天融信网络卫士WEB网站防护系统产品

天融信网站防护系统，是天融信公司网络安全研发团队在深厚技术积累和应用实践经验的基础上，对目前国内外相关计算机数据进行详尽搜集、分析、仔细研究，对同类安全产品进行纵横比较分析，推出的一套针对网站保护的防护系统。

天融信 WEB 网站防护系统主要实现了恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防 SQL 注入、自身抗网络攻击等功能，不但保障了网页不会被篡改，而且还可以保障网站可以被安全、高效的访问。

随着我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的部分。越来越多的机关、企事业等部门为了适应社会的发展，树立自身良好的形象，扩大社会影响，也纷纷建立起自己的网站。网站在提出的网络文化建设工作中将履行极为重要和核心的职能，它既是媒体，也是窗口和基础平台。

然而，由于网站是处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生，甚至有的篡改网站的事件直接升级成政治事件，严重危及和人民利益。总体而言，网站安全形势与其重要性不相匹配，其安全性问题当前非常突出。

天融信 WEB 网站防护系统可以防止、企业网站被恶意篡改，从而有效地保护、企业的形象；维护重大新闻、方针等信息发布渠道的畅通。此外，该网站防护系统能保证财政、金融、税务等领域网站的安全运行，防止犯罪分子利用一些安全漏洞，使用黑客病毒技术、木马间谍程序等新技术进行网络盗窃、网络诈骗等违法犯罪活动，避免给国家和公民个人造成严重经济损失。

完全符合等级保护中的三级安全要求

天融信网站防护系统完全符合国家等级保护标准（GB-17859）和国标《等级保护方案设计规范要求》。符合对内网安全要求中的网站服务器安全加固，执行程序控制和校验机制、执行访问控制机制；符合对安全要求中的防SQL注入、DDOS攻击；符合对权限的安全要求中的配置管理与日志关联分析。

双层保护，立体防御

天融信WEB网站防护系统采用了先进的防护体系架构，超出以往只能通过软件恢复机制达到的网页不被篡改的目的。本系统基于主动防御体系，利用文件过滤驱动技术保护网页和动态脚本不被非法篡改，从源头上杜绝各类非法篡改行为、远程溢出漏洞等各种攻击方式对软件自身的非法卸载。采用双层防护体系进行立体防御，采用硬件来抵抗SQL注入/DDOS等各种攻击行为，采用软件来实现主动防止篡改、主动防止未知病毒、木马等攻击行为。通过软件与硬件相结合的方式，实现边界防护、传输防护到WEB服务器的安全防护。

恶意代码主动防御

WEB网站防护系统通过利用信任链机制，对系统

中所有装载的可执行文件代码（例如EXE、DLL、COM等）

进行控制，所有可执行文件代码在加载运行之前都需要先

经过检验，只有通过验证的代码才可以加载，从而有效地

阻止恶意代码的运行。验证方法为：首先为系统制定可信

白名单，即允许执行代码文件的hash，在进程装载二进

制文件之前首先计算其hash值，并与可信白名单进行比

较，不在白名单中的一概不允许执

行，通过该方式来实现对恶意代码的

主动防御。

采用安全加固技术

WEB网站防护系统对WEB服务

器的安全防护建立在操作系统内核

级，杜绝了旁路和隐通道，增强了安

全性，文件系统采用中间层的先进技

术对关键数据进行安全保护。本系统

特有的与上层应用程序无关的安全设

计除了为文件资源提供强制型存取控

制以及管理以外，还能防止关键

应用程序被篡改并且能为关键应用程

序定制灵活的保护策略。

具有防SQL注入功能

随着B/S模式应用开发的发

展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Inject ion，即SQL注入。

WEB网站防护系统通过高效的URL过滤技术，把SQL注入的关键字过滤掉，从而有效的避免网站服务器受到SQL注入攻击。

功能类别说明

网站防护功能恶意代码主动防御：利用信任链机制，对系统中所有装载的可执行文件代码（例如 EXE 、 DLL 、 SYS 、 COM 等）进行控制，所有可执行文件代码在加载运行之前需要先经过检验，只有通过验证的代码才可以加载，这种方式可以有效阻止恶意代码的运行。

网页的防篡改保护：采用对象相关（ Object — Specific ）保护方式来保护网页不被篡改。即网站管理员可以自行选择需要保护的网页文件设定为受控对象，对于每一个受保护的对象，管理员为其设定一个对象相关授权码。

防 SQL 注入功能：通过高效的 URL 过滤技术，把 SQL 注入的关键字过滤掉，从而有效的避免网站服务器受到 SQL 注入攻击。

防跨站攻击功能：通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的关键字，从而保护用户的 WEB 服务器安全。

抗网络攻击功能：该系统采取多种安全措施，可以防范 Internet 环境中的攻击，如：抗端口扫描、抗 DDOS 攻击等。

U 盘病毒免疫和 U 盘权限控制：可以通过对 U 盘中的可执行文件计算出相应的校验码，被感染病毒的 U 盘的校验码会不同，从而保证不会执行 U 盘中染毒的程序；同时会对 U 盘中的目录和文件进行权限的设置。

管理功能友好的管理界面：采用基于 WEB 的管理界面，用户只需打开浏览器，就可以方便地通过 HTTPS 协议对网站防护系统进行有效管理。

分级用户管理：提供不同权限的用户进行网站防护系统的管理和审计，保证用户管理行为的安全可控。

审计与日志审计功能：对来自外部的攻击、非法进程的启动以及网站服务器网页的修改等行为，网站防护系统都会有详细的审计信息产生，包括安全事件的主体、客体、时间、类型和结果等内容。

日志功能：可以为用户提供完整的入侵日志、防护日志和系统日志等记录。

网络特性BYPASS功能：支持硬件 BYPASS 功能，保障用户使用网络的不间断性。

系统部署时，管理员首先在网站WEB服务器安装网页防篡改软件，目的是防止WEB服务器被病毒、木马等可执行程序攻击，保护WEB服务器的网页不被篡改。

在现有的网络中部署WEB防护网关，基于硬件的WEB防护网关能够实现防止SQL语句注入、抗网络攻击等功能，从而避免WEB网站不被攻击者使用SQL语句注入等方式进行攻击。

产品型号名称描述

TI-3130-WEB TopIDP 3000 2U机型；最大配置为10个接口，包括1个扩展槽位和2个10/100/1000BASE-T接口（可作为HA 和管理口）；支持双电源（缺省为一个）

并发连接数>700000，吞吐率>1G

TI-2104-WEB TopIDP 2000 1U机型；最大配置为4个接口，包括标配4个10/100BASE-TX口

并发连接数>300000，吞吐率>80M

TI-WHOST 授权主机windows保护系统，软件

TI-LHOST 授权主机linux保护系统，软件.支持REDHAT AS4和REDHAT AS5全系列版本，以及SSUSE9和SSUSE10全系列版本

◆ 颁发的《计算机信息系统安全专用产品销售许可证》

◆ 中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》◆ 国家保密局颁发的《涉密信息系统产品检测证书》

◆ 国家测评中心颁发的《军用信息安全产品认证证书》

天融信(C)版权所有V1.0 http://www.topsec.com.cn

文档维护：吴青松

E-MAIL:wuqs@tom.com

声明：非官方文档，仅供参考