維港之夜

夜已深了，但尖沙咀的大街上仍然人頭攢動，華燈閃耀。人們向著維多利亞港緩緩聚集。
還有半小時就要跨年了！
每年跨年夜的維港煙花匯演，已經成為人們迎接新一年的重要節目，來自世界各地的游客慕名而來。
老于靠在港口豎立的石柱旁，靜靜凝望著璀璨華燈照不到的深藍色海面，深深吸了一口微涼的空氣，白霧氤氳而起。
“爸爸噴霧了，吞云吐霧的霧！”小女兒脆生生的聲音把老于從愁緒中拉出。
摸了摸女兒的頭，拉緊了妻子的手，這一刻老于覺得加班熬夜擠出的假期是非常值得的，家庭的溫馨瞬間驅散了心頭的陰霾。

一個月前

老于負責某學校網站的安全管理工作。一個月前的老于還對自己轄下的網站信心十足——網站前有WAF防護，這可是專業的Web應用防火墻，看它的防護日志，每天都有上百頁，敬業勞模的表率。老于雖然對深層的技術不太懂，但和它相處3年來也有著默契——防護不能太嚴格，否則不僅百度會收錄不到網站，校內師生的各種訪問還會被WAF誤識別為攻擊而攔截。

沒辦法，外包建站嘛，網站代碼不規范的地方多了，都修完比重寫一個還費勁，縫縫補補再撐三年吧。每次遇到誤識別，老于就按廠商教的方法：把觸發的防護規則排除掉，網站訪問就正常了，不過對應的防護也沒了。老于摸摸鼻子，安慰自己：沒得事情，哪會有這么巧。老于繼續優哉游哉，自我感覺良好。

直到一個人的到來，打破了老于的美夢。

一直關系很好的數通廠商銷售帶著他們的網站安全產品經理來拜訪，老于不屑一顧：我承認你數通做得好，但安全是有技術壁壘的好吧？
產品經理是個年輕人，話不多說直接亮設備——一臺漏掃，坦言今天是和老于聊需求的，順便幫忙做個漏洞掃描。小伙子姓張，一看就是圈內人，直奔主題向老于前輩請教網站安全的防護和管理經驗。老于滔滔不絕口若懸河，把自己和WAF相愛相殺的悠悠三年講得是精彩紛呈，其中也不乏對WAF老兄弟的一些埋怨和期盼，但遺憾的是問題和需求反饋廠商后就石沉大海，連個水花都“沒得”。

小張邊聽邊點頭，還不時用小本本記錄下來，每每提問總是在詳細確認老于的“痛點”，尤其是聽到老于為了不阻攔百度搜索的爬蟲取消了防爬蟲和掃描的防護阻塞，還有每遇到誤攔截就直接排除該條規則的做法，更是陪老于一起扼腕嘆息。
一席聊罷，小張小心翼翼地試探：“老哥，咱們現在網站安全風險比較高，要不做個漏洞掃描試試？

老于也有些心虛了，但仍強撐，“我有WAF呢，不怕事。”
小張幫老于進行了2次漏掃檢測，第一次在沒有WAF防護的情況下掃出了一堆高危漏洞，老于擦擦汗說“我有WAF呢，怕甚？”
第二次在有WAF防護的情況下仍然掃出了高危漏洞，老于坐不住了，“沒防住？！”

小張耐心解釋道：WAF在正常啟用防護規則時是可以防漏掃工具掃描的，但如果不開啟爬蟲防護和掃描防護以及其他高危攻擊防護的話，仍然會被攻擊者或者監管者掃出漏洞。另外，能修的漏洞建議盡量修復，因為一切的安全防護都存在被繞過的可能，繞過防護后如果攻擊者發現沒有高危漏洞可以利用，也較難下手。

看到老于張口欲辯，小張笑著補充：“當然，針對您的特殊要求，一是要把百度等搜索引擎的爬蟲放行，否則SEO白做了；其實最新技術的WAF是支持區分爬蟲和掃描工具的；同時還可以針對搜索引擎做白名單，在開啟防爬蟲和防掃描功能的同時，不影響搜索引擎。當然我們的WAF還支持掃描陷阱，通過反向識別的方式來判斷訪問行為是否屬于掃描行為，進而反向定位攻擊者并執行阻斷策略。就像是在網站中安插了一個隱藏的陷阱，正常的訪問絕無可能觸發，而掃描遍歷這樣的行為必然會遭遇陷阱，一旦觸發就可以快速定位，并進行主動防御。二呢，要規避網站訪問過程中的誤識別，我們也有更好的方案：針對訪問某URL出現誤識別的情況，可以不在全局排除防護規則，而是針對該URL對防護規則添加例外，從而將風險降到最低。

老于聽完忍不住叫好，完美解決他的所有問題啊。要不要試試呢？

老于決定把一個報表管理中心網站先交給小張的WAF——WebGuard（簡稱WG）防護。“反正只有學期末才會被人訪問，服務器都不知道建在哪個犄角旮旯呢，就拿這個試試看吧。”老WAF用得好好的，老于暫時沒什么心思去更換WAF設備。

小張再次帶WG測試機來時，老于一改之前的悠閑，倉促間完成WG設備上線后就把人攆走了。沒辦法，老于要抓緊時間搞定手頭工作，好休假帶家人粗去high~ 但老于還是沒有拒絕小張的推薦，給那個報表網站掛上云監控平臺WMS做篡改監測，因為據小張說云平臺發現篡改等攻擊后，管理員可以第一時間控制WG將網站下線！老于想起上級部委曾提出的3秒斷網要求，鬼使神差地應了下來。

驚魂一刻

嘭！嘩~~~嘭！嘭！嘭！嘩~嘩~嘩~~~
禮花盛典開始了！
老于放下了對網站安全的隱憂，和家人一起全身心投入到熱鬧的人群中，欣賞、拍照、歡呼！
熱鬧總歸會散。

夜色更濃了，海風也一陣涼過一陣。
老于準備回酒店了，把困得迷糊的閨女交給出租車后排的妻子，自己坐進副駕，終于有空摸出了手機。
未讀信息？

“網站監控：211.136.X.X-內容監控【報表管理中心】存在網頁內容安全性風險…【告警時間:201X-01-01 0:15】
咦？這個IP好眼熟，是那個報表管理系統？

老于趕緊點開短信，原來是之前小張提到的網站云監控平臺WMS發來的，提示監控的報表管理網站可能被篡改！
老于一臉黑人問號？？？就是一個登錄頁面啊！沒人會去改它吧？
手上卻不慢，通過手機瀏覽器存的書簽訪問WMS監控平臺，果然看到監控首頁有篡改告警提示！
不會吧！中獎了？？

老于將信將疑地用手機訪問學校的報表管理系統，機場買的Wi-Fi網速真心不快，等得老于好煩躁。終于，瀏覽器頁面進度條爬滿之后網站打開了。
還是熟悉的報表管理系統頁面啊。等等，藍色的登錄框中浮現出幾行黑字粗話和一個紅色印章，這是什么鬼！！！
握*！
F**k
T*d
…
殺千刀的反動黑客竟然盯上了老子的網站！
老于的語言系統已失控…
報表網站掛網也有年頭了，八百年沒人關注的一個破網站，怎么突然被人盯上了呢？
等等，老子的WAF呢！WG怎么沒防住！老于怒氣沖天，就知道他們的WG不靠譜！
狠狠喘了兩口粗氣，老于稍稍冷靜下來，想起上級部門3秒斷網的要求。
我倒要看看你們的一鍵下線好不好用！
老于趕緊切換到WMS平臺的頁面，在“站點管理”里找到報表網站，看到了“一鍵下線”按鈕，狠狠按下，然后確定！
√離線成功
這么簡單？
老于趕緊切到瀏覽器的報表網站頁面去刷新網站，進度條像蝸牛一樣爬了半天，終于看不到被篡改頁面了。
Thank god！
一鍵下線好用！
總算及時切斷了傳播源，避免了負面影響擴散。
老于松了一口氣，但緊接著臉色一苦：
老子的假期要泡湯了……

真相大白

老于回到單位第一時間就把小張抓來質問。
老于早就發現WG上竟然沒有半點有價值的攻擊日志。只能通過訪問日志看到有一個IP在攻擊發生前一直密集地在訪問該網站。
什么破東西啊，防不住不說，連有價值的記錄都沒有？

小張帶來的安全技術專家仔細分析和排查了網站服務器和WG，給出了最終的結論：該網站服務器早在半年前就被人植入了后門！發生攻擊時攻擊者正是通過了后門連接到服務器進行遠程操控篡改，從而繞過了網站前的WAF防護。

“沒有安全服務配合的安全產品，其能力發揮可能受到影響”，小張補充道，“就比如WAF，如果在WAF上線前，被WAF保護的網站服務器就已經失陷了，那么WAF的作用就被大大削弱，甚至是無效了。而如果在WAF上線之前就能對網站服務器進行相應的滲透測試，從而發現深層次的安全隱患并解決，即可防患于未然，只要WAF發揮著保護作用網站就是安全的。”
安全產品+專業安全服務，才能實現安全產品的最大價值！
老于深深點頭，經此一役，刷新了自己對安全的認識。“對了，你們的一鍵下線功能還是很給力的，怎么實現的？”

小張：“任何防護手段都無法百分之百攔截攻擊，所以一旦出現安全問題，應急響應將無比重要。比如網頁篡改攻擊，其處置動作必須要快，否則一旦被篡改的內容被公眾看到甚至留下截圖等記錄，攻擊的最終目的就達到了。在一些重大會議或活動期間，攻擊者不會給我們足夠的應變時間。因此，對該類攻擊最關鍵的防護指標是及時響應，控制擴散范圍。”

現有的處理方法過于粗暴或難以執行。比如臨時斷網或關閉服務器系統，影響面太廣，管網站的負責人倉促之間很難獲得上級批準和相關人員的配合執行。直接斷電關停服務器也可能造成數據丟失，給事后的追查溯源帶來影響。

而WAF作為服務器區域邊界最后一道也是最重要的關卡，應對上述攻擊具備天然的優勢，我們需要在管理上做足夠的改進和調整：

1、簡化管理方式
簡化管理，用最方便直接的方式來訪問和調整WG的安全策略，例如手機。當安全事件發生時，我們可能不在機房旁甚至電腦旁，但至少會有手機。只要保證手機到WG的管理通道可達（路由可達或者專用的NAT策略），就可以用手機來實現管理，也不需要單獨再安裝專用APP，直接用瀏覽器訪問就可以。

【實現效果】
采用移動端（例如手機等）瀏覽器訪問WG，可顯示所有服務器列表，具備一鍵上線離線的應急響應按鈕，可在安全事件爆發時進行快速處置。

“當然像您之前訪問的云監控平臺WMS，因為可以和WG的聯動，所以也能在云平臺的網站監控頁面實現對WG上的網站進行一鍵下線操作。”
 
老于聽完感慨，這個功能好，手機或者任意設備隨時訪問，方便而且解決大問題啊。
小張嘿嘿一笑，其實這次來也是想邀請您體驗我們完整的Web安全立體解決方案，幫您一站式解決Web安全問題。

【本故事純屬虛構，如有雷同純屬對方抄襲我】

銳捷Web安全立體解決方案

銳捷Web安全立體解決方案針對當前業內的信息安全現狀，通過公有云檢測和本地安全防護相結合的方式協助客戶進行網站安全建設，實現對于網站安全狀況（網站可用性、網頁篡改、違規內容等）的實時監測，對WEB攻擊（WEB漏洞攻擊、OWASP Top10、CC攻擊等）的提前預防、統一防御、及時發現和應急響應，增強針對網絡攻擊的防御縱深，進一步完善安全防御架構，真正實現有效應對網站系統Web攻擊。

方案從安全評估、安全防護和安全運維三個層面，完整涵蓋Web應用系統生命周期中從開發測試到上線交付，再到運行維護的各個環節，實現系統發布前的漏洞掃描、上線后的攻擊防護、日常運維的安全監控與審計管理。

▲Web應用系統全生命周期防護

安全評估

1.    漏洞掃描

漏洞，是Web安全隱患的源頭，大部分Web攻擊都是攻擊者利用漏洞實施的。如果能事先發現漏洞并修正，則可以極大降低系統的安全風險。因此無論是在Web系統是處于上線前的開發測試階段，還是已經建設完畢的運行維護階段，都需要進行安全評估。

銳捷RG-Scan漏洞評估系統是一款集系統掃描、web掃描、數據庫掃描、弱口令掃描等功能模塊于一體的綜合漏洞發現與評估系統。

針對構成網站的三部分：操作系統、中間組件和網頁程序，都可以進行漏洞掃描，從而對網站安全狀況做出全面的評估。

優勢特點：

RG-Scan可以把掃描結果以圖、表、文字說明等多種形式直觀呈現出來，同時提供解決方法和處理建議，方便管理員及時修復漏洞或者調整防護策略，預防漏洞攻擊。

2.    滲透測試服務

專業安全服務工程師模擬黑客攻擊方式對客戶信息系統進行非破壞性安全測試，發現深層次的安全隱患，驗證現有安全措施的防護效果，及時了解其被入侵的可能性，提出整改建議。測試內容包括:敏感信息收集、端口信息、系統帳號信息、網絡資源信息、安全漏洞發現與利用、帳號密碼 破解、權限繞過等等。

實施效果
●驗證現有安全措施的防護能力,發現系統深層次安全風險。
●最真實模擬黑客方式入侵。
● 避免被監管機構或黑客提前發現問題。

安全防護

1.    Web攻擊防護

Web應用防火墻（WAF）是針對Web應用的特點發展而來的專業安全產品，能夠有效地防護SQL注入、XSS跨站腳本等Web攻擊。企業組織應在傳統防火墻、IPS邊界防護的基礎上，增配WAF設備保護Web應用。

銳捷WAF（簡稱WG）能夠識別各類高危Web攻擊，如： SQL注入攻擊、跨站腳本（XSS）攻擊、敏感信息泄露、webshell攻擊、爬蟲及惡意掃描攻擊、緩沖區溢出攻擊、盜鏈、惡意代碼攻擊、會話劫持攻擊等。通過識別實時訪問流量，過濾攻擊流量，保護正常Web訪問, 防止因為黑客流量攻擊造成數據泄露、網站業務中斷等現象。

優勢特點：

WG支持對接國際、國內主流威脅情報源，可實現主動過濾僵尸主機等惡意來源的流量，提高安全防護效率。同時基于實時更新的威脅情報庫，動態防護未知威脅。

WG支持攻擊態勢的大屏展示，可通過實時態勢監測功能進行攻擊態勢地圖展示，包含對源地址、源地域、目標服務器、攻擊類型、攻擊趨勢、流量趨勢等重要的安全指標數據的統計分析。基于攻擊事件的動畫展示將網絡中蘊涵的態勢狀況通過可視化圖形方式展示給用戶，可識別出是否有高級黑客在針對用戶業務進行定向式web攻擊。可視化展示讓WAF的攻擊日志不再是眼花繚亂的數據流，而是呈現出新的價值。

2.    網頁防篡改

沒有任何防護手段是絕對安全的，網頁防篡改是保障網站頁面內容完整性的最后一道保險。

銳捷RG-Wlock采用文件驅動級保護技術，確保受保護網頁不會被篡改。文件驅動級保護是網頁防篡改的第三代技術，其原理是采用操作系統底層文件過濾驅動，分析并攔截IRP流（I/O request packets， 簡稱IRP，即輸入輸出請求包），對所有受保護的網站目錄的寫操作都立即截斷，在企圖篡改文件之前就阻止。

RG-Wlock是真正的“防”篡改（篡改前攔截），而非篡改后恢復。且不懼連續篡改攻擊，支持斷線監控保護；對服務器資源占用極低，不依賴WEB服務器軟件，也不影響網頁的正常訪問。

安全運維

安全運維是安全建設的最后一公里
Web應用不是一次性交付的靜態產品，而是持續運營的平臺。針對Web安全事件，需要具備對Web安全威脅進行實時監測的手段，包括Web站點的可用性監測、篡改監測、網頁掛馬監測、黑詞暗鏈監測等。Web站點運維人員需要在遭受攻擊后第一時間獲知，并采取應急響應措施。

銳捷云安全監控預警平臺RG-WMS，可以對網站進行7*24小時的實時監測和風險預警，可及時發現木馬、暗鏈、敏感關鍵字等問題；敏感關鍵字支持自定義設置，可用于監控追蹤時事熱點詞匯出現在站內的數量和位置。RG-WMS支持對網站頁面的文字、鏈接、圖片、標題等內容進行篡改監控，在檢測到頁面被篡改后能夠第一時間告警提示。

運維人員會在網站遭受篡改攻擊、或網站離線后第一時間獲得WMS的短信通知；同時可以通過WMS或WG第一時間下線問題網站，避免負面影響擴大。

方案價值

銳捷Web安全立體解決方案從安全評估、安全防護和安全運維三個層面，完整涵蓋Web應用系統生命周期中從開發測試到上線交付，再到運行維護的各個環節，實現系統發布前的漏洞掃描、上線后的攻擊防護、日常運維的安全監控與審計管理。

銳捷Web安全立體解決方案在有效應對篡改、Web漏洞攻擊等混合威脅的風險的同時，能夠讓管理員及時掌握網站安全狀況，對網站點進行可用性監控、篡改監控、網站相關威脅情報監測等，便于監管；發現威脅可通過“一鍵下線”等方式及時處理，避免不良影響擴散。

自動化攻擊的新趨勢，給企業的安全防護帶來了前所未有的巨大挑戰。對于越來越智能、呈現自主決策和軍團化的自動化攻擊，企業需要重新審視現有的安全防御響應系統。銳捷Web安全立體解決方案，助您保障最后一公里的安全。

發福利啦~
銳捷邀請您免費體驗《銳捷Web安全立體解決方案》
請戳“閱讀原文”報名，可選擇體驗Web安全整體解決方案，或任選方案中的RG-Scan、RG-WG、RG-Wlock、RG-WMS產品。
機會有限，速度報名吧！