［項目背景］
　　針對目前的日益嚴重的網(wǎng)站的攻擊和篡改的問題，國家相關(guān)部門也做了相應(yīng)的條款和制約。等級保護上也有明確對網(wǎng)站保護要求。
　　一方面：政策導向
　　政策導向一：中華人民共和國公安部令-第82號
　　政策原文：開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的，能夠防范網(wǎng)站攻擊、網(wǎng)頁被篡改，被篡改后能夠自動恢復；
　　政策導向二：國務(wù)院辦公廳關(guān)于進一步加強政府網(wǎng)站管理工作的通知
　　政策原文：網(wǎng)站安全防范工作是否到位，是否采取了防攻擊、防篡改、防病毒等安全防護措施，并制訂了應(yīng)急處置預案；；
　　政策導向三：工信部通告
　　CSDN、天涯信息泄露事件愈演愈烈，國家工信部于2011年12月28日發(fā)表通告要求，各互聯(lián)網(wǎng)網(wǎng)站要高度重視用戶信息安全工作，把用戶信息保護作為關(guān)系行業(yè)健康發(fā)展和企業(yè)誠信建設(shè)的重要工作抓好抓實。發(fā)生用戶信息泄露的網(wǎng)站，要妥善做好善后工作，盡快通過網(wǎng)站公告、電子郵件、電話、短信等方式向用戶發(fā)出警示，提醒用戶修改在本網(wǎng)站或其他網(wǎng)站使用的相同用戶名和密碼。未發(fā)生用戶信息泄露的網(wǎng)站，要加強安全監(jiān)測，必要時提醒用戶修改密碼。
　　第二方面：網(wǎng)站安全風險導向
　　門戶類網(wǎng)站成為黑客主要攻擊目標，安全漏洞及配置問題，而引發(fā)網(wǎng)頁信息被篡改、入侵等安全事件屢見不鮮。
　　1.  門戶網(wǎng)站程序設(shè)計存在的安全問題，網(wǎng)站程序設(shè)計者在編寫時，對相關(guān)的安全問題沒有做適當?shù)奶幚恚�存在安全隱患，如SQL注入，上傳漏洞，腳本跨站執(zhí)行等;
　　2.  Web服務(wù)器配置不當，系統(tǒng)本身安全策略設(shè)置存在缺陷，可導致門戶網(wǎng)站被入侵的問題;
　　3.  Web應(yīng)用服務(wù)權(quán)限設(shè)置導致系統(tǒng)被入侵的問題;
　　4.  使用webshell第三方程序進行網(wǎng)站維護，導致黑客使用后門工具篡改網(wǎng)站；
　　5  .黑客使用洪水攻擊網(wǎng)站，導致網(wǎng)站出口流量阻塞，客戶無法正常瀏覽網(wǎng)站；
       ［某房產(chǎn)局信息網(wǎng)網(wǎng)站現(xiàn)狀與風險］
　　門戶類網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上，容易成為黑客的攻擊目標。其中，黑客和不法分子對網(wǎng)站的網(wǎng)頁(主頁)內(nèi)容的篡改是時常發(fā)生的，而這類事件對公眾產(chǎn)生的負面影響又是非常嚴重的，即：形象受損、信息傳達失準，甚至可能引發(fā)信息泄密等安全事件。網(wǎng)頁篡改者利用操作系統(tǒng)的漏洞和管理的缺陷進行攻擊，而目前大量的安全措施(如安裝防火墻、入侵檢測)集中在網(wǎng)絡(luò)層上，它們無法有效阻止網(wǎng)頁篡改事件發(fā)生。
　　目前某房產(chǎn)局信息網(wǎng)網(wǎng)站邊界采用防火墻做為防護設(shè)備，部署了3臺服務(wù)器， 3臺pc服務(wù)器通過一臺2層交換機與防火墻相連。
　　3臺服務(wù)器全部安裝的是Windows 2003 Server操作系統(tǒng)。其中承載的服務(wù)主要外網(wǎng)門戶網(wǎng)站、辦公OA、行政審批、網(wǎng)站群等。某房產(chǎn)局信息網(wǎng)對公網(wǎng)公開的WEB服務(wù)器，網(wǎng)站主體用的是.NET架構(gòu)，少部分板塊用的是.asp架構(gòu)。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下所示：
　                                       　
　　根據(jù)這個現(xiàn)狀不難看出目前對于整個內(nèi)網(wǎng)和服務(wù)器區(qū)的防護只部署了一臺傳統(tǒng)型的防火墻，在應(yīng)用層安全方面存在極大的風險。隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純部署傳統(tǒng)型的防火墻已經(jīng)無法滿足Web應(yīng)用的安全防護的需求。
　　傳統(tǒng)型的防火墻，作為訪問控制設(shè)備，主要工作在OSI模型三、四層，基于IP報文進行檢測。設(shè)計之初，它就無需理解Web應(yīng)用程序語言如HTML及XML，也無需理解HTTP會話。因此，它也不可能對HTML應(yīng)用程序用戶端的輸入進行驗證、或是檢測到一個已經(jīng)被惡意修改過參數(shù)的URL請求。惡意的攻擊流量將封裝為HTTP請求，從80或443端口順利通過防火墻檢測。
　　有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，但局限于最初產(chǎn)品的定位以及對Web應(yīng)用攻擊的研究深度不夠，只能提供非常有限的Web應(yīng)用防護，難以應(yīng)對當前最大的安全威脅，如SQL注入、跨站腳本。對網(wǎng)頁篡改、網(wǎng)頁掛馬這類緊迫問題，更是無能為力。
       ［網(wǎng)神解決方案］
　　針對某房產(chǎn)局信息網(wǎng)網(wǎng)站目前存在的安全問題，我們建議采用專業(yè)的安全方案來解決。采用Web應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)來確保網(wǎng)站不再黑客攻擊和篡改的問題。
　　在此我們建議可采用網(wǎng)神綜合的、專業(yè)的WEB安全防護系統(tǒng)來作為本次安全解決方案的主打產(chǎn)品。網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻系統(tǒng)通過事前的檢測、事中防御、事后審計的手段有效解決DDoS、緩沖區(qū)溢出、惡意遠程文件執(zhí)行、目錄遍歷攻擊以及當前最為泛濫的SQL注入、跨站腳本（XSS）攻擊的WEB安全問題。同時可以通過對服務(wù)器的外部過濾防護、WEB應(yīng)用服務(wù)防護和網(wǎng)頁防篡改系統(tǒng)三個維度進行立體的安全防護。具體部署方式如下圖所示：
　                                      　
       ［用戶收益］
       政府網(wǎng)站建設(shè)合規(guī)性
　　滿足及符合中華人民共和國公安部令-第82號及國務(wù)院辦公廳關(guān)于進一步加強政府網(wǎng)站管理工作的通知相關(guān)政府網(wǎng)站建設(shè)要求。
        網(wǎng)站過濾防護
　　在本次方案中我們建議在防火墻和交換機之間部署1臺網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻。通過該web應(yīng)用防火墻能夠有效的阻斷SQL注入、跨站腳本、應(yīng)用層DDoS等Web應(yīng)用攻擊，提供有效檢測、防護，降低攻擊的影響，從而確保業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。
　                             　
　　SecWAF 工作原理
　　事前，SecWAF提供Web安全評估，檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中，對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后，針對當前的安全熱點問題，網(wǎng)頁篡改及網(wǎng)頁掛馬，提供診斷功能，降低安全風險，維護網(wǎng)站的公信度。
集成先進的Web掃描檢測技術(shù)
　　網(wǎng)神SecWAF 3600 Web應(yīng)用防護墻集成了Web掃描器功能，可以在前期對客戶網(wǎng)站進行一次整體性的評估，評估我們的網(wǎng)站研發(fā)人員在編寫代碼時，出現(xiàn)了哪些安全疏忽，評估出安全疏忽，才可以針對疏忽進行安全防護。
        http1.1協(xié)議支持
　　隨著互聯(lián)網(wǎng)的告訴發(fā)展，網(wǎng)站架構(gòu)隨著HTML編寫語言的不斷改進，網(wǎng)站的內(nèi)容也變的多樣化，豐富的內(nèi)容已經(jīng)把我們帶入了移動互聯(lián)網(wǎng)時代，現(xiàn)在大多數(shù)的網(wǎng)站已經(jīng)開始使用前沿的HTML 5編寫精美的網(wǎng)站，網(wǎng)站的訪問協(xié)議也從http1.0版本升級到http1.1協(xié)議。http1.1訪問協(xié)議提高了網(wǎng)頁傳輸速度，提高了瀏覽網(wǎng)頁的客戶體驗。
        后門程序攔截
　　隨著網(wǎng)站更新程序的五花八門，隨之爆出安全問題也層出不窮，互聯(lián)網(wǎng)頻繁爆出漢化版SSH管理軟件出現(xiàn)信息泄露事件，黑客可以根據(jù)SSH的登錄信息知道網(wǎng)站的用戶名和密碼，導致網(wǎng)站后臺暴露給黑客，成為網(wǎng)站被修改的后門程序，網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻提供自有特征庫，特征庫包括SQL注入、XSS跨站腳本、防掃描、防爬蟲、信息泄露、協(xié)議完整性等。針對網(wǎng)站后門程序，網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻提供的信息泄露可以保護后門軟件無法攔截網(wǎng)站進行后臺修改數(shù)據(jù)，完全屏蔽后門軟件安全問題。
        DDoS防護
　　傳統(tǒng)的DOS攻擊已經(jīng)無法影響互聯(lián)網(wǎng)安全問了，隨著而來的是DDoS攻擊，DDoS攻擊使用三層的SYN包和ACK包進行網(wǎng)站攻擊，導致大流量訪問網(wǎng)站，網(wǎng)站出口帶寬滿負荷，正常的客戶流量無法進入網(wǎng)站瀏覽網(wǎng)站內(nèi)容，導致大量黑客流量訪問網(wǎng)站，網(wǎng)站服務(wù)器無法處理大量的攻擊流量，導致服務(wù)器癱瘓，造成網(wǎng)站不必要的損失，網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻內(nèi)置DDoS防護模塊，針對SYN和ACK包進行閥值控制，當黑客流量攻擊網(wǎng)站服務(wù)器，網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻會對流量進行識別，并針對攻擊流量進行處理，保護正常的訪問流量穿過網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻瀏覽網(wǎng)站。
        網(wǎng)頁防篡改
　　針對房地產(chǎn)信息對大眾的影響力，黑客看重了網(wǎng)站的宣傳能力，所以房地產(chǎn)網(wǎng)站頻繁遭到黑客篡改，添加其他網(wǎng)站鏈接，導致網(wǎng)站公信力下降，網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻內(nèi)置網(wǎng)頁防篡改模塊，使用內(nèi)核保護和觸發(fā)更新技術(shù)對網(wǎng)站進行防篡改，當黑客對網(wǎng)站篡改時，觸發(fā)更新技術(shù)會記錄到網(wǎng)站被篡改被還原網(wǎng)站原有形態(tài)，保證網(wǎng)站不被黑客篡改，并用內(nèi)核保護技術(shù)，對網(wǎng)站的數(shù)據(jù)庫、網(wǎng)站架構(gòu)進行權(quán)限保護。