安恒信息明御WEB应用防火墙产品白皮书
安恒信息明御WEB应用防火墙
产品白皮书
1.概述
Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。Web网站也容易成为黑客或恶意程序的攻击目标,造成数据损失,网站篡改或其他安全威胁。
根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)的工作报告显示:
1.目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。
2.对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,以达到泄愤和炫耀的目的,也不排除放置恶意代码的可能,导致政府类网站存在安全隐患。对中小企业,尤其是以网络为核心业务的企业,采用注入攻击、跨站攻击以及应用层拒绝服务攻击(Denial Of Service)等,影响业务的正常开展。
1.1. 常见攻击手法
目前已知的应用层和网络层攻击方法很多,这些攻击被分为若干类。下表列出了这些最常见的攻击技术,其中最后一列描述了安恒WAF如何对该攻击进行防护。
表1.1:对不同攻击的防御方法
2.现有的防御技术
目前,很多企业采用网络安全防御技术对Web应用进行防护,如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施,然而这些方法难以有效的阻止Web攻击,且对于HTTPS 类的攻击手段,更是显得束手无策。
2.1. 传统网络防火墙
第一代网络防火墙可以控制对网络的访问,管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙无法阻止Web攻击,不论这些攻击来自防火墙内部的还是外部,因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对web应用的访问,防火墙会开放Web应用的80端口,这意味着Internet上的任意IP都能直接访问Web应用,因此web 及其应用服务器事实上是无安全检测和防范的。
状态检测防火墙是防火墙技术的重大进步,这种防火墙在网络层的ACLs基础上增加了状态检测方式,它监视每一个连接状态,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而,状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据包中,它仍然能通过防火墙到达应用服务器;同样,如果某个攻击进行了加密或编码该防火墙也不能检测。
2.2. 入侵检测系统(IDS)
入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。其工作模式是被动的,它不能阻止攻击,也不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击,此外,可以通过加密,TCP碎片攻击以及其他方式绕过入侵检测系统的防御。
3.Web安全需求
企业对Web应用的安全防护主要包括如下需求:部署简便,管理集中,操作简洁,性能影响甚微。包括:
对现有网络拓扑结构尽量无影响;
方便管理,无需进行复杂的配置;
对现有WEB服务器的访问速率不能造成太大的影响;
对正常业务访问不能进行错误的拦截阻断。
3.1. Web应用防火墙
Web应用防火墙的两个关键功能是,深入理解HTTP/HTTPS协议,可监测往返流量,能对web流量进行安全控制。Web数据中心是经常变化的,包括新的应用程序、新的软件模块,不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境,应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求.
4.安恒WAF的特点
安恒WAF提供高效的Web应用安全边界检查功能。安恒WAF整合了Web安全深度防御及站点隐藏等功能,能全方位的保护用户的Web数据中心。通过对对所有Web流量(包括客户端请求流量和服务器返回的数据流量)进行深度检测,提供了实时有效的入侵防护功能。安恒WAF充分考虑用户已有环境的差异性,对环境兼容性、应用多样性进行了深入的分析和总结。
4.1. 领先的透明代理模式
WEB应用防火墙技术经过不断的发展已经日益成熟,安恒WAF采用业界领先的代理技术实现WEB应用深度分析和防御。基于代理的防火墙技术在防护深度及细粒度方面有着包过滤防火墙无法比拟的优势,但是如果代理模式处理不当也会对网络及应用系统产生影响,最为明显的影响是对网络数据包文头的改变,导致服务器识别到的源地址是代理设备IP地址,无法识别真话的访问者。而且还会对HTTP应用数据流头部的影响,如增加X-Forwarded 相关的字段或影响已有的代理环境,影响WEB业务的正常使用,以及致使WEB服务器访问日志失效。
安恒WAF凭着对网络及应用的深入解理,以及多年的研发经验,研发的WAF产品继承了代理防火墙技术深度防御的特性,同时也吸纳了网络防火墙对网络及应用透明的优点。安恒是国内首家发布全透明代理的模式的WEB应用防火墙厂家,安恒WAF的部署不会对网络及应用产生任何的影响,甚至安恒WAF的工作口不需要配置任何的IP即可正常工作。
4.2. 独创的镜像监控模式
WEB应用系统随着应用需求不同而千变万化,对应用的防护和安全识别提出了高的要求,因此应用环境中对WEB应用防火墙的接入需要经过深入的分析和调研才能实现。针对一些
大型的业务系统,特别是对业务连续性有较高要求的行为如电信运营、金融证券、社会保障等需要不中断对外服务的应用系统对部署WAF产品是一个极大的挑战。
如果实现部署WAF前期的准备或者让WAF工作在监测模式下而不影响正常的业务是大型应用系统的一个钢性需求。安恒WAF产品独创的镜像监控模式彻底解决这个难题,安恒WAF产品支持端口镜像和串接镜像两种方式实现对数据包的分布,对安全的监测,端口镜像模式下仅需将监测流量镜像至WAF即可,而不会影响网络和应用系统;串接镜像时将WAF串接入需要监测的环境,此时WAF会自动复制一份数据包进行监测,也不会影响原有的网络及应用。
4.3. 双向SSL的支持
WEB应用防火墙技术可以完美的防护HTTP应用系统,然而针对于HTTPS的应用系统则是当前WEB应用防火墙技术的难点。基于HTTPS的应用系统,在网络环境常规的设备无法识别传输的应用数据,更无法识别来自应用层的攻击。要对HTTPS应用进行应用防护,必须要求WAF能良好的支持HTTPS协议并能对SSL数据流进行中继。由于SSL需要大量的数据运算对设备性能要求高,以及需要对用户端和服务器端双向的SSL支持这些技术难点,导致很多WEB应用防火墙无法实现对HTTPS的支持。
安恒WAF支持双向的SSL环境,能对原有的HTTPS应用系统良好的适应,无勿需改变原有环境,对HTTPS应用系统仍可透明部署和全面防御。安恒通过对HTTPS的支持从而实现了对HTTP、HTTPS的全面防护,解决了WEB防火墙无法防御HTTPS应用的短板。
5. 安恒WAF的功能
安恒WAF提供下列功能:
?深度防护
?Web站点隐藏
?策略设置向导
?安全策略
?检测和阻断模式
?硬件旁路模式
?HTTPS/SSL的完全支持
?网页防篡改
?日志和报表
?高可操作性
5.1. 深度防护
安恒WAF通过对Web流量进行深度检测对Web应用进行深度防护,提供了全面的入侵防御能力。
安恒WAF能在攻击到达Web服务器之前进行阻断,防止恶意的请求或内置非法程序的请求访问目标应用。安恒WAF能解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止。Web应用防火墙还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。
安恒WAF能阻止一系列的攻击,无论是已知的或未知的。能够阻止那些最常见的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。
5.2. Web站点隐藏
成功的Web攻击往往由探测网络漏洞开始,在网络上很容易找到漏洞扫描工具对一个网站的应用程序、服务器、URL等进行扫描。安恒WAF提供站点隐藏功能,黑客将无法查看web的源信息,安恒WAF URL返回码,HTTP头信息以及终端服务器的IP。
安恒WAF能完全的中止所有的会话,因此用户无法直接连接到Web服务器上,无法直接访问服务器、操作系统或补丁程序。访问出错信息也将由安恒WAF提供,后端服务器的出错信息不会直接返回给用户。这样,避免了服务器敏感信息泄露,也同时让一些高明的黑客就无法通过出错信息发动攻击。
5.3. 网页篡改监测
安恒WAF实时监测网站服务器的相关是否给非法更改,一旦发现被改则第一时间通知管理员,并形成详细的日志信息。与此同时,WAF系统将对外显示之前的正确页面,防止被篡改的内容被访问到。
WAF通过内置自学习功能获取WEB站点的页面信息,对整个站点进行爬行,爬行后根据设置的文件类型(如html、css、xml、jpeg、png、gif、pdf、word、flash、excel、zip等类型)进行缓存,并生成唯一的数字水印,然后进入保护模式提供防篡改保护,当客户端请求页面与WAF自学习保护的页面进行比较,如检测到网页被篡改,第一时间对管理员进行实时告警,对外仍显示篡改前的正常页面,用户可正常访问网站。事后可对原始文件及篡改后的文件进行本地下载比较,查看篡改记录。也可设置仅检测模式,只对篡改进行告警,不提供防护功能。
5.4. WEB应用加速
安恒WAF为了提高被保护系统的访问速度同时消除WAF过滤分析过程中带来的延时,定制提供了应用加速功能,通过高速缓存和相关算法镜像及管理相关的静态内容,一旦有用户访问,客户端直接通过WAF缓存中获取,避免了用户重复通过Web服务器并进行协议解析等相关操作,从而加快了访问速度,减轻了WEB服务器的负担。
5.5. 安全策略
安恒WAF提供默认的安全策略对Web网站或应用进行严格的保护。除了默认的策略外,用户还可以创建客户化的策略。每个策略下分为若干子策略:
?HTTP协议合规性
?SQL注入阻断
?跨站点脚本攻击防护
?表单/cookie篡改防护
?DoS攻击防护
请求包大小限制
限制HTTP请求Head大小避免恶意代码通过,超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。
HTTP/HTTPS请求方法限制
限制HTTP/HTTPS各种方法的访问,包括:GET,POST,DELETE,,HEAD,CONNECT,TRACE,PUT。
HTTP/HTTPS请求方法限制
支持黑白名单的配置,可以设定可信的访问客户端IP(白名单)而不受安全策略规则的检测;设定非法的访问客户端(黑名单),直接禁止其任何对WEB服务器的访问。
用户自定义规则库
支持用户自定义规则库,用户可以根据业务需求,针对某些关键字,数据段长度等相关信息,自定义安全过滤规则。
5.6. 人性化运维管理
安恒WAF提供了丰富的人性化运维管理数据,包括WAF自身的硬件运行状况,相关工作口的实时流量情况,各个硬件部件历史占用情况,各个工作口的历史流量情况,系统提供了图形化的直观的统计分析界面,让维护管理员快速掌握整体的情况。
5.7. 检测和阻断模式
架设web应用防火墙可能意外的现象,应用某个不当的规则可能影响当前应用的正常使用,因此不少管理员都在犹豫要不要使用最高安全等级的过滤策略。保守监控功能可以帮助用户解决这个担忧,利用这个功能用户可以在不影响使用的前提下进行策略配置。
安恒WAF支持检测和阻断模式功能,在检测模式下,所有安全策略规则都只是对应用流量数据包进行检测,并告警,而不做任何阻断功能;在阻断模式下,所有的安全策略规则同时可以提供用户对单条规则的配置:阻断(默认)或者仅检测。因此,管理员可以根据监控情况,实时进行调整。
5.8. 硬件旁路模式
硬件旁路:当设备出现故障或者关机时,WAF设备可以切换到硬件旁路模式,对既有的网络连接状况不会造成中断影响。
5.9. HTTPS/SSL的完全支持
安全套接字层(SSL)能提供一个加密的(公钥私钥配对)可靠的连接。许多商业网站采用SSL传输以保障数据安全,不过SSL的加密通常费时费力。
安恒WAF支持对HTTPS访问的完全监控和阻断能力,支持Openssl类加密的证书格式。支持用户上传WEB服务器的证书,在访问WEB服务器之前进行第一轮认证,并对访问应用流量进行彻底检查,防止各类攻击访问。
5.10. 日志和报表
安恒WAF记录了重要事件的日志信息,日志信息非常全面涵盖了一次访问的主要信息参数,支持多种搜索方式,这些日志信息可以帮助用户搜索并分析可以流量,进而优化安全策略。
安恒WAF的报表功能十分强大,在日志的基础上可以生成各种报表,还提供报表模板,大大方便了管理员的数据分析,增强了系统的易用性。
5.11. 高可操作性
安恒WAF采用图形(GUI)管理和配置界面,直观且支持多任务,跟用户平时的使用习惯一致,可用性高。
杭州安恒信息技术有限公司简介
杭州安恒信息技术有限公司(DBAPPSecurity),简称“安恒信息”,注册资金1800万,公司核心成员来自美国硅谷、德国、加拿大及业内著名安全厂商、电信运营商、大型上市公司,总部在杭州高新区,在北京,上海,广东,四川,美国硅谷等设有分支机构。安恒信息核心团队拥有多年互联网应用安全攻防、WEB应用和数据库安全防御和审计的深厚技术背景与丰富安全实践经验,以全球领先具有完全自主知识产权的专利技术,致力于为客户提供WEB 应用安全和数据库安全的深度风险评估、安全加固、安全审计、不良网站监测等全面解决方案。安恒信息拥有明鉴、明御两大系列的自主研发产品,其中明鉴TM系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用。如需了解公司的详细信息,请访问:https://www.360docs.net/doc/c72718087.html,/
迪普防火墙专业技术白皮书
迪普防火墙技术白皮书
————————————————————————————————作者:————————————————————————————————日期:
迪普FW1000系列防火墙 技术白皮书 1 概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
?基于网络协议的防火墙不能阻止各种攻 击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为攻 击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止 火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任 网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部 网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供 安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和 数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组 织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时, 可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种 基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不 但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的 攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网 络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。
Web应用防火墙价格
Web应用程序可能会包含危险的安全缺陷,使其很容易遭受攻击,被恶意探测各种安全漏洞。Web应用防火墙的出现则解决了应用及业务逻辑层面的安全问题。不同厂家Web应用防火墙给出的价格不同,当然作用效果也有所不同。下面给大家介绍一下Web 应用防火墙价格相关信息。 铱迅Web应用防护系统(也称:铱迅网站应用级入侵防御系统,英文:Yxlink Web Application Firewall,简称:Yxlink WAF)是铱迅信息结合多年在应用安全理论与应急响应实践经验积累的基础上,自主研发的一款应用级防护系统。在提供Web应用实时深度防御的同时,实现Web应用加速与防止敏感信息泄露的功能,为Web应用提供的防护解决方案。 产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及Web 应用的各个行业。部署铱迅Web应用防护系统,可以帮助用户解决目前所面临的各类网站安全问题,如:注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、应用层CC 攻击、DDoS攻击等常见及新的安全问题。 高性能攻击特征检测引擎 铱迅自主知识产权的快速攻击特征检测引擎(英文:Yxlink Fast Attack Detect Engine,简称:Yxlink FADE),支持千万级别的并发连接、四十万级别的每秒新建HTTP 连接,轻松应对电信级的Web应用处理“攻击混淆解码引擎”针对Web攻击的各种编码、特征变换进行迅速、准确的解码处理、防止被绕过再次攻击、十余年Web安全攻防研究经验,拥有超过万名用户验证的实战型规则库,抵御OWASP TOP 10攻击,解决0Day攻击,有效应对新型攻击。 支持包过滤、阻断、入侵检测等防御手段,采用多检测引擎并发处理流量数据返回报文Gzip解码检测,支持chunked encoding。 网站统计 交互式统计视图地域视图可按国家、省、市交互式体现,可以统计客户端访问的浏览器、操作系统信息。可以统计客户端访问来自于哪些搜索引擎、搜索词以及访客排行,以便用户更好的了解自己网站的访问信息。 网络层即插即用 软硬件的即插即用式设计,无需管理员进行复杂的配置;对于标准的Web业务系
web应用防护系统是什么
随着安全问题频发以及网络环境的变化,也让企业意识到原有的边界安全防护产品已不能全面防御现在的各种网络攻击。Web应用防护系统的出现有效的解决了这些问题,Web应用防护系统将安全防护代码直接嵌入到应用程序中,可以实时检测和阻断攻击,还能分析应用行为和行为情景进而持续分析系统安全态势,无需人工干预就能实现自我保护或者自动重新配置系统。 铱迅Web应用防护系统(也称:铱迅网站应用级入侵防御系统,英文:Yxlink Web Application Firewall,简称:Yxlink WAF)是铱迅信息结合多年在应用安全理论与应急响应实践经验积累的基础上,自主研发的一款应用级防护系统。在提供Web应用实时深度防御的同时,实现Web应用加速与防止敏感信息泄露的功能,为Web应用提供全方位的防护解决方案。 产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及Web应用的各个行业。部署铱迅Web应用防护系统,可以帮助用户解决目前所面临的各类网站安全问题,如:注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、应用层CC攻击、DDoS攻击等常见及最新的安全问题。 高性能攻击特征检测引擎 铱迅自主知识产权的快速攻击特征检测引擎(英文:Yxlink Fast Attack Detect Engine,简称:Yxlink FADE),支持千万级别的并发连接、四十万级别的每秒新建HTTP 连接,轻松应对电信级的Web应用处理首创“攻击混淆解码引擎”针对Web攻击的各种编码、特征变换进行迅速、准确的解码处理、防止被绕过再次攻击、十余年Web安全攻防研究经验,拥有超过万名用户验证的实战型规则库,抵御OWASP TOP 10攻击,解决0Day攻击,有效应对新型攻击
防火墙攻击防范技术白皮书
防火墙攻击防范技术白皮书
关键词:攻击防范,拒绝服务 摘要:本文主要分析了常见的网络攻击行为和对应的防范措施,并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。
目录 1 概述 (3) 1.1 产生背景 (3) 1.2 技术优点 (4) 2 攻击防范技术实现 (4) 2.1 ICMP 重定向攻击 (4) 2.2 ICMP 不可达攻击 (4) 2.3 地址扫描攻击 (5) 2.4 端口扫描攻击 (5) 2.5 IP 源站选路选项攻击 (6) 2.6 路由记录选项攻击 (6) 2.7 Tracert 探测 (7) 2.8 Land 攻击 (7) 2.9 Smurf 攻击 (8) 2.10 Fraggle 攻击 (8) 2.11 WinNuke 攻击 (8) 2.12 SYN Flood 攻击 (9) 2.13 ICMP Flood 攻击. (9) 2.14 UDP Flood 攻击 (10) 3 H3C 实现的技术特色 (10) 4 典型组网应用 (11) 4.1 SYN Flood 攻击防范组网应用. (11)
1 概述 攻击防范功能是防火墙的重要特性之一,通过分析报文的内容特征和行为特征判断报文是否具有攻 击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。 防火墙的攻击防范功能能够检测拒绝服务型( Denial of Service ,DoS )、扫描窥探型、畸形报 文型等多种类型的攻击,并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报 文攻击特征识别、流量异常检测和入侵检测统计。 1.1 产生背景 随着网络技术的普及,网络攻击行为出现得越来越频繁。另外,由于网络应用的多样性和复杂性, 使得各种网络病毒泛滥,更加剧了网络被攻击的危险。 目前,Internet 上常见的网络安全威胁分为以下三类: DoS 攻击 DoS 攻击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求,或者使目标 主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。 DoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过 扰乱目标网络的正常工作来阻止合法用户访问网络资源。 扫描窥探攻击 扫描窥探攻击利用ping扫描(包括ICMP和TCP )标识网络上存在的活动主机,从而可以准确地 定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击 者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统 做好准备。 畸形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP 标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损 失。主要的畸形报文攻击有Ping of Death 、Teardrop 等。 在多种网络攻击类型中,DOS攻击是最常见的一种,因为这种攻击方式对攻击技能 要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,所以DoS 攻击的威 胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降,造成正常客户访问失败;同时,提供 服务的企业的信誉也会蒙受损失,而且这种危害是长期性的。 防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击,保证网络在遭受越来越频
WEB应用防火墙解读
WEB应用防火墙解读 绿盟科技产品市场部 赵旭 摘 要:本文结合一家第三方互联网支付公司遇到的安全事件,介绍了来自Web安全的挑战,以及Web应用安全的防护解决思路。并对如何正确选择WAF、正确配置使用WAF 提供了有益的建议。 关键词:Web应用安全;WAF 作为一家第三方互联网支付公司的CIO,Dave为公司近期发生的一系列安全事件忙得焦头烂额。虽然已经在公司的网络出口处部署了防火墙、入侵检测系统等安全设备,但是几个月前,公司网站和支付服务器还是遭受到拒绝服务攻击导致业务瘫痪。拒绝服务攻击事件还没处理完,Dave又接到员工报告,公司门户网站被Google报出含有恶意软件。 来自Web的安全挑战 Dave的烦恼其实是日前众多IT管理者遭遇的缩影之一。随着机构的计算及业务资源逐渐向数据中心高度集中,Web成为一种普适平台,上面承载了越来越多的核心业务。Web的开放性带来丰富资源、高效率、新工作方式的同时,也使机构的资产暴露在越来越多的威胁中。现今Web安全问题对我们来说已屡见不鲜,以下是收录于国际安全组织WASCWHID项目中的几起安全事件 : (1) 2009年5月26日,法国移动运营商Orange France提供照片管理的网站频道有SQL注入漏洞,黑客利用此漏洞获取到245,000条用户记录(包括E-mail、姓名及明文方式的密码)。 (2)2009年1月26日,美国军方两台重要的服务器被土耳其黑客渗透,网页被篡改,黑客采用的是SQL注入攻击手段。 (3) 2009年1月26日,印度驻西班牙使馆网站被挂马(通过iFrame攻击植入恶意代码)。 Web应用安全防护解决思路 Web应用安全问题本质上源于软件质量问题。但Web应用较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为Web开发比较简单,缺乏经验的开发者也可以胜任。 针对Web应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。然而,多数网站的实际情况是:大量早期开发的Web应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的Web应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。 针对这种现状,专业的Web安全防护工具是一种合理的选择。Web应用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为Web应用提供实时的防护。与传统防火墙/IPS设备相比较,WAF最显著的技术差异性体现在: (1) 对HTTP有本质的理解:能完整地解析HTTP,包括报文头部、参数及载荷。支持各种HTTP 编码(如chunkedencoding、request/response压缩) ;提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。 (2)提供应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。 (3)提供正向安全模型(白名单) :仅允许已知有效的输入通过,为Web应用提供了一个外部的输入验证机制,安全
WAF(Web应用防火墙)浅析
WAF(Web应用防火墙)浅析 1、关于WAF WAF(Web Application Firewall,Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 WAF基本上可以分为以下几类。 (1)软件型WAF 以软件形式装在所保护的服务器上的WAF,由于安装在服务器上,所以可以接触到服务器上的文件,直接检测服务器上是否存在WebShell、是否有文件被创建等。 (2)硬件型WAF 以硬件形式部署在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听模式时只记录攻击不进行拦截。 (3)云WAF 一般以反向代理的形式工作,通过配置NS记录或CNAME记录,使对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将认为无害的请求报文再发送给实际网站服务器进行请求,可以说是带防护功能的CDN。 (4)网站系统内置的WAF
网站系统内置的WAF也可以说是网站系统中内置的过滤,直接镶嵌在代码中,相对来说自由度高,一般有以下这几种情况。 ●输入参数强制类型转换(intval等)。 ●输入参数合法性检测。 ●关键函数执行(SQL执行、页面显示、命令执行等)前,对经过代码流程的输入进行检测。 ●对输入的数据进行替换过滤后再继续执行代码流程(转义/替换掉特殊字符等)。 网站系统内置的WAF与业务更加契合,在对安全与业务都比较了解的情况下,可以更少地收到误报与漏报。 2、WAF判断 下面介绍判断网站是否存在WAF的几种方法。 (1)SQLMap 使用SQLMap中自带的WAF识别模块可以识别出WAF的种类,但是如果按下面装的WAF并没有什么特征,SQLMap就只能识别出类型是Generic。 2)手工判断 这个也比较简单,直接在相应网站的URL后面加上最基础的测试语句,比如union select 1,2,3%23,并且放在一个不存在的参数名中,本例里使用的是参数aaa,如图2所示,触发了WAF的防护,所以网站存在WAF 因为这里选取了一个不存在的参数,所以实际并不会对网站系统的执行流程造成任何影响,此时被拦截则说明存在WAF。
迪普防火墙技术白皮书 (1)
迪普FW1000系列防火墙 技术白皮书 1概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
?基于网络协议的防火墙不能阻止各种 攻击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为 攻击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的
Web应用防火墙参数
Web应用防火墙参数 一、基本要求 1、资质: (1)厂商具备针对安全事件的远程和现场的紧急响应能力,获得中国信息安全认证中心颁发的应急处理服务资质证书。 (2)厂商具备信息安全风险评估资质认证。 (3)厂商获得中国信息安全测评中心颁发的《信息安全服务资质证书(安全工程类二级)》。 (4)具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》。 (5)具有国家保密局涉密信息系统安全保密测评中心的《涉密信息系统产品检测证书》。 (6)具有中华人民共和国国家版权局的《计算机软件著作权登记证》。 (9)中国信息安全认证中心颁布的《中国国家信息安全产品认证证书》。 2、运行环境 (1)支持主要的服务器平台及操作系统(如HP-Unix、IBM 、AIX、Sun Solaris、Windows、Linux等) (2)支持各类通用WEB服务器软件(如IIS、WEBLogic、WEBSphere、Apache、Tomcat 等) (3)支持各类WEB服务器中安装的主流数据库(如SQL Server、Oracle、Sybase、Informix、DB2、MySQL等) 3、系统基本要求: (1)专用机架式硬件设备,冗余电源,不少于两个千兆工作口,一个管理口。 (2)产品要求界面友好,易于安装、配置和管理,并有详尽的技术文档。 二、功能要求 1、性能指标 (1)吞吐量双向> 800M/s流量。 (2)延迟< 60 us (3)HTTP最大新建连接数3000 cps。 (4)每秒最大事务处理数10,000 tps。 2、防护机制 (1)双向攻击侦测,正向主动安全模型,动态学习引擎,学习后台Web服务器的通信格式及参数规则等安全特性。据此自行创建安全规则。反向基于静态规则。 (2)提供内置规则,支持自定义规则。 (3)必须支持对以下攻击的防护,SQL注入攻击、命令注入攻击、目录穿透、跨站点脚本、缓存溢出、应用平台侦测、cookie篡改、会话劫持、参数篡改等攻击。 (4)支持网页挂马主动检测功能。 (5)产品可防御网络爬虫、常规盗链和分布式盗链。 (6)产品可防御恶意扫描。 (7)支持对网络层DoS及应用层DoS攻击的防护
数据库安全之--防火墙
数据库安全之--防火墙 姓名:陆超 学号:1503121711
防火墙有很多分类,可以分为硬件防火墙和软件防火墙。硬件防火墙是一台独立的硬件设备,它吞吐量大,处理速度快。它具有一些强大的额外功能(相对软件防火墙来说),例如:支持VPN,CF(内容过滤),DoS、DDoS入侵检测,IPS入侵防护等。硬件防火墙虽然是硬件,其实它里面也有软件,它是把软件防火墙给烧录进去。软件防火墙其实仅是一套软件,它需要安装在操作系统中(如Linux、Windows),且需要消耗操作系统的资源。下图是一款思科的硬件防火墙产品。 防火墙有很多分类,可以分为硬件防火墙和软件防火墙。硬件防火墙是一台独立的硬件设备,它吞吐量大,处理速度快。它具有一些强大的额外功能(相对软件防火墙来说),例如:支持VPN,CF(内容过滤),DoS、DDoS入侵检测,IPS 入侵防护等。硬件防火墙虽然是硬件,其实它里面也有软件,它是把软件防火墙给烧录进去。软件防火墙其实仅是一套软件,它需要安装在操作系统中(如Linux、Windows),且需要消耗操作系统的资源。 防火墙还可以分为单机防火墙和网络防火墙,网络防火墙也叫网关防火墙。网络防火墙为整个网络中的计算机提供防御;而单机防火墙只为防火墙所在的机器提供防御,如每台WINDOW XP都有一个单机防火墙,每台LINUX也默认有一套单机防火墙。此外,对于数据库来说,还有专门的防火墙,叫“数据库防火墙”。 1、“包过滤”防火墙 那么,防火墙是如何防止外敌入侵的呢?在此之前,我们需要大致了解TCP/IP包(Packet)头的构成(如下图所示)。
数据是以包(Packet)的形式在网络中进行传输的。一个包通常由2大部分组成:控制部分(metadata)和数据部分。从包的结构中,可以得到数据的“源地址(Source Address)”和“目标地址(Destination Address)”,“源端口(Source Port)”和“目标端口(Destination Port)”(见图)。防火墙正式基于这些信息狙击入侵者的。当一个包(如来自数据库客户端)通过防火墙时,防火墙会基于一定的规则对该包进行检查,如检查包的发送者是不是合法的IP(如合法的数据库客户端),包的目标是不是特定的数据库服务器?如果检查通过,包会被允许穿过防火墙。如果检查未通过,则该包会被丢弃(Drop)(发送者什么都不知道,犹如石沉大海),或者会给发送者返回(反馈)错误信息(reject)。我们把前面描述的这种防御方式叫“包过滤”(这也就是通常意义上的“包过滤防火墙”)。“包过滤”可工作在OSI模型(见下图)的
下一代防火墙_绿盟_下一代防火墙产品白皮书
绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用,识别安全风险 (3) 3.1.2 融合安全功能,保障应用安全 (4) 3.1.3 高效安全引擎,实现部署无忧 (4) 3.1.4 内网风险预警,安全防患未然 (4) 3.1.5 云端高效运维,安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)
插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)
普通防火墙与Web应用防火墙的对比
普通防火墙与Web应用防火墙的对比 (Web应用防火墙)旨在保护Web应用程序避免受到跨站脚本攻击和SQL注入攻击等常见的威胁。网络防火墙是防御网络周边环境的,虽然一些传统的防火墙提供了某种程度的应用程序熟悉能力,但是,传统防火墙没有Web应用防火墙提供的那样精细和具体。例如,Web应用防火墙能够检测一个应用程序是否按照它设计的方式工作,它能够让你编写具体的规则防止再次发生这种工具。,Web应用防火墙与入侵防御系统不同。它是一个完全不同的技术,不是以特征为基础的,而是以行为为基础的,防止你自己意外制造的安全漏洞。 金融危机促使Web应用防火墙走强 2010-06-11 17:50出处:比特网作者:佚名【我要评论】[导读]此前笔者一直表示,2009年安全大黑马非Web应用防火墙莫数。事实上,进入五月份以来,很多Web应用防火墙厂家的工程师已经处于应接不暇的状态。 此前笔者一直表示,2009年安全大黑马非Web应用防火墙莫数。事实上,进入五月份以来,很多Web应用防火墙厂家的工程师已经处于应接不暇的状态。对此记者专门走访了众多厂商,结果看到的是井喷的订单与密集的出差行程,这无不凸显出眼下Web应用防火墙市场的炙热。 细心的读者也许还记得,此前记者曾担心国内企业用户对于Web应用防火墙的理解程度。毕竟去年曾经出现过很多用户无法分辨Web应用防火墙与普通防火墙的差异。特别是今年年初,随着山寨气氛越炒越热,在Web应用防火墙上也出现了名不副实的山寨产品,并一度令记者十分紧张。 不过令人吃惊的是,广大企业用户对此的反应真的是处变不惊。此前梭子鱼中国区总经理何平先生在接受本报独家专访时表示,当前越来越多的企业用户开始主动联系安全厂商,请求厂商为其搭建符合自身应用特点的Web保护方案。而且不少用户已经把这部分预算列入了2009年的固定开支中去。要知道,在金融危机阴影尚未散尽的今天,用户的反映着实令记者吃惊。 对此何平的看法是,与硬件盒子一样的传统防火墙不同,Web应用防火墙不是单一产品,本身是基于策略的产品,需要结合企业的Web应用进行具体的安全咨询。安全厂商需要对企业的各种内部应用非常了解,比如对OA、MIS、ERP等应用的支持。因此当初Gartner 就曾提出更加综合的应用交付网络的概念,将安全、加速、管理等集成在一起,实现完整的Web保护。 记者发现,很多企业在购买普通防火墙的时候,往往是从同行业企业中打听经验,寻找价格差异,有些时候依靠流行度去购买。但是在选择Web应用防火墙的时候,则是企业的IT经理带着问题去找方案进行解决,采购的认真与周密令人肃然起敬。 之前有专家介绍说,当前Web应用防火墙从全球范围内已经进入部署的高峰期,准确地说是第二波浪潮的开始。以美国为例,早先是在美国能源部使用,确保能源安全,之后过渡到一些普通政府部门使用,最后到纽约市的卫生局都开始采购。特别是2008年PCI法案通过之后,要求提供信用卡网上支付超过一定营业额的企业,都需要配置Web应用防火墙。
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列下一代防火墙技术白皮书 文档版本V1.1 发布日期2014-03-12
版权所有? 华为技术有限公司2014。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.360docs.net/doc/c72718087.html, 客户服务邮箱:ask_FW_MKT@https://www.360docs.net/doc/c72718087.html, 客户服务电话:4008229999
目录 1 概述 (1) 1.1 网络威胁的变化及下一代防火墙产生 (1) 1.2 下一代防火墙的定义 (1) 1.3 防火墙设备的使用指南 (2) 2 下一代防火墙设备的技术原则 (1) 2.1 防火墙的可靠性设计 (1) 2.2 防火墙的性能模型 (2) 2.3 网络隔离 (3) 2.4 访问控制 (3) 2.5 基于流的状态检测技术 (3) 2.6 基于用户的管控能力 (4) 2.7 基于应用的管控能力 (4) 2.8 应用层的威胁防护 (4) 2.9 业务支撑能力 (4) 2.10 地址转换能力 (5) 2.11 攻击防范能力 (5) 2.12 防火墙的组网适应能力 (6) 2.13 VPN业务 (6) 2.14 防火墙管理系统 (6) 2.15 防火墙的日志系统 (7) 3 Secospace USG6000系列防火墙技术特点 (1) 3.1 高可靠性设计 (1) 3.2 灵活的安全区域管理 (6) 3.3 安全策略控制 (7) 3.4 基于流会话的状态检测技术 (9) 3.5 ACTUAL感知 (10) 3.6 智能策略 (16) 3.7 先进的虚拟防火墙技术 (16) 3.8 业务支撑能力 (17) 3.9 网络地址转换 (18)
防火墙配置模式
前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13
一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)
防火墙系统(NSG系列)技术白皮书
目录 1产品概述 (1) 2产品特色 (2) 2.1灵活的管理接口 (2) 2.2管理员权限分权分立 (2) 2.3安全隔离的虚拟系统 (3) 2.3.1一机多用,节省投资 (3) 2.3.2灵活配置,方便管理 (3) 2.3.3业务隔离,互不影响 (3) 2.4全面的IPv6Ready能力 (4) 2.4.1IPv4/IPv6双栈 (4) 2.4.2跨栈隧道方案 (5) 2.5多层次可靠性保证,整机可靠性高 (7) 2.5.1硬件可靠性 (7) 2.5.2整机可靠性 (10) 2.5.3系统可靠性 (16) 2.5.4链路可靠性 (16) 2.6智能DNS解析 (22) 2.7地理位置识别(国内+国际) (22) 2.8全面、智能的路由功能 (22) 2.8.1全面的路由功能 (22) 2.8.2精确的多出口ISP路由智能选路 (22) 2.8.3对称路由保证来回路径一致 (23) 2.8.4高适应性的路由负载均衡算法 (23) 2.9一体化的安全策略 (23) 2.10全面的SSL解密防护 (23) 2.10.1SSL解密防护 (23) 2.10.2SSL入站检查 (24) 2.11丰富的VPN隧道类型 (24) 2.12强大的动态QoS功能 (24)
2.13持续关注重点应用/URL (24) 2.14深度安全检测及DLP,保护网络安全 (25) 2.14.1概述 (25) 2.14.2全面的应用层攻击防护能力 (25) 2.14.3先进的多维动态特征异常检测引擎 (26) 2.14.4灵活的自定义漏洞/间谍软件特征功能 (26) 2.14.5多维度的DLP数据防泄漏 (26) 2.14.6强大的威胁情报渗透 (27) 2.15多系统联动防护,构建立体式防护体系 (27) 2.15.1防火墙和终端系统联动 (28) 2.15.2防火墙和天眼系统联动 (29) 2.15.3防火墙和NGSOC系统联动 (29) 2.15.4防火墙和天御云系统联动 (30) 2.15.5防火墙和ITS系统联动 (30) 2.16应用及流量可视化,网络行为无所遁形 (32) 2.16.1概述 (32) 2.16.2大容量、多维度日志 (33) 2.16.3多样化的日志检索方式 (33) 2.16.4全方位风险信息展示及分析 (33) 2.16.5强大的内容审计策略 (34) 2.17自动化应急响应功能 (34) 3技术优势 (35) 3.1采用第四代SecOS系统 (35) 3.2整体框架采用AMP+并行处理架构 (35) 3.3优化的AMP+架构突破传统SMP架构瓶颈 (36) 3.4更优化的网口数据收发处理 (38) 3.5单引擎一次性数据处理技术 (39) 3.6多级冗余架构提高防火墙可靠性 (39) 3.7云端协同扩展精确定位威胁 (40) 3.8基于NDR安全体系的未知威胁闭环防御 (40) 4应用场景 (42) 4.1企业互联网边界安全应用场景 (42) 4.1.1典型场景 (42) 4.1.2痛点和优势 (43) 4.2行业专网网络安全应用场景 (44) 4.2.1典型场景 (44) 4.2.2痛点和优势 (45) 4.3数据中心出口安全应用场景 (46) 4.3.1典型场景 (46)
2015-4-14web应用防火墙WAF-产品白皮书(WAF)
2015-4-14web应用防火墙WAF-产品白皮书(WAF)
第1章概述 随着互联网技术的发展,Web应用日益增多,同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题,导致Web应用被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入组织内部,如Web、Web邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。常见的威胁如下: 威胁名称威胁描述 非授权访问非授权用户可能试图访问和使用非授权端口、应用类型以及资源 Web应用攻 击恶意用户可能通过构造特殊的HTTP/HTTPS请求,对产品保护的web应用实施SQL注入、XSS等web攻击
络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 传统防火墙基于IP/端口,无法对WEB应用层进行识别与控制,无法确定哪些WEB应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对WEB应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 传统防火墙无法抵御来自WEB应用层的威胁,自然就无法提供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握,缺乏安全信息的可视化。 1.1.1I PS设备能否抵御WEB攻击? IPS只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏
阿里云-Web应用防火墙使用手册
Web 应用防火墙使用手册
----- 使用手册 简介 启用"Web应用防火墙",需要您在DNS服务商处为域名添加或修改CNAME记录,将域名指向"Web应用防火墙",从而达到Web防护的效果 操作步骤 1. 获取加速域名 在"Web应用防火墙"找到生成的CNAME 2. 变更DNS解析,接入"Web应用防火墙" (以万网DNS为例) 登录万网会员中心 点击会员中心左侧导航栏中的【产品管理】-"我的云解析"进入万网云解析列表页。点击要解析的域名,进入解析记录页。 进入解析记录页后,点击新增解析按钮,开始设置解析记录。 记录类型选择为CNAME,主机记录填写对应的子域名(如https://www.360docs.net/doc/c72718087.html, 的主机记录为: www)。记录值填写"Web应用防火墙"对应域名的cname
-- -TTL为域名缓存时间,您可以按照您的需求填写,参考值为3600填写完成后,点击保存按钮,完成解析设置 注意事项 同一个主机记录,CNAME解析记录值只能填写一个,您可以修改为"Web应用防火墙"的地址 同一个主机记录,A记录和CNAME记录是互斥的,您可以修改为CNAME类型,并填入CNAME 如果DNS服务商不允许直接从A记录修改为CNAME记录,需要您先删除A记录,增加CNAME记录 ,注意删除新增过程需要快,如果删除后,长时间没有添加CNAME值,可能导致域名解析不到结果 同一个主机记录,MX记录和CNAME记录是互斥的,如果您必须保持MX记录,可以将用A记录方式指向WAF的IP,WAF的IP获取可以采取:ping 一下 cname,得到的IP即为WAF IP。直接配置 A 记录,记录值写此IP Web应用防火墙简介 Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免您的网站资产数据泄露,保障网站的安全与可用性。 Web应用防火墙是针对单个域名提供安全防护的产品,接入前后对比如下图: 接入准备 以https://www.360docs.net/doc/c72718087.html,和https://www.360docs.net/doc/c72718087.html,为例:
Web应用防火墙需要知道的十个问题
Web应用防火墙需要知道的十个问题 1 一句话概括梭子鱼Web应用防火墙。 (1) 2梭子鱼Web应用防火墙与网络防火墙的区别 (1) 3 梭子鱼Web应用防火墙与网页防篡改的区别 (2) 4 梭子鱼Web应用防火墙与IPS的区别。 (2) 5 梭子鱼Web应用防火墙与绿盟web应用层防火墙。 (2) 6 梭子鱼Web应用防火墙能够防止DDoS攻击和CC攻击吗? (3) 7 梭子鱼Web应用防火墙能防止网页挂码或病毒吗? (4) 8 梭子鱼Web应用防火墙能防止恶意蜘蛛程序爬行吗? (4) 9 梭子鱼Web应用防火墙测试时是否一定要断网,或者一定要进机房? (4) 10 使用了梭子鱼Web应用防火墙都能有那些好处? (5) 1 一句话概括梭子鱼Web应用防火墙。 梭子鱼Web应用防火墙是应用级的网站安全综合解决方案,能帮助企业达到在线支付级的网站安全标准。具备十大功能,十大技术,是web应用防火墙的领导品牌: 2梭子鱼Web应用防火墙与网络防火墙的区别 这是工作在不同层面两类产品: 第一代网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。其产品设计无需理解HTTP会话,也就无法理解Web应用程序语言如HTML、SQL。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,如能根据TCP会话异常性及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中,但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。 梭子鱼Web应用防火墙能在应用层理解分析HTTP会话,因此能有效的防止各类应用层攻击,同时他向下兼容,具备网络防火墙的功能。 3 梭子鱼Web应用防火墙与网页防篡改的区别 这是防护方法和防护功能有巨大区别的两种产品。 从防护的方法来说,网页防篡改产品着眼点在于“事后恢复”,可防止篡改的危害扩大。但是它不能防止攻击发生;并且他只有在攻击发生对网页篡改的行为时才能产生作用,而事实上多数类型的攻击并不篡改网页,如DDoS攻击、CC攻击、溢出攻击、cookie窃取、密码拦截、数据窃取等;还有很多攻击有可能产生篡改行为,但多数情况并不会篡改网页,如SQL注入、目录穿越等;即使是“事后恢复”,网页防篡改产品也存在工作原理漏洞、服务负载增加、检测机制绕开、连续篡改等安全问题。 梭子鱼Web应用防火墙是Web网站安全的综合解决方案,能够主动防御各种针对web 网站的攻击行为,包括各种“篡改”行为。它是在攻击到达服务器之前就进行阻断拦截,能解决一揽子网站安全问题。 4 梭子鱼Web应用防火墙与IPS的区别。 这是防护技术和防护对象不同的两类产品。 相同点是,IPS和Web应用防火墙都是为防止网络攻击而设计的。不同的是IPS采用的是特征匹配技术、使用“允许除非明确否认”模式,其防护对象是一段网络、以及网络中通用的设备或系统而不是特定的Web应用; IPS不能向Web应用防火墙那样进行主动防护,因此他不能防止“零日攻击”,也无法防止针对某个应用特制的攻击,如针对某个网站的命令注入或SLQL注入攻击;IPS事实上也不会去理解HTTPS协议中的程序代码或报头设定,由于Web网站往往是特定开发的,IPS 往往无法针对性的进行防御。 5 梭子鱼Web应用防火墙与绿盟web应用层防火墙。 这是功能上有着巨大差异的同类产品。(奥迪和奥拓的差别): 1防攻击的颗粒度天壤之别绿盟针对ip地址、网站(域)、应用进行防护,梭子鱼不但可以对网站进行设置,还能对这个网站的某个目录下的甚至某个页面进行设置策略。甚至还可