用戶背景

安博教育集團是一家“以學習者為中心”面向個人及機構(gòu)提供學習和教育服務的培訓機構(gòu)，該集團多年來被新浪、搜狐、騰訊、《人民日報》、新華社等國內(nèi)權(quán)威媒體譽為中國十大教育服務品牌，被《中國企業(yè)家》雜志評 為“中國最具成長性企業(yè)21星”，被《商務周刊》連續(xù)三年評為“中國100快”公司；2009年榮膺“建國60年中國教育培訓十大品牌”，“中國教育連鎖 最具影響力品牌”，“卓越雇主——2009中國最適宜工作的公司”，“2009（第三屆）中國創(chuàng)業(yè)投資價值榜最具投資潛力企業(yè)”，騰訊網(wǎng)“2009中國最 具影響力教育集團”，以及網(wǎng)易大選“十大最具影響力教育機構(gòu)”、“十佳就業(yè)競爭力機構(gòu)”、“十佳最具投資價值機構(gòu)”,新浪教育“2009年度最具社會責任 感教育集團”、“2009年度最具就業(yè)競爭力IT教育機構(gòu)”等榮譽。此外，安博還位居德勤“2007年亞太高科技、高成長100強”前列。

目前，安博教育集團已發(fā)展成為國內(nèi)第一個真正意義的以升學與就業(yè)為導向的全國性教育服務品牌。

項目需求

隨著互聯(lián)網(wǎng)的發(fā)展，基于Web的應用已經(jīng)成為互聯(lián)網(wǎng)最主要的業(yè)務。通過Web應用對計算機發(fā)起攻擊相對容易進行且較難被察覺，因此被黑客廣為采用，并且有愈演愈烈之勢，不僅侵害了用戶利益，也給國家安全和社會穩(wěn)定帶來威脅。目前基于Web的網(wǎng)絡攻擊主要包括，針對特定網(wǎng)站漏洞進行網(wǎng)頁掛馬、利用瀏覽器插件漏洞的攻擊、基于Web2.0的攻擊、網(wǎng)絡釣魚等方式。針對Web網(wǎng)絡攻擊的安全防御已經(jīng)刻不容緩。

安博教育集團面臨著同樣的威脅。由于公司門戶網(wǎng)站的防護措施僅限于防火墻等傳統(tǒng)網(wǎng)絡設備，而網(wǎng)絡防火墻，IPS等傳統(tǒng)設備又不具備專門的七層應用防護機制，因此安博教育集團的門戶網(wǎng)站的一些漏洞就會暴露出來，被黑客利用。如跨站腳本攻擊，SQL注入攻擊，應用層DDOS攻擊，網(wǎng)站偵測攻擊，惡意爬行攻擊，Cookie竊取攻擊，Cookie中毒攻擊，信息泄露攻擊，網(wǎng)頁篡改攻擊等。解決WEB應用安全問題，需要一套完整的應用層安全防護解決方案對安博教育集團的所有Web應用進行全面的應用層防護。以達到如下目的：

1. 保護網(wǎng)站系統(tǒng)的連續(xù)可用性：安博集團為成千上萬用戶提供服務，必須保障網(wǎng)站系統(tǒng)的連續(xù)可用性，一旦網(wǎng)站發(fā)生不可用的情況，不僅影響業(yè)務進程，也會產(chǎn)生不良的社會反響。

2. 保護網(wǎng)站資源的合法使用性：惡意瀏覽刷屏、目錄穿越、非授權(quán)訪問、cookie竊取等可能導致網(wǎng)站運行異常或網(wǎng)站資源機密性破環(huán)的行為，應予以制止。

3. 防范入侵者的惡意攻擊與破壞：防止SQL注入、命令注入、跨站點腳本等流行的攻擊行為，特別是防止DDoS攻擊或CC攻擊，避免web網(wǎng)站遭受篡改、掛馬等破壞。

4. 擴展性及可管理性：能夠根據(jù)應用及安全需求進行良好的擴展，安全策略可以個性化設定，可以根據(jù)實際需求進行調(diào)整，界面友好，易于操作。

5. 安全事件的及時發(fā)現(xiàn)及可追蹤性：系統(tǒng)應具備主動防攻擊功能，系統(tǒng)應詳細記錄網(wǎng)站訪問事件、特別是攻擊事件；應具備豐富的統(tǒng)計報表以供分析。 

梭子魚WEB應用防火墻解決方案

安博教育集團門戶網(wǎng)站提供web服務的服務器大概有50臺左右，web流量在20M左右，因此使用梭子魚WAF660型號完全滿足客戶的需求。

梭子魚web應用安全防火墻有三種部署模式，分別是路由模式，單臂模式，橋模式。根據(jù)客戶需求按照單臂模式部署上線。

梭子魚web應用安全防火墻單臂模式部署方式拓撲如下：

·梭子魚WEB應用防火墻可以防御的攻擊類型：

1. SQL注入：一些應用程序通過復制Web客戶端輸入來創(chuàng)建數(shù)據(jù)庫查詢。黑客通過構(gòu)造一些應用程序沒有仔細檢查和會被拒絕的字符串，來獲取返回的機密數(shù)據(jù)。 

2. 跨站點腳本：黑客插入腳本代碼（如JavaScript或ActiveX）到一個輸入字符串，導致Web服務器泄漏用戶名和密碼等信息。 

3. 操作系統(tǒng)命令注入：一些應用程序從web輸入來創(chuàng)建操作系統(tǒng)命令，就像訪問一個文件和顯示文件內(nèi)容。如果輸入的字符串沒有仔細檢查機制，黑客就可以創(chuàng)建輸入來顯示未經(jīng)授權(quán)的數(shù)據(jù)、修改文件或系統(tǒng)參數(shù)。 

4. 會話劫持：黑客通過猜測基于令牌格式知識的會話令牌的內(nèi)容來獲得登錄會話的權(quán)利。這使得黑客能接管會話并可以得到原來的用戶帳戶信息。 

5. 篡改參數(shù)或URL：web應用程序通常在返回的的web頁面中嵌入?yún)?shù)和URL，或者用授權(quán)的參數(shù)更新緩存。黑客可以修改這些參數(shù)、URL或緩存，使Web服務器返回不應泄漏的信息。 

6. 緩沖區(qū)溢出：應用程序代碼應該檢查輸入數(shù)據(jù)的長度，以確保輸入數(shù)據(jù)不會超出剩余的緩沖區(qū)和修改相鄰的存儲。黑客很快就會發(fā)現(xiàn)應用程序不檢查溢出，并創(chuàng)建輸入來導致溢出。

·在部署過程中，針對安博教育集團網(wǎng)站業(yè)務的特性，梭子魚WEB應用防火墻提供了以下解決方案：

1．WAF透明部署在防火墻和WEB服務器群及應用服務器之間，在網(wǎng)絡中即插即用，不改變網(wǎng)絡拓撲和網(wǎng)站業(yè)務流程，管理簡單；

2． WAF提供了針對核心WEB服務器群的防護；根據(jù)其網(wǎng)站部署的特點，一般教育機構(gòu)站點都具有數(shù)十個主站點，同一臺服務器會同時具有幾個站點的特色，梭子魚會區(qū)分各站點之間的不同屬性進行分類管理，例如：學生用戶登陸的站點都是HTTP協(xié)議，而培訓教師登陸的管理平臺和辦公系統(tǒng)都是HTTPS協(xié)議，因此我們會設計一套HTTP協(xié)議的基本防御模版，而HTTPS協(xié)議我們會在基本保護的策略框架下，再啟用SSL加速的功能，來幫助提升用戶的訪問速度。

3． WAF自動掃描網(wǎng)站結(jié)構(gòu)；梭子魚WAF主動掃描網(wǎng)站結(jié)構(gòu)并根據(jù)結(jié)果生成防護規(guī)則，分析整個Web站點，并建立正常狀態(tài)模型。根據(jù)其網(wǎng)站設計的特點，梭子魚會主動尋找每一個小站點的樹型目錄和文件結(jié)構(gòu)，幫助防御不必要外網(wǎng)“窮舉型”的攻擊。

4． WAF自動學習用戶習慣；WAF會自動調(diào)整外網(wǎng)用戶登陸網(wǎng)站后的使用習慣，例如在某個學院站點的通告欄上的發(fā)貼字數(shù)長度，會隨著用戶習慣逐漸增多。

5． 梭子魚提供簡明維護的平臺；經(jīng)過長期的了解和溝通，該集團網(wǎng)絡管理者非常青睞于梭子魚簡明的維護平臺和日志系統(tǒng)。經(jīng)過簡單的培訓，即可輕松的查看網(wǎng)站的安全隱患和輕松的進行安全加固。

效果及用戶評價：

網(wǎng)站安全問題成為企業(yè)開展在線業(yè)務服務日益關(guān)注的焦點。對于客戶而言，需要的不僅僅是網(wǎng)絡安全設備，更需要具備快速應急響應、豐富實踐經(jīng)驗和強大技術(shù)實力的合作伙伴，為其提供專業(yè)完善的網(wǎng)站應用安全解決方案。梭子魚網(wǎng)絡有限公司以專業(yè)的產(chǎn)品和服務，贏得了客戶的贊譽。