政府Web应用防火墙解决方案

一、项目背景

当今对于Web服务器的攻击威胁越来越普遍，手法也越来越多样化。攻击将造成严重的后果，轻者将使Web服务器无法工作，市民无法正常浏览网站；重者将直接篡改网站内容，严重损害政府形象。因此，保证Web服务器的安全显得尤为重要。为Web服务器提供一道完善的防护迫在眉睫。

二、需求分析

某区政府通过使用两台Web服务器作为自己的门户网站，对外开放相关信息，与市民取得互动。目前该区政府要求Web服务器应该受到严密的保护，避免遭受任何针对Web服务器发起的攻击，这些攻击包括：跨站脚本攻击；SQL注入攻击；网页篡改；cookie中毒；缓冲区溢出；参数篡改；错误返回信息截取等。

三、解决方案

根据该区政府的网络环境和需求，梭子鱼提供梭子鱼应用防火墙，部署在两台Web服务器之前，实现反向代理，达到保护Web服务器的目的。 

该区政府服务器网络原始拓扑图如下所示：

由图可知，外部的请求通过网络防火墙直接访问到两台Web服务器，由于网络防火墙无法检查HTTP协议的内容，所以恶意的攻击很容易渗入网络内部。这样的网络无法为Web服务器提供安全防护，其实质就等于将Web服务器暴露于公网。

通过在Web服务器前部署一台梭子鱼应用防火墙来达到保护门户网站目的。加固后网络拓扑如下图所示：

由图可知，来自外部的请求将首先经过梭子鱼应用防火墙，经过严格的扫描后再发送给后台服务器，大大提高了网站的安全性。

四、产品优势

实时防护最新威胁

梭子鱼Web应用防火墙提供对数据丢失,DDoS,和所有应用层面攻击的优秀防护能力。自动更新可提供对最新威胁的防御。当新的威胁出现时,梭子鱼能够提供最新的功能将这些威胁阻断 。

认证和访问管理

梭子鱼Web应用防火墙具有健壮的认证 和访问控制机制,通过对敏感应用或数据严格的授权访问来保证数据安全性和机密性 。

可负担和便于使用

预置的安全模板和直观的Web管理界面可提供即时的安全体验而不需要经过耗时的调试和应用的学习。可集成安全漏洞扫描器和SIEM工具,使得安全评估、监控变得自动化和减少流程。