020-38915841
從安全角度考慮,針對目前泛濫的SQL注入、跨站腳本、應(yīng)用層DDoS等Web應(yīng)用攻擊,提供有效檢測、防護(hù),降低攻擊的影響,最為理想情況,解決根本問題是對Web應(yīng)用代碼進(jìn)行整改,嚴(yán)格遵循安全編碼,確保網(wǎng)站安全。但通常,我們會發(fā)現(xiàn)為此付出的代價(jià)過大,對正常業(yè)務(wù)開展有很大影響。
Web應(yīng)用防護(hù)系統(tǒng)以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與傳統(tǒng)防火墻不同,WAF工作在應(yīng)用層,因此對Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢。基于對Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解,WAF對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗(yàn)證,確保其安全性與合法性,對非法的請求予以實(shí)時(shí)阻斷,從而對各類網(wǎng)站站點(diǎn) 進(jìn)行有效防護(hù)。
一、產(chǎn)品介紹
用戶網(wǎng)站資產(chǎn)為導(dǎo)向,梳理網(wǎng)站資產(chǎn)列表,以滿足Web應(yīng)用的各種防護(hù)需求。基于用戶網(wǎng)站資產(chǎn)為導(dǎo)向的Web防護(hù)是指以網(wǎng)站資產(chǎn)為防護(hù)核心,以保護(hù)網(wǎng)站資產(chǎn)價(jià)值為目標(biāo)的安全防護(hù)策略。這種策略旨在確保網(wǎng)站的安全性和穩(wěn)定性,防止未經(jīng)授權(quán)的訪問、篡改和攻擊。
在透明和路由牽引模式下,可以自動發(fā)現(xiàn)網(wǎng)站資產(chǎn)并識別出HTTP和HTTPS流量,從而發(fā)現(xiàn)網(wǎng)站資產(chǎn)。所有站點(diǎn)發(fā)現(xiàn)無需直接配置每個(gè)網(wǎng)站。這大大減少了部署工作量,并提高了網(wǎng)絡(luò)管理員的效率。
二、產(chǎn)品功能
2.1.多種Web應(yīng)用動態(tài)防護(hù)措施
幻象防護(hù)技術(shù),用戶可根據(jù)網(wǎng)站的自身情況,選擇開啟幻象防護(hù)功能,可實(shí)現(xiàn)對網(wǎng)站頁面的靜態(tài)保護(hù),能夠使訪問者無法看到真實(shí)的網(wǎng)站內(nèi)容,始終對外展示某一時(shí)間點(diǎn)的網(wǎng)站幻象,保護(hù)網(wǎng)站內(nèi)容安全。
行為防護(hù)技術(shù),用戶可根據(jù)網(wǎng)站的自身情況,選擇開啟防目錄遍歷功能,可針對網(wǎng)站的目錄遍歷掃描進(jìn)行安全防護(hù)。防目錄遍歷開啟后可以防止攻擊者在一定時(shí)間內(nèi)惡意遍歷網(wǎng)站目錄的攻擊行為。
數(shù)據(jù)防護(hù)技術(shù),用戶可根據(jù)網(wǎng)站的自身情況,選擇開啟數(shù)據(jù)防護(hù)功能,可針對網(wǎng)站的內(nèi)容數(shù)據(jù)進(jìn)行安全防護(hù)。數(shù)據(jù)防護(hù)開啟后可以防止網(wǎng)站內(nèi)容中敏感信息的數(shù)據(jù)泄露,可針對身份證、手機(jī)號、銀行卡等信息做部分隱藏處理。
2.2.智能防掃描識別掃描行為
Web應(yīng)用防護(hù)系統(tǒng)能夠識別掃描行為和掃描器特征,阻止攻擊者或掃描器對網(wǎng)站進(jìn)行大規(guī)模掃描行為,可以幫助Web業(yè)務(wù)降低被入侵的風(fēng)險(xiǎn)并減少掃描帶來的垃圾流量。將短時(shí)間內(nèi)訪問當(dāng)前防護(hù)對象下大量無效目錄,自動拉入黑名單,在一段時(shí)間內(nèi)對該攻擊源的所有請求執(zhí)行攔截。
2.3.專項(xiàng)API業(yè)務(wù)及登錄防護(hù)
隨著Web應(yīng)用通過廣泛使用應(yīng)用編程接口 (API) 從互連擴(kuò)展到協(xié)作,讓已經(jīng)存在的安全問題變得更加復(fù)雜,API防護(hù)可以保護(hù)應(yīng)用免受通常可逃過傳統(tǒng)防火墻檢測的 API 攻擊。
特殊的業(yè)務(wù)場景,如登錄頁面的安全防護(hù),可以與雙因素身份驗(yàn)證機(jī)制結(jié)合使用,站點(diǎn)后臺管理員可綁定WAF提供的雙因子認(rèn)證,對后臺登錄行為增加安全認(rèn)證,提供額外的身份驗(yàn)證信息,以確保用戶的身份得到更嚴(yán)格的驗(yàn)證。
Web應(yīng)用防護(hù)系統(tǒng)借助可通過速率限制、行為分析和防自動化來保護(hù) XML、JSON的獨(dú)特防御機(jī)制,可自動檢測應(yīng)用程序接口威脅,為API接口提供嚴(yán)格的策略規(guī)則,并阻止各類攻擊和特殊內(nèi)容類型,從而將應(yīng)用威脅拒之門外。
2.4.國產(chǎn)化操作系統(tǒng)及硬件適配
國產(chǎn)化操作系統(tǒng)和硬件適配是當(dāng)前信息技術(shù)領(lǐng)域的熱點(diǎn)話題。國產(chǎn)操作系統(tǒng)和硬件適配的崛起,一方面得益于國家政策的支持,另一方面也是由于國內(nèi)信息技術(shù)的不斷發(fā)展和進(jìn)步。在操作系統(tǒng)方面,WAF可以適配麒麟軟件和統(tǒng)信UOS的國產(chǎn)操作系統(tǒng)。在硬件適配方面,WAF可以適配國產(chǎn)X86和ARM架構(gòu)硬件,WAF全面適配國產(chǎn)操作系統(tǒng)和硬件適配的發(fā)展,符合國家信息安全戰(zhàn)略的需求。
2.5.手動編排自定義Web規(guī)則
針對有能力的高級用戶,還提供了自定義和編寫規(guī)則內(nèi)容的功能。用戶可以手動編寫自己的防護(hù)規(guī)則,支持字符串快速匹配與正則匹配。
2.6.全面兼容IPv4/IPv6環(huán)境
Web應(yīng)用防護(hù)系統(tǒng)能夠全面兼容并支持IPv6協(xié)議,可輕松融入IPv6的網(wǎng)絡(luò),或者IPv4/IPv6混合網(wǎng)絡(luò)。能夠同時(shí)支持IPv4/IPv6環(huán)境下的攻擊檢測和訪問策略,確保IPv6時(shí)代的網(wǎng)絡(luò)通暢,為IPv6環(huán)境提供了完善的安全防護(hù)。
2.7.HTTP/HTTPS協(xié)議防護(hù)
SSL安全加密:提供SSL加密功能,Web服務(wù)器只需要開啟80端口,然后在WAF系統(tǒng)的代理中添加SSL證書,并指定Web服務(wù)器的80端口。用戶只要訪問WAF系統(tǒng)的443端口,就可以達(dá)到對原有HTTP數(shù)據(jù)流的加密,同時(shí)可以過濾在HTTPS會話中的攻擊行為,為Web服務(wù)器與數(shù)據(jù)庫服務(wù)器提供安全保障。
2.8.安全加固錯(cuò)誤信息過濾
很多情況下,服務(wù)器的報(bào)錯(cuò)信息會暴露網(wǎng)站的絕對或相對路徑、網(wǎng)站部分源碼、SQL語句信息等,自動對返回的錯(cuò)誤信息進(jìn)行過濾,禁止外界可以看到服務(wù)器報(bào)錯(cuò)信息,有效對數(shù)據(jù)庫內(nèi)部信息進(jìn)行防護(hù)。
2.9.拒絕服務(wù)CC安全防護(hù)
提供CC安全防護(hù)是為了防御CC攻擊,CC攻擊主要是用來消耗服務(wù)器資源的,攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對方服務(wù)器造成服務(wù)器資源耗盡,一直到宕機(jī)崩潰。Web應(yīng)用防護(hù)系統(tǒng)可以設(shè)置CC防護(hù)規(guī)則,攔截針對網(wǎng)站頁面請求的CC攻擊,并返回?cái)r截提示頁面,避免惡意入侵長時(shí)間占用消耗服務(wù)器的核心資源,造成服務(wù)器性能異常問題。確保網(wǎng)絡(luò)數(shù)據(jù)中心穩(wěn)定運(yùn)行,解決因惡意請求導(dǎo)致網(wǎng)站業(yè)務(wù)響應(yīng)緩慢或無法正常提供服務(wù)。
2.10.靈活的應(yīng)用負(fù)載均衡
負(fù)載均衡:自動將請求分發(fā)到不同的Web服務(wù)器
支持動態(tài)網(wǎng)站:保持同一會話連接在同一服務(wù)器
自動熱備:一臺或幾臺服務(wù)器宕機(jī),自動將請求分配到其他服務(wù)器
合理分配流量:根據(jù)服務(wù)器的性能,將請求分配到不同服務(wù)器
2.11.多種部署模式融合
Web應(yīng)用防護(hù)系統(tǒng)能應(yīng)用于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中,可以分別保護(hù)單臺或者多臺Web服務(wù)器。可以采用網(wǎng)橋模式,旁路反向代理模式,路由牽引模式,混合部署模式。可以方便、靈活的應(yīng)對客戶網(wǎng)絡(luò)環(huán)境的變化。
透明網(wǎng)橋模式
旁路反向代理模式
路由牽引模式
混合部署模式
2.12.避免單點(diǎn)故障措施
Web應(yīng)用防護(hù)系統(tǒng)在透明網(wǎng)橋和反向代理模式下,由于要轉(zhuǎn)發(fā)流量可能存在單點(diǎn)故障問題,為了避免單點(diǎn)故障不影響業(yè)務(wù),可采用以下幾種措施。
透明網(wǎng)橋模式
單機(jī)WAF(物理),通過自身或外置Bypass設(shè)備,在突然斷電或者重啟時(shí)能夠自動直連。
雙機(jī)WAF(物理),通過HA高可用功能,配置高可用HA主主模式或者主備模式,當(dāng)時(shí)一臺設(shè)備出現(xiàn)故障時(shí),自動進(jìn)行雙機(jī)切換。
反向代理模式
LB負(fù)載均衡+多機(jī)WAF(虛機(jī)/物理), 通過前端負(fù)載均衡進(jìn)行負(fù)載算法分配到后端多機(jī)WAF,多機(jī)WAF進(jìn)行配置自動同步,在負(fù)載均衡的調(diào)度下可實(shí)現(xiàn)自動切換,保證業(yè)務(wù)的連續(xù)性。
雙機(jī)WAF(虛機(jī)/物理),通過HA高可用功能,配置HA主備模式,通過VRRP虛擬路由器冗余協(xié)議進(jìn)行雙機(jī)WAF主備切換,自動進(jìn)行雙機(jī)切換。
路由牽引模式(策略路由)
單機(jī)WAF(物理),通過三層交換設(shè)備配合策略路由實(shí)現(xiàn)路由牽引,WAF工作在路由轉(zhuǎn)發(fā)模式,當(dāng)設(shè)備出現(xiàn)故障時(shí),需手動進(jìn)行路由切換。
雙機(jī)WAF(物理),通過三層交換設(shè)備配合策略路由實(shí)現(xiàn)路由牽引,WAF工作在路由轉(zhuǎn)發(fā)模式,雙機(jī)WAF進(jìn)行HA配置自動同步,當(dāng)一臺WAF設(shè)備出現(xiàn)故障時(shí),需手動修改路由切換至另一臺WAF設(shè)備。
2.13. 分布式集群管理
具備分布式集群管理,可提供多節(jié)點(diǎn)WAF的集群管理,實(shí)現(xiàn)多節(jié)點(diǎn)WAF的配置同步,統(tǒng)一升級管理,能夠?qū)尤爰旱墓?jié)點(diǎn)設(shè)備進(jìn)行統(tǒng)一管理,在管理節(jié)點(diǎn)上傳升級包進(jìn)行固件或規(guī)則升級操作,提供集群內(nèi)所有設(shè)備升級管理。
三、部署模式
1.旁路反向代理部署
旁路反向代理模式,將設(shè)備置于內(nèi)網(wǎng)的交換機(jī)下,訪問Web服務(wù)器的所有請求都通過設(shè)備代理流入流出。這種模式下,Web服務(wù)器無法獲取訪問者的真實(shí)IP地址,需要借助HTTP報(bào)文中設(shè)置相應(yīng)的字段來表示訪問者IP地址。反代部署的最大特點(diǎn)是快速、簡單、隱藏真實(shí)服務(wù)器,可按需配置。
2.串聯(lián)透明網(wǎng)橋部署
透明網(wǎng)橋模式指在兩臺運(yùn)行的網(wǎng)絡(luò)設(shè)備中間插入設(shè)備,但是對流量并不產(chǎn)生影響。在透明網(wǎng)橋模式下,可以阻斷、攔截來自Web應(yīng)用層攻擊,而讓其他正常的流量通過。透明網(wǎng)橋部署模式的最大特點(diǎn)是快速、簡便,先部署后配置。
3.策略路由牽引部署
通過配置策略路由,在路由器或交換機(jī)上配置策略路由,將需要保護(hù)的Web應(yīng)用流量引導(dǎo)到WAF上。可以根據(jù)源IP地址、目的IP地址、協(xié)議等條件來定義策略路由。策略路由部署,可以更好地保護(hù)Web應(yīng)用免受各種網(wǎng)絡(luò)攻擊,同時(shí)不影響正常的業(yè)務(wù)運(yùn)營。
手機(jī):18925140249 公司地址:廣東省廣州市天河區(qū) 電 話:020-38915841 企業(yè)郵箱:business@yshsec.com |
|
020-38915841  |
聯(lián)系我們
在線留言
客服電話