全--SQL注入之‘绕过方法’
CTF--Web安全--SQL注入之‘绕过方法’
|
6天前
|
SQL 安全 PHP
CTF--Web安全--SQL注入之Post-Union注入
CTF--Web安全--SQL注入之Post-Union注入
|
6天前
|
SQL 存储 安全
CTF--Web安全--SQL注入之报错注入
CTF--Web安全--SQL注入之报错注入
|
6天前
|
SQL Web App开发 安全
CTF-Web安全--SQL注入之Union注入详解
CTF-Web安全--SQL注入之Union注入详解
|
6天前
|
安全 测试技术 网络安全
Web安全基础入门+信息收集篇
学习信息收集,针对域名信息,解析信息,网站信息,服务器信息等;学习端口扫描,针对端口进行服务探针,理解服务及端口对应关系;学习WEB扫描,主要针对敏感文件,安全漏洞,子域名信息等;学习信息收集方法及实现安全测试,能独立理解WEB架构框架,树立渗透测试开展思路!
20 0
Web安全基础入门+信息收集篇