［项目背景］
　　针对目前的日益严重的网站的攻击和篡改的问题，国家相关部门也做了相应的条款和制约。等级保护上也有明确对网站保护要求。
　　一方面：政策导向
　　政策导向一：中华人民共和国公安部令-第82号
　　政策原文：开办门户网站、新闻网站、电子商务网站的，能够防范网站攻击、网页被篡改，被篡改后能够自动恢复；
　　政策导向二：国务院办公厅关于进一步加强政府网站管理工作的通知
　　政策原文：网站安全防范工作是否到位，是否采取了防攻击、防篡改、防病毒等安全防护措施，并制订了应急处置预案；；
　　政策导向三：工信部通告
　　CSDN、天涯信息泄露事件愈演愈烈，国家工信部于2011年12月28日发表通告要求，各互联网网站要高度重视用户信息安全工作，把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的网站，要妥善做好善后工作，尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示，提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站，要加强安全监测，必要时提醒用户修改密码。
　　第二方面：网站安全风险导向
　　门户类网站成为黑客主要攻击目标，安全漏洞及配置问题，而引发网页信息被篡改、入侵等安全事件屡见不鲜。
　　1.  门户网站程序设计存在的安全问题，网站程序设计者在编写时，对相关的安全问题没有做适当的处理，存在安全隐患，如SQL注入，上传漏洞，脚本跨站执行等;
　　2.  Web服务器配置不当，系统本身安全策略设置存在缺陷，可导致门户网站被入侵的问题;
　　3.  Web应用服务权限设置导致系统被入侵的问题;
　　4.  使用webshell第三方程序进行网站维护，导致黑客使用后门工具篡改网站；
　　5  .黑客使用洪水攻击网站，导致网站出口流量阻塞，客户无法正常浏览网站；
       ［某房产局信息网网站现状与风险］
　　门户类网站因需要被公众访问而暴露于因特网上，容易成为黑客的攻击目标。其中，黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的，而这类事件对公众产生的负面影响又是非常严重的，即：形象受损、信息传达失准，甚至可能引发信息泄密等安全事件。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击，而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上，它们无法有效阻止网页篡改事件发生。
　　目前某房产局信息网网站边界采用防火墙做为防护设备，部署了3台服务器， 3台pc服务器通过一台2层交换机与防火墙相连。
　　3台服务器全部安装的是Windows 2003 Server操作系统。其中承载的服务主要外网门户网站、办公OA、行政审批、网站群等。某房产局信息网对公网公开的WEB服务器，网站主体用的是.NET架构，少部分板块用的是.asp架构。网络拓扑结构如下所示：
　                                       　
　　根据这个现状不难看出目前对于整个内网和服务器区的防护只部署了一台传统型的防火墙，在应用层安全方面存在极大的风险。随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯部署传统型的防火墙已经无法满足Web应用的安全防护的需求。
　　传统型的防火墙，作为访问控制设备，主要工作在OSI模型三、四层，基于IP报文进行检测。设计之初，它就无需理解Web应用程序语言如HTML及XML，也无需理解HTTP会话。因此，它也不可能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。恶意的攻击流量将封装为HTTP请求，从80或443端口顺利通过防火墙检测。
　　有一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，但局限于最初产品的定位以及对Web应用攻击的研究深度不够，只能提供非常有限的Web应用防护，难以应对当前最大的安全威胁，如SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题，更是无能为力。
       ［网神解决方案］
　　针对某房产局信息网网站目前存在的安全问题，我们建议采用专业的安全方案来解决。采用Web应用防火墙和网页防篡改系统来确保网站不再黑客攻击和篡改的问题。
　　在此我们建议可采用网神综合的、专业的WEB安全防护系统来作为本次安全解决方案的主打产品。网神SecWAF 3600 Web应用防火墙系统通过事前的检测、事中防御、事后审计的手段有效解决DDoS、缓冲区溢出、恶意远程文件执行、目录遍历攻击以及当前最为泛滥的SQL注入、跨站脚本（XSS）攻击的WEB安全问题。同时可以通过对服务器的外部过滤防护、WEB应用服务防护和网页防篡改系统三个维度进行立体的安全防护。具体部署方式如下图所示：
　                                      　
       ［用户收益］
       政府网站建设合规性
　　满足及符合中华人民共和国公安部令-第82号及国务院办公厅关于进一步加强政府网站管理工作的通知相关政府网站建设要求。
        网站过滤防护
　　在本次方案中我们建议在防火墙和交换机之间部署1台网神SecWAF 3600 Web应用防火墙。通过该web应用防火墙能够有效的阻断SQL注入、跨站脚本、应用层DDoS等Web应用攻击，提供有效检测、防护，降低攻击的影响，从而确保业务系统的连续性和可用性。
　                             　
　　SecWAF 工作原理
　　事前，SecWAF提供Web安全评估，检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。事后，针对当前的安全热点问题，网页篡改及网页挂马，提供诊断功能，降低安全风险，维护网站的公信度。
集成先进的Web扫描检测技术
　　网神SecWAF 3600 Web应用防护墙集成了Web扫描器功能，可以在前期对客户网站进行一次整体性的评估，评估我们的网站研发人员在编写代码时，出现了哪些安全疏忽，评估出安全疏忽，才可以针对疏忽进行安全防护。
        http1.1协议支持
　　随着互联网的告诉发展，网站架构随着HTML编写语言的不断改进，网站的内容也变的多样化，丰富的内容已经把我们带入了移动互联网时代，现在大多数的网站已经开始使用前沿的HTML 5编写精美的网站，网站的访问协议也从http1.0版本升级到http1.1协议。http1.1访问协议提高了网页传输速度，提高了浏览网页的客户体验。
        后门程序拦截
　　随着网站更新程序的五花八门，随之爆出安全问题也层出不穷，互联网频繁爆出汉化版SSH管理软件出现信息泄露事件，黑客可以根据SSH的登录信息知道网站的用户名和密码，导致网站后台暴露给黑客，成为网站被修改的后门程序，网神SecWAF 3600 Web应用防火墙提供自有特征库，特征库包括SQL注入、XSS跨站脚本、防扫描、防爬虫、信息泄露、协议完整性等。针对网站后门程序，网神SecWAF 3600 Web应用防火墙提供的信息泄露可以保护后门软件无法拦截网站进行后台修改数据，完全屏蔽后门软件安全问题。
        DDoS防护
　　传统的DOS攻击已经无法影响互联网安全问了，随着而来的是DDoS攻击，DDoS攻击使用三层的SYN包和ACK包进行网站攻击，导致大流量访问网站，网站出口带宽满负荷，正常的客户流量无法进入网站浏览网站内容，导致大量黑客流量访问网站，网站服务器无法处理大量的攻击流量，导致服务器瘫痪，造成网站不必要的损失，网神SecWAF 3600 Web应用防火墙内置DDoS防护模块，针对SYN和ACK包进行阀值控制，当黑客流量攻击网站服务器，网神SecWAF 3600 Web应用防火墙会对流量进行识别，并针对攻击流量进行处理，保护正常的访问流量穿过网神SecWAF 3600 Web应用防火墙浏览网站。
        网页防篡改
　　针对房地产信息对大众的影响力，黑客看重了网站的宣传能力，所以房地产网站频繁遭到黑客篡改，添加其他网站链接，导致网站公信力下降，网神SecWAF 3600 Web应用防火墙内置网页防篡改模块，使用内核保护和触发更新技术对网站进行防篡改，当黑客对网站篡改时，触发更新技术会记录到网站被篡改被还原网站原有形态，保证网站不被黑客篡改，并用内核保护技术，对网站的数据库、网站架构进行权限保护。