圖1:TopWAF部署方案
TopWAF上線時����,天融信實施人員開啟了基本攻擊防護策略����,利用內置的特征規(guī)則,對客戶提交的所有表單��、參數(shù)進行合法性判斷和非法字符過濾�����,有效防止SQL注入�����、跨站腳本�����、目錄遍歷等攻擊。同時���,實施人員有針對性地在TopWAF上配置了網(wǎng)站URL訪問控制策略��,嚴格限制網(wǎng)站目錄及文件資源的訪問權限�����。
部署TopWAF后���,XX銀行在沒有對網(wǎng)銀系統(tǒng)的WEB應用程序做任何修改的情況下,順利地通過了監(jiān)管機構的安全合規(guī)性檢查��。該方案的實施����,也為商業(yè)銀行網(wǎng)銀系統(tǒng)安全建設及合規(guī)提供了很好的樣板示范。
