网站防篡改立即部署WEB利用防火墙(图)-交流共享-唐山网站建设

网站防篡改立即部署WEB利用防火墙(图)

核心提示：目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换Web网站主页，盗取治理员密码，数据库注进和破坏全部网站数据等等攻击。而这些攻击进程中产生的网络层数据，和正常数据没有甚么辨别。

目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换Web网站主页，盗取治理员密码，数据库注进和破坏全部网站数据等等攻击。而这些攻击进程中产生的网络层数据，和正常数据没有甚么辨别。

以下是国家计算机网络应急技术处理调和中心（CNCERT/CC）统计的2008年上半年我国国内网站被黑被篡改的统计图，在1月－7月内仅发现的被篡改的网站就多达41，000多个，均匀每天就有近200个网站被篡改，这真是1个惊人的数字。

下图是CNCERT/CC从2003－2007的被篡改网站的历史统计图：

从上图的对照中我们看出，网站被篡改的数目以每年2⑶倍的递增速度还在不断的上升趋势当中。在WEB利用如此普及，如此相当重要的今天，可以说，网站的防黑防篡改解决方案，已经是每1个企业或事业单位网络运维部份的迫在眉急的重大任务。

很多用户以为，在网络中部署多层的防火墙，进侵检测系统（IDS），进侵防御系统（IPS）等设备，便可以够保障网络的安全性，便可以全面立体的防护WEB利用了，但是为甚么基于WEB利用的攻击事件依然不断产生？其根本的缘由在于传统的网络安全设备对利用层的攻击防范，作用10分有限。目前的大多防火墙都是工作在网络层，通过对网络层的数据过滤（基于TCP/IP报文头部的ACL）实现访问控制的功能；通过状态防火墙保证内部网络不会被外部网络非法接进。所有的处理都是在网络层，而利用层攻击的特点在网络层次上是没法检测出来的。IDS，IPS通过使用深包检测的技术检查网络数据中的利用层流量，和攻击特点库进行匹配，从而辨认出以知的网络攻击，到达对利用层攻击的防护。但是对未知攻击，和将来才会出现的攻击，和通过灵活编码和报文分割来实现的利用层攻击，IDS和IPS一样不能有效的防护。

WEB利用防火墙的出现解决了这方面的困难，利用防火墙通过履行利用会话内部的要求来处理利用层，它专门保护Web利用通讯流和所有相干的利用资源免受利用Web协议或利用程序漏洞发动的攻击。利用防火墙可以禁止将利用行动用于恶意目的的浏览器和HTTP攻击，1些强大的利用防火墙乃至能够摹拟代理成为网站服务器接受利用交付，形象的来讲相当于给原网站加上了1个安全的尽缘外壳。

1 2 下1页

下面我们就用1款现在业内比较普遍的Barracuda-NC利用防火墙来举例，来看看利用防火墙是如何保护网站避免被恶意注进和篡改的了。

网络架构和部署：双臂代理模式

双臂代理模式是Web利用防火墙部署种的最好模式。这个模式也是拓扑进程中推荐的模式，能够提供最好的安全性能。

在此模式中，所有的数据端口都将被开启；端口eth1是对外的，直接面向因特网的端口；端口eth2将会和内部的设备（交换机等）进行连接，是面向内部的。治理端口可以被分配到另1个网段，我们推荐将治理数据和实际的流量分离，避免由于实际流量和治理数据的冲突。

以下为示例拓扑图：

网络实现：

1、前端端口和后端端口位于不同的网段，所有外部客户将会和利用虚拟IP地址进行连接，此虚拟ip将会和前端端口（eth1）进行绑定

2、客户的连接将会在设备上终止，进行安全检查和过滤

3、正当的流量将会由后端端口（eth2）建立新的连接到负载均衡设备

4、负载均衡进行流量的负载

5、双臂代理模式可以开启所有的安全功能

工作特点：基于利用层的检测，同时又具有基于状态的网络防火墙的上风

对利用数据录进完全检查、HTTP包头重写、强迫HTTP协议合规化，杜尽各种利用协议漏洞的攻击和权限提升

预期数据的完全知识（Complete Knowledge of expected values），避免各种情势的SQL/命令注进，跨站式脚本攻击

实时策略天生及履行，根据您的利用程序定义相应的保护策略，而不是千篇1律的厂家预定义防攻击策略，无缝的砌合您的利用程序，不会造成任何利用失真。

网站全面隐身：黑客再奇特也没法攻击看不见的东西

Barracuda-NC利用防火墙对外部访问网站进行隐身，可以隐躲真实的Web服务器类型、利用服务器类型、操纵系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息，让黑客看不见，摸不着，探测不到，自然也无从猜想分析和攻击。以下便是1款常常使用扫描工具扫描经过Barracuda-NC利用防火墙隐躲的网站的结果。