WEB應(yīng)用防火墻訪問(wèn)控制設(shè)備

用來(lái)控制對(duì)Web應(yīng)用的訪問(wèn)，既包括主動(dòng)安全模式也包括被動(dòng)安全模式。

用來(lái)截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會(huì)話。

利用國(guó)際上公認(rèn)的一種說(shuō)法:

總體來(lái)說(shuō)，Web應(yīng)用防火墻的具有以下四大個(gè)方面的功能(參考WAF入門(mén)，對(duì)內(nèi)容做了一些刪減及改編)。

當(dāng)運(yùn)行在反向代理模式，他們被用來(lái)分配職能，集中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。

這些功能增強(qiáng)被保護(hù)Web應(yīng)用的安全性，它不僅能夠屏蔽WEB應(yīng)用固有弱點(diǎn)，而且能夠保護(hù)WEB應(yīng)用編程錯(cuò)誤導(dǎo)致的安全隱患。

需要指出的是，并非每種被稱為Web應(yīng)用防火墻的設(shè)備都同時(shí)具有以上四種功能。

1、事前主動(dòng)防御，智能分析應(yīng)用缺陷、屏蔽惡意請(qǐng)求、防范網(wǎng)頁(yè)篡改、阻斷應(yīng)用攻擊，全方位保護(hù)WEB應(yīng)用。

2、事中智能響應(yīng)，快速P2DR建模、模糊歸納和定位攻擊，阻止風(fēng)險(xiǎn)擴(kuò)散，消除"安全事故"于萌芽之中。

3、事后行為審計(jì)，深度挖掘訪問(wèn)行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價(jià)值，為評(píng)估安全狀況提供詳盡報(bào)表。

4、面向客戶的應(yīng)用加速，提升系統(tǒng)性能，改善WEB訪問(wèn)體驗(yàn)。

5、面向過(guò)程的應(yīng)用控制，細(xì)化訪問(wèn)行為，強(qiáng)化應(yīng)用服務(wù)能力。

6、面向服務(wù)的負(fù)載均衡，擴(kuò)展服務(wù)能力，適應(yīng)業(yè)務(wù)規(guī)模的快速壯大。

Web應(yīng)用防火墻的一些常見(jiàn)特點(diǎn)如下。

Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過(guò)，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過(guò)于松散或未被完全制定的選項(xiàng)。

增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁(yè)篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

修補(bǔ)Web安全漏洞，是Web應(yīng)用開(kāi)發(fā)者最頭痛的問(wèn)題，沒(méi)人會(huì)知道下一秒有什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來(lái)什么樣的危害?，F(xiàn)在WAF可以為我們做這項(xiàng)工作了--只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒(méi)有安裝對(duì)應(yīng)的補(bǔ)丁本身就是一種安全威脅，但我們?cè)跊](méi)有選擇的情況下，任何保護(hù)措施都比沒(méi)有保護(hù)措施更好。

(附注:及時(shí)補(bǔ)丁的原理可以更好的適用于基于XML的應(yīng)用中，因?yàn)檫@些應(yīng)用的通信協(xié)議都具規(guī)范性。)

基于規(guī)則的保護(hù)和基于異常的保護(hù)

基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫(kù)，并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對(duì)用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實(shí)中這是十分困難的一件事情。

WAF能夠判斷用戶是否是第一次訪問(wèn)并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件。通過(guò)檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件(比如登陸失敗)，并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。

WAF還有一些安全增強(qiáng)的功能，可以用來(lái)解決WEB程序員過(guò)分信任輸入數(shù)據(jù)帶來(lái)的問(wèn)題。比如:隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。

從Web應(yīng)用防火墻功能對(duì)比表格中，我們可以看出，目前Web應(yīng)用防火墻的功能性還不統(tǒng)一，幾個(gè)廠商Web應(yīng)用防火墻的主要功能項(xiàng)還有較大出入。另外，功能描述也不相同，有些同種的功能各個(gè)廠商廠商的描述各不相同。為了對(duì)廠商真實(shí)體現(xiàn)廠商產(chǎn)品功能，這一部分資料按各廠商介紹在表格中予以重現(xiàn)。還有一些廠商存在明顯的技術(shù)資料發(fā)布不全現(xiàn)象，這方面以思杰(Citrix)最具代表性。如果不是其網(wǎng)站產(chǎn)品介紹中存在"利用集成式應(yīng)用防火墻增強(qiáng)了安全性"這一句話，和其英文網(wǎng)站上的相關(guān)介紹，我們幾乎認(rèn)定其Citrix NetScaler產(chǎn)品僅是一款Web應(yīng)用加速產(chǎn)品!所幸的是，在本次活動(dòng)截止前一天，思杰市場(chǎng)人員將Citrix NetScaler中文資料發(fā)給了我們，才使得思杰Citrix NetScaler產(chǎn)品功能對(duì)比的項(xiàng)目不至于留白!

但是在產(chǎn)品功能項(xiàng)目差異大，內(nèi)容不統(tǒng)一的情況下，用戶應(yīng)該如何對(duì)產(chǎn)品進(jìn)行選擇呢?下面我們就綜合分析一下，在選擇Web應(yīng)用防火墻產(chǎn)品時(shí)，哪幾方面的信息是用戶最需要了解的。

通過(guò)廠商的產(chǎn)品宣傳，可以了解廠商產(chǎn)品的市場(chǎng)定位，以及廠商對(duì)用戶應(yīng)用需求的了解情況。從中可以初步分析廠商產(chǎn)品是否可以滿足用戶的實(shí)際應(yīng)用需求。

在產(chǎn)品功能介紹中，可以粗略了解產(chǎn)品的各項(xiàng)功能，在經(jīng)過(guò)對(duì)比后可以了解廠商產(chǎn)品的功能是否齊備，可否滿足用戶應(yīng)用的需求。

這是用戶容易忽略，某些廠商刻意忽略的重要信息。對(duì)于網(wǎng)絡(luò)產(chǎn)品來(lái)講，市場(chǎng)定位容易描述，產(chǎn)品功能也可以相互借鑒，但具體的功能測(cè)試是很難仿造的。評(píng)測(cè)報(bào)告中的每個(gè)指標(biāo)、每個(gè)數(shù)據(jù)都是廠商研發(fā)技術(shù)實(shí)力的最直觀體現(xiàn)，只有對(duì)產(chǎn)品技術(shù)具備最深入理解的廠商才可以在用戶面前交出一份令用戶滿意的評(píng)測(cè)報(bào)告!

天融信WEB應(yīng)用安全網(wǎng)關(guān)系統(tǒng)是公司W(wǎng)EB安全專家團(tuán)針對(duì)"網(wǎng)站型"服務(wù)器量身定制的產(chǎn)業(yè)化產(chǎn)品，匯聚了天融信公司長(zhǎng)期對(duì)網(wǎng)站系統(tǒng)進(jìn)行安全研究的成果。主要從網(wǎng)站系統(tǒng)可用性和信息可靠性的角度出發(fā)，滿足用戶對(duì)于WEB應(yīng)用防護(hù)及加速、網(wǎng)頁(yè)防篡改、網(wǎng)站業(yè)務(wù)分析等功能的核心需求。提供事前預(yù)警、事中防護(hù)、事后分析的全周期安全防護(hù)解決方案。

龍盾IIS防火墻

"龍盾IIS防火墻"是一款經(jīng)典的網(wǎng)站安全防護(hù)產(chǎn)品， 經(jīng)過(guò)十余年的技術(shù)沉淀， "龍盾IIS防火墻"對(duì)于各種流行的網(wǎng)站入侵，均具有顯著的防御效果。 "龍盾IIS防火墻"采用高效、安全的技術(shù)為網(wǎng)站提供了如下保護(hù):

防木馬上傳 "龍盾IIS防火墻" 能及時(shí)準(zhǔn)確的識(shí)別asp、php、aspx以及aspa等類(lèi)型的木馬和后門(mén)文件，從根本上杜絕了黑客利用網(wǎng)站漏洞，上傳木馬和后門(mén)程序;

支持對(duì)上傳文件內(nèi)容的過(guò)濾;

支持對(duì)加密、加殼木馬文件的識(shí)別。

FTP目錄監(jiān)控 "龍盾IIS防火墻" 實(shí)時(shí)監(jiān)控通過(guò)FTP上傳到服務(wù)器上的文件，實(shí)時(shí)查殺上傳到WEB服務(wù)器上的木馬和后門(mén)程序，實(shí)時(shí)查殺時(shí)間為毫秒。

支持對(duì)木馬文件內(nèi)容關(guān)鍵字的設(shè)置;

支持對(duì)加密、加殼木馬文件的識(shí)別，即使是被加密的的木馬文件，也可立即清除。

防掛馬 "龍盾IIS防火墻" 獨(dú)創(chuàng)LRCT專利技術(shù)，從根本上阻止了由于網(wǎng)站或系統(tǒng)漏洞導(dǎo)致的網(wǎng)頁(yè)或數(shù)據(jù)庫(kù)掛馬，有效防御XSS跨站腳本攻擊。

支持掛馬攔截，從根本上阻止黑客對(duì)網(wǎng)站和數(shù)據(jù)庫(kù)掛馬;

支持掛馬內(nèi)容自動(dòng)清除，即使服務(wù)器已經(jīng)掛馬，"龍盾IIS防火墻"也會(huì)自動(dòng)清除。

專業(yè)防SQL注入 十年來(lái)，"龍盾IIS防火墻" 致力于跟蹤SQL注入技術(shù)的最新動(dòng)態(tài)，防SQL注入策略不斷更新，規(guī)則不斷完善;

支持對(duì)GET、POST、COOKIE所有數(shù)據(jù)提交方式的過(guò)濾;

過(guò)濾規(guī)則分離原則:不同方法(GET、POST、COOKIE)提交的數(shù)據(jù)，過(guò)濾的規(guī)則相互獨(dú)立，最大限度的加強(qiáng)了對(duì)SQL注入的防御，同時(shí)，也從根本上杜絕了對(duì)正常訪問(wèn)的誤攔;

支持"模式匹配"，"龍盾IIS防火墻"具有人工智能特性，一條防SQL注入規(guī)則，即可以阻止一類(lèi)的SQL注入。

系統(tǒng)帳戶保護(hù) "龍盾IIS防火墻"可阻止黑客創(chuàng)建Windows系統(tǒng)帳戶。

可阻止黑客通過(guò)各種方式創(chuàng)建Windows系統(tǒng)管理員帳戶。

遠(yuǎn)程桌面保護(hù) "龍盾IIS防火墻"可阻止非法IP地址訪問(wèn)3389 遠(yuǎn)程桌面。

可設(shè)置IP地址白名單，只有白名單內(nèi)的IP地址才可以連接服務(wù)器的遠(yuǎn)程桌面，非IP白名單內(nèi)的IP地址連接遠(yuǎn)程桌面時(shí)將被阻止。

信息監(jiān)控 "龍盾IIS防火墻"實(shí)時(shí)監(jiān)控流入、流出網(wǎng)站的信息，實(shí)時(shí)屏蔽和過(guò)濾敏感信息;

用戶提交的敏感信息被立即阻止;

即使網(wǎng)站上已經(jīng)存在敏感信息，龍盾IIS防火墻也可進(jìn)行過(guò)濾，確保訪問(wèn)者看到的內(nèi)容均合法，從而不必?fù)?dān)心服務(wù)器被查封;

支持"模式匹配"。

資源防盜鏈 "龍盾IIS防火墻"可有效保護(hù)網(wǎng)站資源不被其它網(wǎng)站盜鏈。

支持友好域名設(shè)置;

支持自由下載文件夾設(shè)置;

支持防迅雷下載功能。

在線播放防下載 對(duì)于只希望在線播放的音頻、視頻網(wǎng)站，"龍盾IIS防火墻"可有效防止網(wǎng)站的音頻或視頻文件被非法下載。

支持對(duì)AVI, MPG, RMVB, FLV, MP3, WMA等各類(lèi)在線音頻和視頻的保護(hù);

支持對(duì)嗅探瀏覽器的防御。

下載流量控制 "龍盾IIS防火墻"可任意設(shè)置文件下載的線程個(gè)數(shù)和下載速度，從而保障您的帶寬不被非法吞噬，有效控制下載流量 ，降低服務(wù)器資源的消耗。

適用于各種下載工具，不論是網(wǎng)際快車(chē)還是迅雷，均可限制其下載速度和下載線程個(gè)數(shù);

不同網(wǎng)站可設(shè)置不同的下載速度和下載線程數(shù)。

抗CC攻擊 "龍盾IIS防火墻"可有效抵御CC、DDOS軟件的攻擊，有效抵御流量攻擊，防止非法用戶高頻率刷新數(shù)據(jù)庫(kù)。

支持"最大并發(fā)連接數(shù)控制"功能;

支持對(duì)變種CC的有效防御;

支持文件類(lèi)型的設(shè)置。

代理服務(wù)器訪問(wèn)控制 "龍盾IIS防火墻"可阻止代理服務(wù)器的訪問(wèn)，有效抵御僵尸攻擊，流量攻擊。

防PHP UDP攻擊 "龍盾IIS防火墻"從根本上清除UDP發(fā)包程序，迅速解決帶寬被占滿的問(wèn)題。

即使加密的UDP發(fā)包木馬程序，也可立即清除;

即使服務(wù)器已經(jīng)存在UDP發(fā)包程序，也可阻止其發(fā)送大量UDP包。

IP地址黑名單 一方面, "龍盾IIS防火墻"的智能分析系統(tǒng)，會(huì)將參與惡意攻擊的IP地址自動(dòng)加入黑名單, 另一方面, 用戶也可以手工任意阻止非法IP地址的訪問(wèn)。

支持IP地址段設(shè)置;

支持自定義黑名單IP地址解封時(shí)間。

IP地址白名單 "龍盾IIS防火墻"可指定不受防火墻限制的客戶端IP地址。

支持IP地址段設(shè)置;

滿足使用"網(wǎng)絡(luò)加速器"用戶的需要;

保證不會(huì)對(duì)"搜索引擎蜘蛛"的爬行記錄造成影響。

廣告植入 您可以通過(guò)"龍盾IIS防火墻"向頁(yè)面內(nèi)植入廣告信息。

支持廣告與域名分離，不同的網(wǎng)站和域名可以設(shè)置不同的廣告內(nèi)容。

抗緩沖區(qū)溢出攻擊 "龍盾IIS防火墻"允許您自定義HTTP頭、URL地址 、COOKIE以及查詢串長(zhǎng)度， 防止緩沖區(qū)溢出攻擊。

支持對(duì)WebDAV，RPC服務(wù)遠(yuǎn)程溢出漏洞的防御;

支持對(duì)IDQ溢出漏洞的防御。

禁止運(yùn)行惡意腳本 禁止ASP、PHP、JSP木馬程序服務(wù)器上運(yùn)行。

URL訪問(wèn)權(quán)限控制 "龍盾IIS防火墻"可根據(jù)不同訪問(wèn)者的IP地址，設(shè)置不同的URL訪問(wèn)權(quán)限。

自由域名 可設(shè)置不受防火墻保護(hù)的域名，自由域名列表內(nèi)的站點(diǎn)完全不受防火墻的保護(hù)，滿足特殊情況下的需要。

KS-WAF知道網(wǎng)站統(tǒng)一防護(hù)系統(tǒng)是知道創(chuàng)宇旗下的一款WEB應(yīng)用防火墻。WAF被設(shè)計(jì)用于處理所有常見(jiàn)的Web應(yīng)用安全威脅，即保護(hù)以HTTP/HTTPS相關(guān)應(yīng)用協(xié)議為基礎(chǔ)，運(yùn)行在OSI第七層(應(yīng)用層)的Web應(yīng)用在線業(yè)務(wù)。WAF真正實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)應(yīng)用的保護(hù)，是傳統(tǒng)安全技術(shù)的有效補(bǔ)充。傳統(tǒng)安全設(shè)備阻擋攻擊者從正面入侵，著重進(jìn)行網(wǎng)絡(luò)層的攻擊防護(hù);而WAF著重進(jìn)行應(yīng)用層的內(nèi)容檢查和安全防御，與傳統(tǒng)安全設(shè)備共同構(gòu)成全面、有效的安全防護(hù)體系。

KS-WAF被設(shè)計(jì)用于幫助管理員抵御黑客攻擊和進(jìn)行網(wǎng)站用戶的行為審計(jì)。防御方面主要進(jìn)行深度的黑客攻擊防護(hù)，在保障安全的前提下，KS-WAF還可以識(shí)別這些黑客攻擊的手法和源頭。而對(duì)網(wǎng)站用戶的行為審計(jì)功能，則表示KS-WAF能告訴網(wǎng)站管理員，用戶一般在什么時(shí)間段訪問(wèn)、用戶最關(guān)心哪些頁(yè)面或內(nèi)容、網(wǎng)站一天的訪問(wèn)量有多少、這些訪問(wèn)都來(lái)自哪些地方。通過(guò)這幾方面功能的結(jié)合，網(wǎng)站管理員不僅可以對(duì)黑客攻擊高枕無(wú)憂，同時(shí)還可以更好地了解用戶行為和喜好，可謂一舉多得。

防護(hù)理念:

安全防護(hù)管控體系:提供區(qū)分攻擊行為類(lèi)別的多種防御引擎、對(duì)攻擊行為進(jìn)行針對(duì)性的事件處理策略配置、定義具體攻擊行為的匹配規(guī)則定制，對(duì)已知和未知的Web攻擊進(jìn)行全面防護(hù)，將攻擊行為的細(xì)節(jié)直觀、詳盡地展示給用戶，達(dá)到防護(hù)、管控Web應(yīng)用業(yè)務(wù)安全的目的。

方便有效網(wǎng)管運(yùn)維:在安全防護(hù)能力給Web應(yīng)用的安全性帶來(lái)保障的同時(shí)，也為Web應(yīng)用復(fù)雜的網(wǎng)絡(luò)管理、日常運(yùn)維帶來(lái)快捷和便利，能夠?qū)崟r(shí)了解網(wǎng)站可用性狀態(tài)、安全性狀態(tài)、客戶端訪問(wèn)流量、客戶類(lèi)型和地域分析、服務(wù)器承載壓力;能夠?qū)W(wǎng)站提供負(fù)載均衡加速、緩存頁(yè)面加速、數(shù)據(jù)壓縮加速，使Web應(yīng)用完全發(fā)揮其最大性能。

滿足行業(yè)/國(guó)家標(biāo)準(zhǔn)、通過(guò)安全審計(jì):隨著安全問(wèn)題的不斷浮現(xiàn)和社會(huì)影響的深化，Web應(yīng)用的安全性越來(lái)越受到人們的重視和關(guān)注，由此促進(jìn)了部分行業(yè)的安全標(biāo)準(zhǔn)制定，如PCI-DSS標(biāo)準(zhǔn)要求;國(guó)家公安部、國(guó)務(wù)院下發(fā)的指示。

WAF可協(xié)助Web應(yīng)用程序滿足相關(guān)的安全性要求，確保在線業(yè)務(wù)安全、合規(guī)地運(yùn)作，幫助客戶通過(guò)安全審計(jì)。

產(chǎn)品功能:

①防攻擊:功能主要關(guān)注黑客攻擊Web應(yīng)用并試圖入侵網(wǎng)絡(luò)服務(wù)器的攻擊事件過(guò)程?？梢愿采wOWASP TOP 10、WASC、PCI DSS等標(biāo)準(zhǔn)，包括SQL注入攻擊、XSS跨站攻擊、CSRF跨站請(qǐng)求偽造攻擊等。

②防漏洞:KS-WAF可對(duì)網(wǎng)站中的敏感信息、服務(wù)器信息進(jìn)行屏蔽或偽裝，達(dá)到避免數(shù)據(jù)泄露的隱患。成功的攻擊往往需要利用服務(wù)器的IP、操作系統(tǒng)信息、應(yīng)用信息、服務(wù)器出錯(cuò)信息、數(shù)據(jù)庫(kù)出錯(cuò)信息，KS-WAF接管所有返回給客戶端的信息，并可中止會(huì)話，避免黑客利用敏感信息及服務(wù)器信息發(fā)動(dòng)社會(huì)工程學(xué)攻擊、各類(lèi)黑客入侵攻擊。

③防暗鏈:隨著監(jiān)管部門(mén)的打擊力度逐漸加強(qiáng)，掛馬攻擊的數(shù)量越來(lái)越少，與此同時(shí)，地下黑色產(chǎn)業(yè)鏈逐漸轉(zhuǎn)向了暗鏈攻擊。為了應(yīng)對(duì)這個(gè)情況，KS-WAF系統(tǒng)內(nèi)置了針對(duì)當(dāng)前流行的暗鏈攻擊建立的惡意指紋庫(kù)，在服務(wù)器端已被植入暗鏈的情況下可準(zhǔn)確識(shí)別并進(jìn)行報(bào)警，協(xié)助管理員清除暗鏈代碼。

④防盜鏈:KS-WAF通過(guò)實(shí)現(xiàn)URL級(jí)別的訪問(wèn)控制，對(duì)客戶端請(qǐng)求進(jìn)行檢測(cè)，如果發(fā)現(xiàn)圖片、文件等資源信息的HTTP請(qǐng)求來(lái)自于其它網(wǎng)站，則阻止盜鏈請(qǐng)求，節(jié)省因盜用資源鏈接而消耗的帶寬和性能。

⑤防爬蟲(chóng):KS-WAF將爬蟲(chóng)行為分為搜索引擎爬蟲(chóng)及掃描程序爬蟲(chóng)，可屏蔽特定的搜索引擎爬蟲(chóng)節(jié)省帶寬和性能，也可屏蔽掃描程序爬蟲(chóng)，避免網(wǎng)站被惡意抓取頁(yè)面。

⑥防掛馬:通過(guò)檢查HTML頁(yè)面中特征、用戶提交數(shù)據(jù)，查看是否出現(xiàn)IFrame、Javascript引用掛馬源URL及其他掛馬特征以決定是否攔截請(qǐng)求。

⑦抗DDos:支持TCP Flood和HTTP Flood類(lèi)型的拒絕服務(wù)攻擊，通過(guò)簡(jiǎn)單有效的方式緩解拒絕服務(wù)攻擊。

⑧防護(hù)中級(jí)階段能力的功能:

識(shí)別黑客工具:利用網(wǎng)上隨處可見(jiàn)的攻擊軟件，攻擊者不需要對(duì)網(wǎng)絡(luò)協(xié)議有深厚的理解，即可完成更換Web網(wǎng)站主頁(yè)、盜取管理員密碼、破壞整個(gè)網(wǎng)站數(shù)據(jù)等攻擊。

識(shí)別Web掃描器:Web漏洞掃描器已經(jīng)成為了攻擊者的必備工具之一，黑客通過(guò)掃描器強(qiáng)大的自動(dòng)檢測(cè)能力，發(fā)現(xiàn)網(wǎng)站漏洞點(diǎn)、信息泄露等各種敏感信息，為進(jìn)一步的深入攻擊做充分準(zhǔn)備。

⑨攻擊源定位:KS-WAF通過(guò)記錄攻擊者的源IP，進(jìn)行分析和定位后，通過(guò)在線地圖進(jìn)行定位展現(xiàn)，幫助運(yùn)維人員分析攻擊來(lái)源。

2產(chǎn)品介紹銥迅WEB應(yīng)用防火墻(簡(jiǎn)稱:WAF)是銥迅信息結(jié)合多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上自主研發(fā)完成，滿足各類(lèi)法律法規(guī)如PCI、等級(jí)保護(hù)、企業(yè)內(nèi)部控制規(guī)范等要求，以國(guó)內(nèi)首創(chuàng)的全透明直連部署模式，全面支持HTTPS，在提供WEB應(yīng)用實(shí)時(shí)深度防御的同時(shí)實(shí)現(xiàn)WEB應(yīng)用加速、敏感信息泄露防護(hù)及網(wǎng)頁(yè)防篡改，為Web應(yīng)用提供全方位的防護(hù)解決方案。該產(chǎn)品致力于解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問(wèn)題，廣泛適用于"金融、運(yùn)營(yíng)商、政府、公安、教育、能源、稅務(wù)、工商、社保、衛(wèi)生、電子商務(wù)"等所有涉及WEB應(yīng)用的各個(gè)行業(yè)。部署銥迅的WAF產(chǎn)品，可以幫助用戶解決目前所面臨的各類(lèi)網(wǎng)站安全問(wèn)題，如:注入攻擊、跨站腳本攻擊(釣魚(yú)攻擊)、惡意編碼(網(wǎng)頁(yè)木馬)、緩沖區(qū)溢出、信息泄露、應(yīng)用層DOS/DDOS攻擊等等。產(chǎn)品功能深度防御銥迅WEB應(yīng)用防火墻基于銥迅專利級(jí)WEB入侵異常檢測(cè)技術(shù)，對(duì)WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識(shí)別、阻止日益盛行的WEB應(yīng)用黑客攻擊(如SQL注入、釣魚(yú)攻擊、表單繞過(guò)、緩沖區(qū)溢出、CGI掃描、目錄遍歷等):黑客攻擊防護(hù)| SQL注入攻擊(包括URL、POST、Cookie等方式的注入)| SQL注入攻擊(包括URL、POST、Cookie等方式的注入)| XSS攻擊| Web常規(guī)攻擊(包括遠(yuǎn)程包含、數(shù)據(jù)截?cái)唷⑦h(yuǎn)程數(shù)據(jù)寫(xiě)入等)| 命令執(zhí)行(執(zhí)行Windows、Linux、Unix關(guān)鍵系統(tǒng)命令)| 危險(xiǎn)存儲(chǔ)過(guò)程執(zhí)行|緩沖區(qū)溢出攻擊|惡意代碼| "零日"攻擊---oday違反策略防護(hù)| 非法HTTP協(xié)議| URL-ACL匹配BOT防護(hù)| 攻擊性爬蟲(chóng)(蜘蛛)行為| Web漏洞掃描器行為如Acunetix Web Vulnerability Scanner掃描。|黑客工具行為，如pangolin。應(yīng)用層洪水攻擊| UDP Flood| ICMP Flood網(wǎng)頁(yè)防篡改本設(shè)備的網(wǎng)頁(yè)防篡改功能，對(duì)網(wǎng)站數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)對(duì)網(wǎng)頁(yè)進(jìn)行任何形式的非法添加、修改、刪除等操作時(shí)，立即進(jìn)行保護(hù)，恢復(fù)數(shù)據(jù)并進(jìn)行告警，同時(shí)記錄防篡改日志。支持的操作系統(tǒng):| Windows 2000、Windows 2003、windows 7、windows 2008 32bit/64bit| Linux(CentOS、Debian、Ubuntu)| Solaris、AIX、IRIX、HP、Sun ONE、iPanet| FreeBSD、MacOS| WebSphere| Tomcat、Resin| WebLogic| Apache| JRUN2| Borand AppServer數(shù)據(jù)庫(kù)防篡改本設(shè)備的數(shù)據(jù)庫(kù)防篡改功能，對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)對(duì)數(shù)據(jù)庫(kù)進(jìn)行任何形式的非法添加、修改、刪除等操作時(shí)，立即進(jìn)行保護(hù)，恢復(fù)數(shù)據(jù)并進(jìn)行告警，同時(shí)記錄防篡改日志。支持的數(shù)據(jù)庫(kù)系統(tǒng)| SQL Server 2000| SQL Server 2005| My SqlHTTP SSL安全加密、攻擊過(guò)濾HTTP SSL安全加密:提供硬件的SSL加密功能，Web服務(wù)器只需要開(kāi)啟80端口，然后在本設(shè)備的代理中添加SSL證書(shū)，并指定Web服務(wù)器的80端口。用戶只要訪問(wèn)本設(shè)備的443端口，就可以達(dá)到對(duì)HTTP數(shù)據(jù)流的加密。攻擊過(guò)濾，可以過(guò)濾在HTTPS會(huì)話中的攻擊行為，為Web服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器提供安全保障。防CC攻擊| 來(lái)源IP防CC| Referer防CC| 特定URL防CC| 設(shè)定阻止訪問(wèn)的時(shí)間產(chǎn)品特點(diǎn)專利級(jí)WEB入侵異常檢測(cè)引擎銥迅獨(dú)有WEB入侵異常檢測(cè)引擎，能夠有效分析和識(shí)別各類(lèi)已知和變形的應(yīng)用攻擊，為防御的準(zhǔn)確性和高效性提供了基礎(chǔ)。支持全透明直連部署銥迅獨(dú)有WEB入侵異常檢測(cè)引擎，能夠有效分析和識(shí)別各類(lèi)已知和變形的應(yīng)用攻擊，為防御的準(zhǔn)確性和高效性提供了基礎(chǔ)。HTTPS支持全面支持HTTPS/SSL加密協(xié)議,實(shí)現(xiàn)對(duì)高安全要求WEB應(yīng)用系統(tǒng)的檢測(cè)和防護(hù)，提供了針對(duì)性的安全檢測(cè)及深度防御的解決方案。支持多保護(hù)對(duì)象支持多臺(tái)主機(jī)對(duì)象的保護(hù)，包括不同域名不同IP，不同域名相同IP的情況。支持用戶自定義規(guī)則庫(kù)用戶可以根據(jù)數(shù)據(jù)包的特征關(guān)鍵字等自定義安全策略規(guī)則，來(lái)實(shí)現(xiàn)安全檢測(cè)及過(guò)濾。統(tǒng)一日志平臺(tái)接口支持監(jiān)控、阻斷、軟硬件物理直通等多種應(yīng)用模式。支持多種部署模式支持直連透明部署、旁路牽引防護(hù)部署、HA等部署模式。部署方式"銥迅Web應(yīng)用防護(hù)系統(tǒng)"(下文稱:"Yxlink WAF")支持多種靈活的部署方式，如透明網(wǎng)線模式、旁路反向代理模式、路由模式、混合部署模式、虛擬化部署模式。其中，"銥迅Web應(yīng)用防護(hù)系統(tǒng)"的透明網(wǎng)線模式尤為出色，管理員在不需要修改原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，"銥迅Web應(yīng)用防護(hù)系統(tǒng)"相當(dāng)于一根網(wǎng)線串入網(wǎng)絡(luò)中，對(duì)Web攻擊進(jìn)行防御。而混合部署模式更是對(duì)較為復(fù)雜的網(wǎng)絡(luò)應(yīng)用環(huán)境提供了更加人性化的均衡部署能力"銥迅Web應(yīng)用防火墻"的透明網(wǎng)橋模式，與其他同類(lèi)產(chǎn)品相比，有著先天的優(yōu)勢(shì):透明網(wǎng)線模式采用"銥迅Web應(yīng)用防護(hù)系統(tǒng)"透明網(wǎng)線模式部署模式主要應(yīng)用于如下五種場(chǎng)景:1 單一混合型服務(wù)器(Web應(yīng)用、DB在同一臺(tái)服務(wù)器上)2 單一分離式服務(wù)器(Web應(yīng)用、DB采用不同的服務(wù)器部署，但Web服務(wù)器只有一臺(tái))3 集群式Web服務(wù)器(多臺(tái)集群型Web服務(wù)器)4 半分散式Web服務(wù)(Web服務(wù)器分布在局域網(wǎng)的部分子網(wǎng)中)5 全分散式Web服務(wù)(Web服務(wù)器幾乎分布在局域網(wǎng)的任何子網(wǎng)中)混合部署模式機(jī)模式混合部署模式是透明網(wǎng)線模式和旁路反向代理模式混合的部署方式，這種方式具有部署簡(jiǎn)便，配置較為容易等特點(diǎn)，特別適用于具有中心機(jī)房，但同時(shí)在不同的地點(diǎn)分散著個(gè)別Web服務(wù)器的情況，設(shè)備部署位置一般同"集群式/集中式Web服務(wù)"，是半分散和全分散服務(wù)部署模式的替代部署模式，為管理員提供了更加人性化的管理方式。具體部署如圖:旁路反向代理模式旁路反向代理模式，可以將銥迅Web應(yīng)用防護(hù)系統(tǒng)與Web服務(wù)器置于內(nèi)網(wǎng)的交換機(jī)下，訪問(wèn)Web服務(wù)器的所有請(qǐng)求都通過(guò)"Yxlink WAF"流入流出。然而，這種模式下，Web服務(wù)器無(wú)法獲取訪問(wèn)者的真實(shí)IP地址，需要借助HTTP報(bào)文中設(shè)置相應(yīng)的字段來(lái)表示訪問(wèn)者IP地址，這樣需要修改原有的HTTP報(bào)文。同時(shí)這種模式下將無(wú)法開(kāi)啟Bypass功能，因此除非在迫不得已的情況下，請(qǐng)謹(jǐn)慎使用旁路反向代理模式部署，推薦使用透明網(wǎng)線的部署方式。但為了同一些老式Web應(yīng)用防護(hù)系統(tǒng)相兼容，可采用旁路方向代理模式進(jìn)行部署，具體部署圖如下:路由模式通過(guò)配置策略路由，只將HTTP流量發(fā)送到"Yxlink WAF"。混合加密部署模式混合加密部署模式:混合部署模式的增強(qiáng)形式，支持HTTP/HTTPS。這種部署方式的特點(diǎn)與混合部署模式基本相同。它的工作原理是將原來(lái)由Web服務(wù)器完成的SSL加密、解密工作，現(xiàn)在交給"Yxlink WAF"來(lái)完成，即"Yxlink WAF"執(zhí)行SSL加密、解密工作，因此需要將原來(lái)Web服務(wù)器上的SSL證書(shū)導(dǎo)入到"Yxlink WAF"中，同時(shí)將Web服務(wù)器上的HTTP服務(wù)端口開(kāi)啟，比如80端口。具體部署如圖:單IP虛擬化部署模式為了網(wǎng)站安全考慮，需要在一臺(tái)真實(shí)主機(jī)內(nèi)安裝多臺(tái)虛擬機(jī)，每個(gè)虛擬機(jī)里面會(huì)有1臺(tái)Web服務(wù)器。但是一般情況下，很難給每個(gè)虛擬機(jī)提供一個(gè)公網(wǎng)IP地址。"銥迅Web應(yīng)用防護(hù)系統(tǒng)"可以在監(jiān)聽(tīng)80端口請(qǐng)求時(shí)，根據(jù)不同的主機(jī)頭名，將請(qǐng)求分配到不同的虛擬機(jī)的80端口上，從而解決了單公網(wǎng)IP對(duì)應(yīng)多個(gè)虛擬機(jī)的問(wèn)題。產(chǎn)品技術(shù)具有自主知識(shí)產(chǎn)權(quán)的"千萬(wàn)級(jí)攻擊檢測(cè)引擎"具有自主知識(shí)產(chǎn)權(quán)的"攻擊混淆解碼引擎"具有自主知識(shí)產(chǎn)權(quán)的"電信級(jí)高并發(fā)數(shù)、新建連接數(shù)處理技術(shù)"

InforCube Web 應(yīng)用防火墻采用多層檢查和多重安全防護(hù)來(lái)提供最高級(jí)別的保護(hù)。

HTTP 協(xié)議驗(yàn)證可以防止包括緩沖區(qū)溢出、惡意編碼、HTTP 偽裝以及非法服務(wù)器操作在內(nèi)的協(xié)議濫用。靈活的規(guī)則使用戶可以嚴(yán)格遵守RFC 標(biāo)準(zhǔn)，同時(shí)支持各種靈活多變的應(yīng)用程序。

InforCube Web 應(yīng)用防火墻檢查服務(wù)器回應(yīng)信息以識(shí)別潛在的敏感數(shù)據(jù)(如持卡人數(shù)據(jù)和社會(huì)保險(xiǎn)號(hào))泄漏。除了報(bào)告在應(yīng)用程序中何處發(fā)現(xiàn)了敏感數(shù)據(jù)外，還可以選擇讓InforCube Web 應(yīng)用防火墻阻止這些信息從企業(yè)站點(diǎn)泄露。

nforCube Web 應(yīng)用防火墻對(duì)針對(duì)Web 服務(wù)器漏洞、中間件漏洞和平臺(tái)漏洞的已知攻擊提供廣泛的保護(hù)，這些已知攻擊的信息來(lái)源是InforCube安全中心提供的超過(guò)6,500 個(gè)特征碼。ADC 特征碼不僅包括Bugtraq、CVE 和Snort 等來(lái)源發(fā)現(xiàn)的攻擊，而且包括通過(guò)InforCube研究發(fā)現(xiàn)的威脅。InforCube Web 應(yīng)用防火墻還可通過(guò)檢測(cè)和識(shí)別Web 蠕蟲(chóng)獨(dú)特的特性組合來(lái)抵御剛出現(xiàn)的新Web 蠕蟲(chóng)攻擊。

InforCube Web 應(yīng)用防火墻的集成狀態(tài)防火墻對(duì)來(lái)自外部和內(nèi)部的非法用戶、協(xié)議和網(wǎng)絡(luò)的攻擊提供保護(hù)，同時(shí)遵循強(qiáng)制性安全規(guī)定的最佳做法，阻止非必要協(xié)議觸及敏感Web 應(yīng)用。

InforCube Web 應(yīng)用防火墻獨(dú)有的關(guān)聯(lián)攻擊確認(rèn)技術(shù)持續(xù)關(guān)聯(lián)跨安全層的違規(guī)行為，從而準(zhǔn)確識(shí)別最復(fù)雜的攻擊。個(gè)別違規(guī)可能無(wú)法確切地指明攻擊，但是，通過(guò)關(guān)聯(lián)獨(dú)特的違規(guī)組合就可以毫無(wú)疑問(wèn)地確認(rèn)攻擊。

InforCube Web 應(yīng)用防火墻通過(guò)學(xué)習(xí)動(dòng)態(tài)Web 2.0 和Web 服務(wù)的行為來(lái)保護(hù)這些應(yīng)用。學(xué)習(xí)的內(nèi)容包括XML 文件、要素、屬性、架構(gòu)、變量和SOAP 操作。InforCube Web 應(yīng)用防火墻將會(huì)識(shí)別并阻止任何嘗試篡改正常Web 服務(wù)的行為。它還會(huì)抵御Web 2.0 應(yīng)用中常見(jiàn)的威脅，包括SQL 注入、XSS、CSRF 和許多其他威脅。

Web應(yīng)用防火墻的一些常見(jiàn)特點(diǎn)如下。

1、異常檢測(cè)協(xié)議

Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過(guò)，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過(guò)于松散或未被完全制定的選項(xiàng)。

2、增強(qiáng)的輸入驗(yàn)證

增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁(yè)篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

3、及時(shí)補(bǔ)丁

修補(bǔ)Web安全漏洞，是Web應(yīng)用開(kāi)發(fā)者最頭痛的問(wèn)題，沒(méi)人會(huì)知道下一秒有什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來(lái)什么樣的危害?，F(xiàn)在WAF可以為我們做這項(xiàng)工作了--只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒(méi)有安裝對(duì)應(yīng)的補(bǔ)丁本身就是一種安全威脅，但我們?cè)跊](méi)有選擇的情況下，任何保護(hù)措施都比沒(méi)有保護(hù)措施更好。

(附注:及時(shí)補(bǔ)丁的原理可以更好的適用于基于XML的應(yīng)用中，因?yàn)檫@些應(yīng)用的通信協(xié)議都具規(guī)范性。)

4、基于規(guī)則的保護(hù)和基于異常的保護(hù)

基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫(kù)，并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對(duì)用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實(shí)中這是十分困難的一件事情。

5、狀態(tài)管理

WAF能夠判斷用戶是否是第一次訪問(wèn)并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件。通過(guò)檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件(比如登陸失敗)，并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。

6、其他防護(hù)技術(shù)

WAF還有一些安全增強(qiáng)的功能，可以用來(lái)解決WEB程序員過(guò)分信任輸入數(shù)據(jù)帶來(lái)的問(wèn)題。比如:隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。

從Web應(yīng)用防火墻功能對(duì)比表格中，我們可以看出，目前Web應(yīng)用防火墻的功能性還不統(tǒng)一，幾個(gè)廠商Web應(yīng)用防火墻的主要功能項(xiàng)還有較大出入。另外，功能描述也不相同，有些同種的功能各個(gè)廠商廠商的描述各不相同。為了對(duì)廠商真實(shí)體現(xiàn)廠商產(chǎn)品功能，這一部分資料按各廠商介紹在表格中予以重現(xiàn)。還有一些廠商存在明顯的技術(shù)資料發(fā)布不全現(xiàn)象，這方面以思杰(Citrix)最具代表性。如果不是其網(wǎng)站產(chǎn)品介紹中存在"利用集成式應(yīng)用防火墻增強(qiáng)了安全性"這一句話，和其英文網(wǎng)站上的相關(guān)介紹，我們幾乎認(rèn)定其Citrix NetScaler產(chǎn)品僅是一款Web應(yīng)用加速產(chǎn)品!所幸的是，在本次活動(dòng)截止前一天，思杰市場(chǎng)人員將Citrix NetScaler中文資料發(fā)給了我們，才使得思杰Citrix NetScaler產(chǎn)品功能對(duì)比的項(xiàng)目不至于留白!

但是在產(chǎn)品功能項(xiàng)目差異大，內(nèi)容不統(tǒng)一的情況下，用戶應(yīng)該如何對(duì)產(chǎn)品進(jìn)行選擇呢?下面我們就綜合分析一下，在選擇Web應(yīng)用防火墻產(chǎn)品時(shí)，哪幾方面的信息是用戶最需要了解的。

1、產(chǎn)品宣傳

通過(guò)廠商的產(chǎn)品宣傳，可以了解廠商產(chǎn)品的市場(chǎng)定位，以及廠商對(duì)用戶應(yīng)用需求的了解情況。從中可以初步分析廠商產(chǎn)品是否可以滿足用戶的實(shí)際應(yīng)用需求。

2、產(chǎn)品功能介紹

在產(chǎn)品功能介紹中，可以粗略了解產(chǎn)品的各項(xiàng)功能，在經(jīng)過(guò)對(duì)比后可以了解廠商產(chǎn)品的功能是否齊備，可否滿足用戶應(yīng)用的需求。

3、產(chǎn)品評(píng)測(cè)報(bào)告

這是用戶容易忽略，某些廠商刻意忽略的重要信息。對(duì)于網(wǎng)絡(luò)產(chǎn)品來(lái)講，市場(chǎng)定位容易描述，產(chǎn)品功能也可以相互借鑒，但具體的功能測(cè)試是很難仿造的。評(píng)測(cè)報(bào)告中的每個(gè)指標(biāo)、每個(gè)數(shù)據(jù)都是廠商研發(fā)技術(shù)實(shí)力的最直觀體現(xiàn)，只有對(duì)產(chǎn)品技術(shù)具備最深入理解的廠商才可以在用戶面前交出一份令用戶滿意的評(píng)測(cè)報(bào)告!

4、售后服務(wù)

把售后服務(wù)放到產(chǎn)品銷(xiāo)售前面，就在于它的重要性。一般的網(wǎng)絡(luò)產(chǎn)品往往會(huì)使用戶忽略售后服務(wù)的重要，質(zhì)量過(guò)硬的網(wǎng)絡(luò)產(chǎn)品有可能插電一次性設(shè)置后幾年都不需要變動(dòng)。但是Web應(yīng)用防火墻這類(lèi)網(wǎng)絡(luò)安全產(chǎn)品就全然不同了，層出不窮的網(wǎng)絡(luò)威脅會(huì)時(shí)刻對(duì)其發(fā)出挑戰(zhàn)。沒(méi)有完善研發(fā)售后服務(wù)能力的廠商將無(wú)力面對(duì)這些威脅，這樣用戶的網(wǎng)絡(luò)安全也就失去了相應(yīng)的保障。

5、產(chǎn)品銷(xiāo)售

產(chǎn)品的銷(xiāo)售廠商在哪里，從那里可以得到什么樣的服務(wù)，技術(shù)支持能力如何……這些同樣也需要用戶在選擇產(chǎn)品時(shí)事先進(jìn)行了解。