在向服务型政府转型过程中,创新政务服务模式,简化面向公众的行政审批流程,越来越多基于Web的应用系统向公众开放,政府门户网站作为国家机构提供给公众获取信息服务的窗口,政务机构的公众形象,一但不法份子入侵Web系统后,可随意控制整个服务器权限,随意挂马、篡改内容,将带来不可预估的后果。IT建设人员面临着如下困惑:网站篡改、SQL注入、XSS、CC攻击等多种 Web层安全威胁问题。
◆ 如何防止Web服务器、数据库服务器被窃取信息?
◆ 如何验证用户提交数据的安全性?
◆ 如何防止黑客上传木马、控制服务器?
◆ 上级单位和测评机构的安全检测压力。
◆ 来自四面八方的访问请求如何优化入站链路的调度,提升请求用户的体验。
◆ 如何有效利用备用链路利用效率,让备用链路还再仅仅是备用链路。
齐杉科技政府门户网站安全优化解决方案:
◆ 在互联网出口部署齐杉Cedar ADC产品,负责各家运营商线路接入,服务映射,业务可用性检查,解决入站的流量自动智调度问题;
◆ 在Cedar ADC之下部署齐杉Cedar WAF产品,负责应对来自互联网流量中基于Web层的攻击威胁;
通过Cedar WAF的完整TCP协议栈解析引擎,可以准确的对TCP/IP栈数据包进行重组还原,能完整识别HTTP协议框架, 实现 HTTP/HTTPS协议完整解析和还原,从根源上避免绕过及穿透攻击。通过指纹识别及行为分析引擎,能对TCP协议扫描、UDP协议 扫描、Ping扫描和异常探测行为及时发现并进行及时阻断。通过特有的并行流过滤处理引擎,满足在灵活定制各种复杂WEB防护 策略、开启各种WEB行为攻击检测的同时,实现万兆高并发低延迟处理。通过敏感信息检测引擎,对服务器返回信息的HTTP头域、 URI字段、Cookie、服务器信息等进行有效识别,完成对敏感信息泄露过滤。
Cedar WAF针对SQL注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、CC攻击等攻击全面防御,让对门户网站系统 的信息泄露、伪造和破坏风险降到最低,IT人员针对Web系统的安全忧虑迎刃而解。
智能DNS功能是解决入站流量调度方面的问题,首先将对外发部业务的域名解析功能指向齐杉科技Cedar ADC设备,由Cedar ADC设备来进行域名A记录的解析。举个例子来说,当公网用户通过域名访问对外发布的门户网站系统时,逐步通过用户的本地 DNS服务器、根DNS服务器,最终由Cedar ADC设备来进行域名的A记录解析。然后Cedar ADC设备就会通过智能DNS模块进行对 发起访问用户的运营商归属分析,结合动态智能调度算法,给用户返回对应的运营商访问地址,同时实现多条线路冗余,让用户 得到最佳的访问IP地址,提高访问效率,提升链路的利用效率,详细实现如下:
◆ 用户通过Cedar ADC访问门户网站服务器。
◆ 用户请求到达设备的路径有多条,设备的每个外网接口分别对应着不同运营商的链路。
◆ 用户访问域名时,Cedar ADC设备对域名进行智能DNS解析,通过将域名解析为所属的运营商IP地址,返回给用户访问同属性 运营商的IP地址,通过智能DNS技术让所属不同运营商网络的客户能通过相对应的路径完成业务请求的功能。
通过Cedar ADC实现入向流量自动智能调度,能有效解决入站方向上的流量分配问题,能极大的缩短因运营商链路故障引起业 务访问中断问题,秒级的故障自愈能力。大大提高无论是在业务高峰期,还是在某一运营商链路故障时用户体验差的现象,备用链 路不再仅仅是备用链路。
◆ 社保用户无感知调度切换,真正满足网络7*24的高可靠。
◆ 通过多种调度策略,将用户请求调度到响应最快的业务中心,确保用户的体验。
◆ 业务级的健康检查,为业务故障切换提供精准条件。