安全类网站

XXXXXX

网站安全防护方案

文档

编号

项目

编号

保密

级别

商

密

版权声明

文档名称XXXXXX网站安全防护方案

作者

类别网站安全防护方案

子类别产品类

摘要

修订历史(REVISIONHISTORY)

版本号日期修改人审阅人摘要

本文档为XXXXXX网站安全防护方案，其相

关版权归上海天泰网络技术有限公司所有，未经公

司许可，其他任何企业和个人均不得对本文档的任

何内容进行修改、翻印。

目录

一.前言....................................................................1

二.XXXXXX网站安全状况分析..................................................2

2.1XXXXXX网站系统拓扑.....................................................................................................2

2.2XXXXXX网站系统分析.....................................................................................................2

2.2.1缺乏有效的应用安全防护..................................................................................3

2.2.2需要详尽的日记审计..........................................................................................3

三.XXXXXX网站安全防护设计方案..............................................4

3.1网站安全防护方案设计依据及原则..............................................................................4

3.1.1网站安全防护设计依据......................................................................................4

3.1.2网站安全防护设备选择原则..............................................................................4

3.2网站安全防护设备选择..................................................................................................5

3.3WEB安全网关产品部署分析...........................................................................................7

3.3.1设备部署方式......................................................................................................7

3.3.2部署方式分析......................................................................................................8

3.4WEB安全网关实现的功能...............................................................................................9

3.4.1保护系统安全......................................................................................................9

3.4.2增强系统审计......................................................................................................9

3.4.3提升系统性能....................................................................................................10

四.WEB安全网关产品介绍....................................................11

4.1天泰WEB安全网关产品功能.........................................................................................11

4.2天泰WEB安全网关参数................................................................................................14

五.网站安全防护建设所需设备................................................16

六.附件上海天泰网络技术有限公司简介..............................................17

一.前言

随着网络与信息技术的进展，尤其是互联网的普遍普及和应用，如愈来愈多的政府、单

位组织成立了依赖于网络的业务信息系统，比如电子政务、电子商务、网络办公、网络媒体

和虚拟社区的出现等正深刻影响人类生活、工作的方式。与此同时，信息安全的重要性也在

不断提升。

目前中国互联网进展态势良好。来自中国互联网络信息中心的数据表明，截至2007年

年末，国内网民数已达到亿；中国域名总数是1193万个，年增加率达到%；中国网站数量

已有150万；中国网页总数已经有亿个，年增加率达到%。2008年年初，投行MorganStanley

预测，未来几个月中国网民数将超过美国，成为全世界第一。

欣喜之余，咱们发觉：Web应用愈来愈为丰硕的同时，Web服务器以其壮大的计算能力、

处置性能及包含的较高价值逐渐成为主要解决目标。SQL注入、网页窜改、网页挂马等安全

事件，频繁发生。

来自网络世界（NetworkWorld）的报导，2008年5月13日，在中国大陆、香港及台湾

地域有数万个网站遭遇新一轮SQL注入解决，并引发大规模挂马。在过去的4个月中，之

前已有3次大规模解决，受害者包括某知名防病毒软件厂商网站、欧洲某政府网站和某国

际机构网站在内的多家互联网网站，感染页面数最多超过10，000页面/天。2007年，国家

运算机网络应急技术处置协调中心（简称CNCERT/CC）监测到中国大陆被窜改网站总数积累

达61228个，比去年增加了倍。其中，中国大陆政府网站被窜改各月累计达4234个。Google

最新数据表明，过去10个月中，Google通过对互联网上几十亿URL进行抓取分析，发觉

有300多万个歹意URL。其中，中国的歹意站点占到了总数的67%。

2008年全年，国内被入侵的网站多为政府、学校、信息综合门户、知名企业等影响力高、

受众面广的网站，且不论黑客解决的动机，仅在后果上，这些网站可谓遭遇了不同程度的为

难。在被入侵的网站中，政府网站成了重灾区。政府网站的比例大于20%，对电子政务组成

严峻要挟。

二.XXXXXX网站安全状况分析

XXXXXX单位情形介绍。（介绍该单位的性质等信息）

网站已成为XXXXXX利用互联网发布政务信息和提供在线服务的综合平台。建设好

XXXXXX网站，是推动XXXXXX管理方式创新，建设服务型政府的重要举措，对增进政务公开，

改良公共服务，提高行政效率，便于公众知情、参与和监督，具有重要意义。

论述XXXXXX网站的重要性

2.1XXXXXX网站系统拓扑

XXXXXX网站系统由前端防火墙经互换机与WEB服务器相连，通过防火墙的映射功能对

互联网用户提供服务。

2.2XXXXXX网站系统分析

自从我国重视政务公开以来，各政府单位的网站安全部系建设受了高度重视，网站的安

全被提高到战略高度对待。政府部门或从技术手腕动身，采用各类信息安全技术来保障电子

政务安全，或是辅之以信息安全的制度保障，从技术加管理的角度来落实安全办法。

但由于对网站的安全缺乏系统的熟悉，许多政府网站的安全部系建设都十分脆弱，其应

急响应能力也很薄弱。面对漏洞信息的分析、处置缺乏必要的熟悉和判别，无异于将重要信

息暴露于外。这正如很多业内专家所指出的那样：网页频遭入侵暴露出了政府网站重形式、

轻安全的问题。

目前的网站安全事件还主要局限于窜改网页和直接解决，固然也不排除更大更严峻的安

全要挟，如利用网站漏洞侵入后台窃取信息；散播病毒进入系统，使系统瘫痪；干扰政府网

站的正常服务等。如黑客通过网页隐蔽地传播木马程序、间谍软件或控制僵尸网络活动。这

种解决行为与传统的病毒、蠕虫解决相较，更像一个威力壮大的“看不见的仇敌”，能够暗

中控制解决系统进行很多破坏活动，而且这种解决将愈来愈专业化。

通过量方验证，通过成立良好的应用安全防范机制，做到技术和管理的良好配合，是实

现WEB网站安全风险防范长期有效的重要途径。

通过对XXXXXXWEB应用系统的初步了解，发觉XXXXXXWEB应用系统主要存在如下几个方

面的问题：

2.2.1缺乏有效的应用安全防护

XXXXXX的网站建设如系统拓扑所示，网站服务器和互联网之间只有一台网络防火墙进行

隔离，没有必要的应用安全防护办法。目前普通的网站系统通常具有如下所列的多个症状，

还有一些是表中还未涉及的。要解决其中任何一个症状都需要配置专用设备。

症状解决方法

Web应用低性能负载均衡器和/或内容缓存

服务器的不良扩展性TCP优化

WAN连接低性能内容压缩

Web系统被攻击Web应用防火墙

目前XXXXXX的WEB应用系统缺少对服务器信息屏蔽功能，若是访问该网站的用户具有

必然的解决性，将会利用已知的漏洞尝试解决。

2.2.2需要详尽的日记审计

对网站的访问进行详尽的日记记录和审计，是一个网站正常运行的关键。通过对网站

进行详尽的日记审计能够：

了解网站被盗链的情形

若是有第三方网站挪用咱们网站的图片、视频或网页文件，将会浪费咱们的服务器资

源，通过对日记的研究，能够专门快发觉这种问题。

可初步分析网站是不是被黑客植入程序

若是黑客利用网站程序的一些BUG，通过植入代码的进行进行解决破解的话，通过日记

分析就有可能找到这种痕迹。

可分析是不是有程序在大量抓取数据

搜索引擎或第三方网站若是利用收集程序，大量反复收集我方网站数据，既会对服务

器性能造成严峻影响，而且会让咱们的资料流转到其它网站上。通过度析日记数据，能够让

咱们发觉这种收集现象。

咱们通过对网站进行持续访问日记分析，就可以够帮忙咱们在网站出现问题的短时刻

内了解到问题出在什么地方，并尽快找到解决方案。XXXXXX的网站目前缺乏详尽的日记

记录审计设备，对于网站的数据统计较难实施。

三.XXXXXX网站安全防护设计方案

3.1网站安全防护方案设计依据及原则

3.1.1网站安全防护设计依据

为有效保障国家电子政务网信息安全，《国家信息化领导小组关于增强信息安全保障工

作的意见》（中办发[2003]27号）中明确提出包括实行信息安全品级保护在内的9项要求，

要求“成立信息安全品级保护制度，制定信息安全品级保护的管理办法和技术指南”。为此，

公安部、国家保密局、国家密码局、国信办联合发布《信息安全品级保护管理办法》（公通

字[2007]43号），要求“按照信息系统应用业务重要程度及其实际安全需求，实行分级、

分类、分阶段实施保护，保障信息安全和系统安全正常运行，保护国家利益、公共利益和社

会稳固”。各级公安网监部门把调查信息系统的定级对象、肯定系统的安全保护品级作为重

要工作，对网站系统安全依照1到3级标准，在网页防窜改、避免DDOS解决等方面提出了

具体的要求，规范了政府、企事业单位网站的安全建设。

3.1.2网站安全防护设备选择原则

先进性原则

论述XXXXXX网站的作用，因此，考虑到适度超前的原则，咱们在设备选型上将会知足

至少知足未来三年的安全防护需求。

实用、经济性原则

对于投资的保护，是每一个用户都关心的问题。对WEB安全网关设备进行严格的选型，

在知足设计原则的功能前提下，提供最具性价比的设备配置方案。成功的网络投资者注重的

是投入收益比，而专门好的投入产出比要求网络的高性能价钱比和强兼容性。对不同技术和

设备的兼容在专门大程度上保护了用户的投资。“用最少的投入取得最高的网络性能，同时

保证投入最长的生命期”是投资保护的最重要的原则。

靠得住性原则

针对安全网关设备的靠得住性部署要求，咱们考虑在后期的实施中能够采取散布式部署

的方式来知足服务器集群的安全防护。

3.2网站安全防护设备选择

防火墙作为安全防护设备，专门好的解决了网络二到四层的解决和要挟问题，但近两年

来，企业网络受到的内外要挟，尤其是致使网络和应用系统瘫痪的恶性事件，大部份来自于

应用层的解决，例如病毒、蠕虫和黑客解决。据CSI/FBI的信息安全研究报告表明蒙受解决

的公司中，虽然98%部署了网络防火墙等传统防护手腕，但仍然有52%来自外部的解决成功。

成功的解决包括系统被入侵、Web系统被滥用、站点被窜改、关键信息被窃取和拒绝服务。

IDC的报告表明，传统的网络防火墙在应用层保护方面的能力超级薄弱，需要新型的应用安

全防护设备与之互补。

传统防火墙的厂商宣传通过利用IDS和IPS来保证应用层安全，可是这样的解决方案已

经被证明效果是超级差的。最主要的原因有：

它们基于解决特征值和特征码来检测用户的不正常行为。这往往使系统不能免受新

型的解决或通过假装的解决。更重要的是，因为缺乏解决特征码，它们对针对某种

具体应用的漏洞的解决完全无效。

它们工作在网络层而不是在应用层。那些防火墙厂商自己就曾宣称，许多网络安全

产品因为无法获取到足够的必要信息而存在与生俱来的缺点。防火墙和IPS只是在

网络层检查数据包而不是在应用层检查应用请求，因此它们缺乏足够的应用层的逻

辑信息来判断一个应用请求是合法的仍是非法的。比如，任何传统网络防火墙都对

通过SSL加密保护的应用完全无能为力，从而无法检测针对这种引用的任何解决。

另外一些工具如应用扫描器也能够查找系统中那些明显的漏洞，可是扫描整个系统而

且给有漏洞的系统打补丁是件超级费时费力的工作。更大的问题是，扫描器无法扫描到所有

的系统漏洞，因为一个应用系统需要检查的方面往往超级多，而且系统状态的可能性也超级

多。虽然开发人员能够给系统打上成百上千的补丁，可是只要发觉一个可利用的漏洞，黑客

就可以够渗入到系统并造成超级庞大的危害。

因此，理想的解决方案应该是把安全防护功能转移到安全设备中。通过赋于这些新的设

备更多的应用层知识，使其能够过滤掉歹意的应用请求。这种设备的工作方式与防火墙类似，

但不是基于网络数据包而是基于应用逻辑的。由于具有了足够的信息和知识，这种设备能够

按照应用规范有效的识别正常的应用请求，而且能区分并过滤任何非法的服务请求。这种按

照新的防护需求而出现的设备就是应用防火墙。因为应用系统的多样性，不同的应用系统需

要具有相应功能的防火墙。专门保护Web应用系统的设备就叫Web安全网关。

Web安全网关的出现，将会使目前日趋恶化的Web应用安全取得良好的改善。WEB安全

网关是集WEB应用防火墙(WAF)、WEB要挟管理、负载均衡于一体的网关型WEB整体安全防

护设备。

为了有效的对XXXXXX的网站提供全方位的安全防护，并结合XXXXXX的网络环境，利用

的安全产品或技术需要覆盖一下范围或实现以下目标：

对常见的WEB解决进行安全防护

例如：SQL注入解决，跨站脚本解决，应用层DDoS防护，已知的蠕虫解决,和系

统漏洞和系统溢出解决防护等；

对敏感资源和数据的非法访问进行阻断；

提供多种技术的网站加速功能；

灵活多变的假装技术使系统避免探测和解决；

提供全面的Web流量管理，包括基于网站的流量控制，基于URL的流量控制，基

于规则的URL流量控制，最大并发访问数,每秒最大并发访问，URL最大消费带宽

等；

提供壮大的Web资源访问审计，高效的日记处置引擎，实时Web资源访问统计，

海量日记处置，丰硕的统计报表，详细的访问日记，访问者/访问时刻统计报表，

客户端操作系统/阅读器统计报表，被访问文件统计报表等。

设备提供负载均衡功能，能够对目前存在的两台web服务器进行负载均衡，实现

网站无中断运行。

针对XXXXXX的网站情形，咱们推荐选用天泰WEB安全网关对网站进行安全防护，避免

网站被入侵、避免系统信息被修改、避免对后台数据库的歹意访问、杜绝DDoS解决，保障

系统服务的持续性。

3.3WEB安全网关产品部署分析

Web安全网关主如果对XXXXXX的web应用系统（网站）的服务器进行web应用防护。

在肯定保护对象后，要按照应用和产品适应网络的情形不同，采用相应的接入方式部署。天

泰web安全网关主要接入方式有：透明方式、路由方式和单臂方式等。

3.3.1设备部署方式

透明或路由方式部署

透明方式和路由方式的部署位置极为相似，均需要串联接入网络中，所有访问web服

务器的数据都需要通过web安全网关设备，web安全网关除需要分析http应用的数据之外

还需要处置非http协议的数据流，对设备的性能要求较高。

其网络结构为：

路由方式：

①设备接口别离设置为不同网段的地址，具有大体路由功能；

②能够进行源地址转换和目标地址转换功能；

③支持软件安全防护BYPASS功能；

④需要防火墙将原来影射到web服务器地址的信息更改成影射到web安全网关的外

部地址。

透明方式：

①设备接口在同一个网段，接入方便，不需要更改网络配置；

②支持软硬件BYPASS功能；

③不支持路由转发和地址转换功能。

单臂方式部署

单臂方式的部署犹如普通服务器一样，只需要接入设备一个接口即可。该接入方式能

够只对http协议的数据流进行分析和防护，对设备性能要求较路由和透明方式低。

单臂方式的网络结构为：

备注：

①需要防火墙将原来映射到web服务器地址的http服务信息更改成映射到web安全

网关的地址；

②支持软件安全BYPASS功能；

③不支持路由和地址转换功能。

3.3.2部署方式分析

按照咱们对XXXXXX网站的研究，以尽可能不改变目前网络和故障恢复便利为设计原则，

最大的提高网络安全性为要求，咱们推荐利用透明方式进行接入。以下具体说明。

透明方式接入就是web安全网关安装后，用户在使历时意识不到该设备的存在，在用户

无所发觉的情形下提高网络的整体安全。

在网络设备出现人为或自然的破坏以后将影响到网络链路的畅通，采用透明式安装方式

能够超级方便的恢复网络链路的畅通性，只需关闭web安全网关即可。虽然暂时失去对web

服务器的保护，但降低了由于网络链路故障致使网站不能正常打开所带来的损失。

所以，按照咱们研究，推荐利用透明方式部署。将WEB安全网关部署于服务器的前端，

不需要更改任何网络层的配置，仅需分派给WEB安全网关一个可路由的IP地址即可。

3.4WEB安全网关实现的功能

天泰Web安全网关率先引入了应用基础设施新概念，在架构中整合了性能、安全性、可

用性，并节省了本钱，而这些正是现代企业在网络中安心地部署关键应用的进程中所必需的。

天泰Web安全网关不但融合了传统网络防火墙和流量管理器系统的所有特点，而且还具有了

新型的Web应用防火墙的功能，因此系统具有先进的应用功能。

3.4.1保护系统安全

天泰Web安全网关具有全面的解决防御系统，可保证系统不受网络蠕虫/病毒和应用专用

漏洞的解决,最大可能地减缓DoS/DDoS解决对应用的影响。安全网关系统的核心是

WebSwitch™引擎,该引擎提供了独特的、高性能的第7层功能组合。通过对应用请求进行检

查，辨别歹意内容并阻止其进入应用服务器。天泰Web安全网关的安全功能包括：

➢网络解决防护——通过在歹意蠕虫和病毒进入应用服务器前进行识别并拒绝，保护

应用服务器不受侵袭。天泰Web安全网关的NetShield™引擎独特的包检测和过滤功

能（包括对加密流量进行检测）可支持管理员制定策略来保护系统不受这些解决。

➢DoS/DDoS解决保护——识别网络层和应用层DoS/DDoS解决，最大可能地地减缓解决

对网络和系统造成的危害。

➢Web应用防火墙——能够完美地保护客户免遭传统安全办法所无法阻挡的应用要挟

的侵害，而且无需单独部署应用安全防护设备。天泰WebShield™Web应用安全引擎

不仅能够帮忙客户阻止会损害系统的应用层解决，还能帮忙企业知足法规要求，如

支付卡行业(PCI)的数据安全标准。

3.4.2增强系统审计

天泰Web安全网关能够收集和统计用户对各个Web应用资源的访问、页面点击率、用

户IP、搜索引擎关键字等信息，从而实现有效的用户行为跟踪和访问统计分析。

天泰Web安全网关提供的丰硕的统计报表不但为系统的安全审计提供了详细的数据，还

降低了应用系统的管理保护难度。

3.4.3提升系统性能

天泰Web安全网关利用多种技术提高应用性能。在应用数据发送到客户端之前，天泰

WebCompress™引擎对Web应用数据进行紧缩，改善了终端用户性能，降低了带宽消耗；天泰

WebCache™引擎实现了对静态和动态生成的HTTP应用内容的速内高速缓存，因此加速了到用

户端的数据传输。另外，天泰Web安全网关还提供多种TCP优化手腕来改善网络和服务器基础

设施的性能。TCP连接复用将上千客户端短连接减少为少量持久的服务器连接。该TCP优化和

其它TCP优化功能可减少服务器负载，改善服务器性能，加速应用响应时刻。天泰安全网关

的TCP优化对客户端和服务器是完全透明的。

通过天泰web安全网关的UTM模块对WEB服务进行事前有效的安全防护，提高访问速

度，实现不中断服务。

四.WEB安全网关产品介绍

上海天泰公司在大量应用新技术的条件下，推出了“新一代”Web安全网关。在占据WEB

安全技术的制高点上，天泰公司走到了Web安全的最前沿。

对于用户普遍关心的Web安全防御中的性能损耗问题，上海天泰Web安全网关通过采用

缓存、紧缩、快照等技术提升了WEB系统性能，在最近教育系统的网上查分系统上，利用天

泰Web安全网关提高访问速度近30倍。

另外，对于Web内容的深度检测也受到用户重视。当前防御来自HTTP的要挟已经成为

安全网关的首要问题之一。网站内容的可变性决定了只有进行常常性的检查才能取得最新的

结果。天泰Web安全网关采取静默扫描加策略动态更新的设计理念，解决了应用层安全设备

对高性能和时效性的依赖和需求。

4.1天泰WEB安全网关产品功能

一、主动防御，提供WEB应用全面防护

天泰WEB安全网关特有的WebUTM引擎，统一防范针对WEB应用的各类要挟。

天泰WEB安全网关设计充分研究国内品级保护相关规定和国际电子支付行业PCI-DSS

条款中对WEB应用安全的要求，知足行业规范评测和部署要求。

天泰WEB安全网关按照操作系统、应用平台、评估渗透工具等特征，形成完备的特征库，

结归并发连接、并发请求、流量限制，阻断解决探测，避免对WEB服务器和应用的歹意信息

获取和特征搜集。

天泰WEB安全网关高效的内容解析引擎对访问数据流进行协议检查，智能屏蔽服务器指

纹探测、阻断扫描，屏蔽服务器敏感信息泄露如服务器报错信息、源代码泄露等。

天泰WEB安全网关被动防御模型，依据HTTP和WEB应用相关协议规范，对WEB应用的

访问请求和应答进行深切和细粒度检查，阻止SQL注入、跨站脚本等常见的解决。天泰WEB

安全网关主动防御模型，智能学习和分析应用业务流程和用户访问流程，按照知识库对正常

行为规范建模，杜绝未知解决及合法用户的非法操作。

天泰WEB安全网关集成SSL加密功能，应用内容在传输进程中受加密保护，使管理员能

保护敏感应用内容的安全，使其摆脱被窃取及被滥用的潜在要挟。通过度担服务器复杂的密

码运算压力从而将应用途置能力发挥到了极致。

天泰WEB安全网关采用静默扫描机制，将扫描特征嵌入到正常的访问数据流，高效的评

估应用系统安全级别。

二、行为审计，呈现WEB应用直观访问

天泰WEB安全网关详尽纪录和有效统计用户对Web应用资源的访问，包括页面点击率、

客户端地址、客户端类型、访问流量、访问时刻、搜索引擎关键字等信息，实现有效的用户

行为跟踪和访问统计分析。生成基于地域区域的访问统计，便于识别WEB应用的访问群体是

不是符合预期，为应用优化提供指导。

天泰WEB安全网关分类纪录探测和解决行为，对解决来源、数据、时刻、处置结果形成

详细的统计及TOP10解决列表。基于统计学原理的统一要挟分析，对解决行为进行建模，

依据要挟的级别自动生成防护策略，指导主动防御的深层配置。

天泰WEB安全网关提供丰硕的审计报表，为系统的安全审计提供详细的数据，为管理提

供称靠得住的决策依据，降低应用系统的管理保护复杂度。天泰WEB安全网关支持

独立的集中管理中心和标准第三方SYSLOG日记服务器，支持集中审计数据挖掘和报表生成。

3、应用加速，优化WEB应用访问体验

天泰WEB安全网关利用多种WEB应用加速技术，有效提高网络带宽的利用率。

天泰WebCompress™引擎对Web应用数据进行实时智能紧缩，改善终端用户性能，降低

带宽消耗。

天泰WebCache™引擎对静态应用内容的高速缓存，显著减少服务器负载。天泰Web安全

网关利用多种应用优化手腕来改善网络和服务器基础设施的性能。

双向TCP连接池和高效复用算法将上千短连接优化为少量持久的服务器连接，减轻服务

器压力，改善服务器性能，提高应用响应速度，降低服务延迟。

天泰专用SSLAccel引擎，分担应用服务器SSL运算压力，使服务器专注于业务处置，

有效提升应用容量和服务能力。

4、应用控制，促使WEB应用稳固靠得住

天泰WEB安全网关是一个功能壮大的WEB应用优化系统，精细的应用控制能力，为WEB

应用保驾护航。

URL级别的流量管理，提供对页面访问的并发连接、速度进行控制，提高应用系统在资

源紧张时的可用性，最大限度的防范WEB服务器因访问量过大而造成的拒绝服务解决。细粒

度的URL权限管理，避免解决者绕过应用程序认证访问敏感资源，实现敏感网页的安全授权

访问。精准的应用DoS识别技术针对不同的访问资源定制相应的访问阀值，保障系统经受

DoS解决的防御能力。

天泰WEB安全网关具有高效的访问过载保护能力。当应用系统访问量突然超过预期极限

值的情形下，WEB安全网关会自动保护已经成立的连接，将后续的连接放入连接队列，保障

服务器不会因访问量过大而拒绝服务，缓冲后续访问者因无法成立连接而不断刷新致使的雪

崩效应。

天泰WEB安全网关对应用服务进行准确的监控，及时发觉WEB应用状态异样。

5、负载均衡，支持WEB应用光滑扩展

天泰WEB安全网关壮大的WEB负载均衡，搭建应用扩展的集群平台。

WebSwitch引擎的第七层内容互换技术，高效分发WEB请求。

WebSwitch引擎实时服务健康检查，迅速反馈应用服务活动状态，选择最优服务器。

WebSwitch引擎支持轮询、最小负载、请求URL及参数等多种均衡策略，知足各类应用

环境下的均衡需求。WebSwitch引擎的应用会话维持技术，为后台应用服务提供良好的兼容

能力。

WebSwitch引擎可为应用服务提供集群、热备等多种工作模式。

6、窜改监控，阻止WEB网页歹意窜改

天泰WEB安全网关动静结合的防窜改机制，能够实时恢复被窜改的网页。

防窜改功能由天泰WEB安全网关防窜改模块和安装于应用服务器的防窜改软件联动，提

供全面的防窜改能力。防窜改模块利用数字签名技术，保护访问WEB服务行为的正确性和内

容的完整性。防窜改软件采用内核级别的检测机制，准确监控文件转变，一旦文件被更改，

基于事件的快速恢复机制，确保窜改文件快速还原，即便入侵者绕过WEB安全网关也不能对

网站文件进行更改。

天泰WEB安全网关特有的网页快照技术成立WEB应用网站镜像，为用户提供给急保障之

需。服务器需要重启、断线、保护等操作时，只需要将服务器断开即可。WEB安全网关的网

页快照模块会自动检测后台服务器，并按照需要即时提供快照页面，以知足客户端的访问。

4.2天泰WEB安全网关参数

在WEB服务器前脸部署WEB安全网关，对WEB服务器提供全方位的安全防护，咱们推荐

上海天泰网络技术有限公司的WEB安全网关WAFT3，其产品描述如下：

类别产品描述

产品类型

2U标准机架式

专用千兆硬件架构平台

4个千兆网络接口

全中文系统

部署模式支持路由、透明、单臂模式部署，适应各种WEB应用和网络环境

WEB防护

防止网络层和应用层的DoS/DDoS攻击，保证应用服务的有效性

保护客户免遭传统安全措施所无法阻挡的应用威胁的侵害，并且无需单独部

署应用安全防护设备。WebShield应用安全引擎可以帮助客户阻止会损害系

统的应用层攻击

具备强大的基于策略的WEB站点防护功能。安全策略包含了需要对一个WEB

站点进行保护的所有信息。内置了大量的专业优化的高效率检测规则，覆盖

了当前主要的WEB攻击

支持WEB虚拟站点和服务，隐藏真实应用信息，对外发布WEB应用，提供应

用的统一入口

WEB防篡改

WEB网页防篡改，为WEB应用提供实时的应急恢复

分布式部署与防护，要求在安全网关和WEB服务器端同时部署能独立运行的

防护系统，建立动静结合的防护体系

WEB加速

支持连接池、TCP优化等技术提高WEB访问速度，结合WEB压缩、缓存技术

改善应用性能，提升服务器容量

支持WebCompress引擎对Web应用数据进行压缩，改善终端用户性能，降低

了带宽消耗

使用WebCache引擎实现对静态和动态生成的HTTP应用内容的高速缓存，加

快到用户端的数据传输

WEB流量控制

安全网关基于规则的流量管理可以在WebURL级别对流量进行控制,优化应

用系统的网络带宽使用

WEB审计

采集和统计用户对各个Web应用资源的访问、页面点击率、用户IP、搜索引

擎关键字等信息，实现有效的用户行为跟踪和访问统计分析

其他功能

网络攻击防护：在攻击、恶意蠕虫和病毒进入应用服务器前进行识别并拒绝，

保护应用服务器不受侵袭。NetShield引擎独特的包检测和过滤功能（包括

对加密流量进行检测）可支持管理员制定策略来保护系统不受这些攻击

连接状态检测：对WEB会话进行应用层状态检测，检查协议、状态、时间等

有效性

虚拟服务：提供多DMZ区域，有效保护不同应用区域安全

ARP攻击防护：能够针对WEB服务器和WEB安全网关网络的ARP攻击进行有

效的防护

SNMP管理：支持SNMP管理服务器，可纳入统一的安全网络管理体系

产品资质

公安部《计算机信息系统安全专用产品销售许可证》

国家保密局《涉密信息系统产品检测证书》

五.网站安全防护建设所需设备

序

号

设备型号描述数量

1Web安全网关

天泰Web安全网关WAF-T3-2000，2U机架式，HTTP

并发连接39000，网络并发连接2500000，标配4个

1000MBase－T口,可扩展，RS232*1串口

1

2扩展模块负载均衡模块，支持WEB应用的高速负载均衡1

3扩展模块静默扫描模块，先进的WEB应用漏洞扫描功能1

4扩展模块SSL加密模块，提供高速SSL连接负载1

六.附件上海天泰网络技术有限公司简介

上海天泰网络技术有限公司（以下简称"天泰"，英文：Titan）成立于中国上海·国家

信息安全（东部）基地，是专业从事网络应用安全产品和安全解决方案的优秀供给商，在应

用安全防护、应用安全管理和应用安全传输方面居于国内领先地位。

一、雄厚的技术实力

天泰依托中科院国家重点实验室、解放军信息工程大学等重点科研单位，拥有国内最

先涉足网络安全领域的产品技术团队，在安全产品研发方面具有丰硕的经验和雄厚的技术实

力。

天泰于2007年在上海成功并购国内专业从事应用安全领域的研发团队，提出TSEC安

全防护体系，在北京、西安、深圳等地组建营销和技术服务平台，全面进军应用安全领域。

天泰的技术骨干队伍承担多项国家级的重大课题，并与国家973、863课题组进行紧密

合作。继国内首家推出WAF-T3系列应用安全防护产品以后，上海天泰受公安部的邀请，参

与Web应用安全防护行业标准的制定。通过连年的尽力，上海天泰已成为国内应用安全领域

的领导厂商。

二、丰硕的安全产品

天泰应用安全产品体系TSEC涵盖策略制定与监督、用户身份识别与授权、传输加密与

远程管理、配置管理和审计分析；包括应用安全防护产品---WAF-T3系列，应用安全管理产

品---NAC-T5系列，终端和内网管理产品TSM-T9系列，应用安全传输产品---VPN-T6系列。

其中部份产品，如应用安全防护产品达到国际先进水平。

天泰推出的WEB安全网关（WAF-T3系列）是一种新型的能够保护WEB系统免遭解决的

安全产品。它通过执行细粒度的安全策略来保证WEB应用系统自身和系统数据免遭各类解

决，得益于WAF所利用的冲破性技术，如：WEB对象混淆技术、WEB电子令牌技术等，这些

安全策略能够超级容易地适应各类WEB应用系统，从而知足所有的安全需要。

天泰WAF-T3系列产品融合先进的Web加速技术、靠得住的应用层过滤技术、先进的数

据加密技术和完善的安全审计技术，使WAF能为用户提供完整的WEB应用安全防护解决方案。

三、完善的服务体系

上海天泰一贯重视服务体系的成立，始终把客户放在第一名，目前已在全国成立了完

善的服务体系－T2S2（TiTanServiceSystem）。安全服务包括：

网络安全前瞻性分析和系统计划

系统和网络安全风险评估

安全加固和优化服务

安全设备管理与病毒防范服务

远程监控和远程管理服务

紧急事件响应

天泰客户服务中心设在上海总部，北京、西安、深圳、南京、郑州、沈阳、武汉等地

有分公司和区域技术支持中心，各主要省市设有技术支持工程师或授权认证工程师，成立起

了覆盖全国的服务和技术支持体系。