绿盟NSF-PROD-WAF-V6.0-产品白皮书-V3.0

绿盟WEB应用防火墙

产品白皮书

【绿盟科技】

■文档编号■密级完全公开

■版本编号■日期

■撰写人■批准人

? 2014 绿盟科技

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间版本说明修改人

一. 概述 (3)

二. 关键能力 (3)

2.1客户资产视角 (3)

2.2优化的向导系统 (4)

2.3快捷的配置体系 (5)

2.4完整的防护体系 (5)

2.5细致高效的规则体系 (6)

2.6主动防护的代理架构 (7)

2.7领先的DD O S防护能力 (8)

2.8智能补丁应急响应 (8)

2.9辅助PCI-DSS合规 (9)

2.10高可用性 (10)

三. 典型部署 (10)

四. 典型应用 (11)

4.1网站访问控制 (11)

4.2网页篡改在线防护 (12)

4.3网页挂马在线防护 (12)

4.4敏感信息泄漏防护 (12)

4.5DD O S联合防护 (13)

4.6非对称链路防护 (13)

五. 附录 (14)

5.1客户资产定义 (14)

5.2规则体系定义 (14)

5.3常见W EB应用攻击 (15)

插图索引

图表1策略实例 (3)

图表2资产分层及其防护层级 (4)

图表3向导体系过滤站点规则 (5)

图表4防护体系 (6)

图表5智能补丁 (9)

图表6WAF的典型部署 (11)

图表7绿盟WAF和绿盟ADS的DD O S联合防护方案 (13)

图表8站点的定义 (14)

图表9主机名的定义 (14)

图表10URI及相关字段的定义 (14)

一. 概述

绿盟Web应用防火墙（简称WAF），站在“资产”的视角，用完整的防护体系将多种Web安全检测方法连结成一套完整的解决方案，保卫您的Web应用免遭当前和未来的安全威胁。专注于保护Web应用和Web服务，并将成熟的DDoS攻击抵御机制整合在一起，绿盟WAF提供针对OWASP Top 10、LOIC、HOIC的全面防御，通过事前防御、事中防护、事后补偿的整体解决方案，为Web安全保驾护航。

二. 关键能力

2.1 客户资产视角

绿盟WAF通过建立客户资产列表（或称“站点树”）的方式来提供资产视图，能直观展示资产（站点）清单及各资产（站点）的属性，如状态、协议类型、IP地址、端口等。同时，将策略——某类规则的集合也作为资产的属性，并以“实体”的方式保存，可以被复用，产品更贴近客户。

图表 1 策略实例

同时，针对资产分层的特性，绿盟WAF将防护层级也进行了细分：默认防护层作用于站点对象，自定义防护层则作用于详细资产，即具体的URL。

图表2资产分层及其防护层级

2.2 优化的向导系统

基于客户资产视角，绿盟WAF提供了一套优化的向导系统，在配置客户信息的过程中询问操作系统、数据库、Web服务器及使用的编程语言信息，同时引入站点组概念，支持将OS、Web Server和应用程序相同或者类似的站点（IP地址+ 端口号）纳入一个站点组，在构建站点资产的同时也完成了针对客户环境的规则过滤，实现了客户环境对规则体系中黑名单规则的精准利用，减少了误报，同时大大简化了配置操作。

图表3向导体系过滤站点规则

2.3 快捷的配置体系

基于多年积累的最佳安全实践，绿盟WAF能为各种类型的站点组提供缺省规则，实现了设备上线后的零配置防护，大大简化了设备上线后的配置操作。

误报一直是困扰Web应用防火墙用户最常见的问题之一，用户通常需要重新考虑策略逻辑、重新配置和下发策略来减少误报，操作过程繁琐。为解决这一操作困扰，绿盟WAF 在误报日志对应的策略处提供了的一键生成例外策略功能，能迅速将引发误报的策略实例从策略体系中剔除，被例外的策略及其包含的规则就不再对当前站点生效。此功能大大减少了发现设备误报后从规则体系中去除相应规则的操作，达到了方便快捷的减少了设备误报的目的。

在一些较难理解的配置页面上，通过在线帮助对关键配置的说明，客户可以更轻松了解配置的含义、掌握配置思路和方法。

2.4 完整的防护体系

黑名单规则即内置及自定义的规则的丰富多样性，尤其其中的众多应用层规则，一直是绿盟WAF在防护Web安全时的强大知识库，依靠这一积累，绿盟WAF已经为超过1000家企业、组织提供了安全防护，包括中国移动、中国电信、国家电网等，产品还出口到日本和东南亚市场。然而，黑名单体系固有的“事后更新”特点使其仅仅能解决已知问题，在应对0day漏洞防护时显得略为滞后。此外，黑名单规则的制定，未参考客户环境的业务逻辑，在防护效果上也无法做到精准。

绿盟WAF引入了自学习+白名单机制，则有效增强了0day漏洞的防护能力和精准防护能力，弥补了黑名单防护体系的固有缺点。基于统计学方法的自学习技术通过分析用户行为和指定URL的HTTP请求参数（包括参数的个数、名称、类型、取值范围等），将站点的业务逻辑完整的呈现出来，并能方便快捷的应用于白名单规则。

黑名单规则解决已知安全风险，自学习、白名单作为黑名单规则的补充解决业务逻辑层面的安全风险，使绿盟WAF的安全防护体系更完整，进一步贴近了客户业务环境，在应对0day漏洞时也更加快速、精准、有效。

图表 4 防护体系

2.5 细致高效的规则体系

规则是WAF识别和阻止已知攻击的基础检测方法，绿盟WAF规则库基于多年网络安全研究积累，已高度细化，基于规则的防护功能包括：

●Web服务器漏洞防护

●Web插件漏洞防护

●爬虫防护

●跨站脚本防护

●SQL注入防护

●LDAP注入防护

●SSI指令防护

●XPATH注入防护

●命令行注入防护

●路径穿越防护

●远程文件包含防护

在细化规则的同时，绿盟WAF也引入了众多机制保证规则的精准、有效。

1. 前导字符

网络中合法流量占主体，引入前导码机制，通过前导码的简单字符串的匹配，对流量进行预筛选，提高检测效率。

2. 不同检测位置

支持灵活的检测对象定义，包括任意的HTTP头部字段，HTTP BODY字段，支持各种检测运算。

3. 多种检测条件的逻辑组合

能够实现多个检测条件的组合，以支持复杂规则的定义。主要为多个检测条件的逻辑组合。

4. 自定义规则

绿盟WAF提供贴近于自然语言、支持复杂场景描述的自定义规则，能作用于自定义安全防护的对象：详细的URL上，大大提高了规则的有效性和精准度。

5. 独立的规则升级

通过编译式运行的规则库，WAF还分离了规则升级和系统升级，而在极大丰富规则的同时，设备的整体性能不降反升。

2.6 主动防护的代理架构

使用代理架构，绿盟WAF实现了很多在桥模式下难以实现的功能，在安全性上具有更强的主动性。

1）能够避免“危险连接透传”。绿盟WAF始终把安全放在第一位，即WAF只会将其认为为安全的TCP连接放给服务器。例如，如果一个TCP连接到达WAF，WAF若识别其中有SQL注入攻击，那么，该连接不会到达服务器，而会在WAF上终结。而在桥模式下，通常该TCP连接已经到达服务器，且携带攻击的数据包也会到达服务器，只不过最后一个报文被设备阻断，这其实是有安全隐患的。WAF的代理模式大大地加强了服务器的安全性。

2）双向SSL支持，使得在HTTPS链路上WAF具备完整的Web安全防护能力。

3）能够对Cookie进行加密、签名，从而规避了很多基于Cookie的安全问题（例如会话盗用、SQL注入、XSS等等）。

4）实现了基于在线插入隐藏Token、Cookie校验等技术的CSRF防护功能。

5）能够实现敏感信息隐藏功能，例如，针对服务器的某些响应，WAF可以在线伪装服务器版本，响应码甚至替换全部响应内容，从而使服务器的敏感信息不至泄露，达到服务器隐身的效果。

6）能够实现以在线颁发Cookie的方式，防止盗链以及路径穿越。

7）能够实现基于在线cache的防篡改功能

8）WAF具备与后端服务器“协商”的能力，从而能够较好地解决gzip压缩数据的安全问题（例如，若配置了CSRF，WAF可以与服务器协商，要求服务器的响应不进行gzip压缩，从而使WAF获得明文）。

总之，相对于桥模式的被动防护，绿盟代理模式的WAF在安全防护上更具有主动性，包含更多、更有效的安全功能。

2.7 领先的DDoS防护能力

绿盟WAF应用了自主研发的抗拒绝服务攻击算法，可防护各类带宽及资源耗尽型拒绝服务攻击，如对SYN Flood这种常见攻击行为能够有效识别，并实时对攻击流量进行阻断，确保了Web业务的可用性及连续性。

在动态防护机制中，绿盟WAF可有效识别用户行为模式，如对HTTP Flood攻击进行实时检测、防护。基于绿盟多年抗拒绝服务的技术积累，WAF产品中集成了多种应用层抗DDoS技术，当发生未知攻击时，无需专门撰写规则即可对这些攻击进行防护。

在DDoS攻击流量超过绿盟WAF的处理能力时，绿盟WAF和绿盟的专业Anti-DdoS 设备ADS还能形成联合防护方案，借助ADS的专业防护能力完成攻击流量的牵引和清洗。

2.8 智能补丁应急响应

通过与绿盟科技云安全平台的Web漏洞扫描服务（PAWSS）或者WEB应用漏洞扫描系统（WVSS）联合防护，WAF能获取被防护站点的漏洞扫描报告，并根据自身已有的规则自动生成一套新的规则即智能补丁，应用于被保护站点。当被防护站点打上了智能补丁之后，之前被扫描出的Web应用漏洞将无法重现。

智能补丁，借助了绿盟科技云安全平台中Web漏洞扫描服务和WEB应用漏洞扫描系统对Web漏洞的感知能力，又很好利用了绿盟WAF自身的规则体系，在不用更改被防护站点配置、不为其设备提供额外负担的情况下，有效减少了一些站点因无法频繁打补丁、业务频繁升级而引入漏洞带来的安全风险。

图表5智能补丁

此外，应对多数网站面临的实际情况：大量早期开发的Web应用，由于历史原因和其定制化特点决定了没有通用补丁可用，而整改代码因代价过大变得较难施行或者需要较长的整改周期。多数关系国计民生的重要网站，同时还面临监管机构的合规要求。在客户修补补丁或整改代码较为困难时，绿盟WAF提供的智能补丁功能，还能及时应对各类Web应用安全挑战，协助客户满足安全合规要求。

2.9 辅助PCI-DSS合规

随着业务的扩展，支撑业务的信息环境也日益复杂，各种安全合规标准成为了各行业规约和保证企业信息安全的一种手段。支付卡行业（PCI：Payment Card Industry）数据安全标准（DSS：Data Security Standard），作为衡量如金融机构、消费者等涉及支付卡业务的商家和服务提供者的数据资料安全基准，详细讲述了对存储、处理或传输持卡人数据的商家和服务提供商的安全要求，已经在全球范围内获得了越来越广泛的认可。绿盟WAF，站在用户资产的视角，能够结合当前防护站点的安全配置，按照PCI-DSS的checklist对用户资产环境做出是否合规的判断，并在此基础上提出满足PCI-DSS合规的配置建议，协助商家和服务提供商应对PCI-DSS合规检查和信息系统安全环境的加固。

2.10 高可用性

在保证安全功能全面、有效的基础上，绿盟WAF本身也具有安全、可靠、高可用的特性。

绿盟WAF本身支持HTTPS登录，能对账户进行安全策略配置，包括口令最小长度和口令生存期，符合《中国移动设备通用安全功能和配置规范V2.1》，支持Radius认证；可以限制远程管理的登录IP，符合《中国移动设备通用安全功能和配置规范V2.1》。

HA机制是评判防火墙设备是否具有高可用性的功能特性之一，绿盟WAF支持完全的HA机制，即主从（A/S）模式和主主（A/A）模式。其中A/S模式适用于有备份冗余链路的网络中的安全防护需要，实现双机热备机制，确保在单条链路发生故障时自动切换到备用链路上，保证网络业务数据流的正常通讯。A/A部署模式适用于非对称链路的WAF集群部署需求，并在一定程度了提供了负载均衡功能。

此外，在支持软硬件Bypass的基础上，绿盟WAF创新性的支持紧急模式：当WAF 处理的并发连接达到一定数量后，设备进入紧急模式，已经代理的连接正常代理，对新增的请求不进行代理，直接转发。从而保证了设备达到性能瓶颈时，客户环境的业务不受影响。

三. 典型部署

绿盟WAF提供多种灵活的部署方式，包括透明部署模式、反向代理模式和旁路模式。

串联部署模式下，绿盟WAF在内核模块实现从TCP/IP协议栈的透明代理，极大地提高网络适应能力、确保产品在网络中即插即用而无需修改网络及服务器配置，降低了部署、维护开销。而反向代理模式，需要改动服务器IP地址以及DNS解析；桥模式下，用Web服务器的IP地址作为VIP，牺牲了一部分功能（如SSL功能）。

在部署了多业务网段服务器的网络环境中，WAF设备也可以采用旁路方式部署，提供一种逻辑在线防护机制。该种部署灵活性较好，可以实现业务分流，对核心系统影响较小。旁路方式部署的技术原理如下：

1. 流量牵引：通过路由方式，将原来去往目标网站IP的流量牵引至WAF设备。被牵引

的流量为攻击流量与正常流量混杂的HTTP流量；

2. 流量检测和过滤：WAF设备通过多层的攻击流量识别与净化功能，将Web攻击流量

从混合流量中过滤；

3. 流量注入：经过WAF过滤之后的合法流量被重新注入回网络，最终到达目的网站。

4. 对返回流量检测：网站响应的HTTP流量在返回给客户端之前，仍然需要流经WAF设

备，WAF可提供安全检测，经WAF检测后的流量最终返回给客户端。

图表 6 WAF的典型部署

四. 典型应用

4.1 网站访问控制

针对某些Web网站的部分路径只允许某些IP访问，某些路径不受访问IP限制的用户场景，绿盟WAF在串联部署、旁路部署和反向代理部署时均提供了HTTP访问控制功能。用户通过使用HTTP访问控制，不仅可以达到权限控制的效果，还可以做到误报纠正：例如某些URI（见附录定义）直接放过而不检测。

事实上，多数有访问控制需求的Web服务器都已经配置了一定的安全策略，但大多数安全策略可能会忽略对主机名的严格检测，从而存在安全防护策略被绕过的隐患。绿盟WAF 通过显式配置只允许指定的主机名访问，从安全策略配置层面避免了这一隐患引发的权限滥用，访问控制更加严格。

4.2 网页篡改在线防护

按照网页篡改事件发生的时序，绿盟WAF提供事中防护以及事后补偿的在线防护解决方案。事中，实时过滤HTTP请求中混杂的网页篡改攻击流量（如SQL注入、XSS等）。事后，自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行短信告警，对外仍显示篡改前的正常页面，用户可正常访问网站。

4.3 网页挂马在线防护

网页挂马为一种相对比较隐蔽的网页篡改方式，本质上这种方式也破坏了网页的完整性。网页挂马攻击目标为各类网站的最终用户，网站作为传播网页木马的“傀儡帮凶”，严重影响网站的公信度。

当用户请求访问某一个页面时，绿盟WAF会对服务器侧响应的网页内容进行在线检测，判断是否被植入恶意代码，并对恶意代码进行自动过滤。

4.4 敏感信息泄漏防护

绿盟WAF可以识别并更正Web应用错误的业务流程，识别并防护敏感数据泄漏，满足合规与审计要求，具体如下：

1. 可自定义非法敏感关键字，对其进行自动过滤，防止非法内容发布为公众浏览。

2. Web站点可能包含一些不在正常网站数据目录树内的URL链接，比如一些网站拥

有者不想被公开访问的目录、网站的WEB管理界面入口及以前曾经公开过但后来

被隐藏的链接。WAF提供细粒度的HTTP访问控制，防止对这些链接的非授权访

问。

3. 网站隐身：过滤服务器侧出错信息，如错误类型、出现错误脚本的绝对路径、网页

主目录的绝对路径、出现错误的SQL语句及参数、软件的版本、系统的配置信息

等，避免这些敏感信息为攻击者利用、提升入侵的概率。

4. 对数据泄密具备监管能力。能过滤服务器侧响应内容中含有的敏感信息，如身份证

号、信用卡号等。

4.5 DDoS联合防护

绿盟WAF在本身提供TCP Flood防护功能的基础上，在DDoS攻击超过了本身防护阈值的情况下，还能跟由绿盟科技的专业抗拒绝服务攻击产品ADS组成的清洗中心联动，达到分层清洗的目的。绿盟WAF与DDoS清洗中心联动的应用场景如下：

1. 绿盟WAF的TCP Flood防护功能对一定阈值的拒绝服务攻击进行防护。

2. 当攻击流量超过了绿盟WAF本身的防护阈值时，WAF向上游的ADS清洗中心发

出通告，请求上游的ADS牵引并清洗到达WAF防护站点的攻击流量。

3. ADS牵引并清洗成功后，WAF退出本身的TCP Flood防护。

4. 当WAF发现到达上游ADS的攻击流量小于通告值时，申请取消上游ADS对流量

的牵引和清洗，同时将自身的TCP Flood防护开启。

图表7绿盟WAF和绿盟ADS的DDoS联合防护方案

4.6 非对称链路防护

绿盟WAF支持的HA主-主模式（AA模式）解决了非对称链路情况下，请求流量与响应流量经过不同WAF，从而导致网络不通的现象。AA模式负载均衡是通过上下游路由器实现的，当同一TCP会话被负载均衡到不同WAF时，WAF的主主HA功能会将流量同步到一台WAF，保证流量畅通。

五. 附录

5.1 客户资产定义

站点的定义：

图表8站点的定义

2. 主机名（Host）的定义：

https://www.360docs.net/doc/2513927141.html,:8080

Host

Domain Port

图表9主机名的定义

3. URI的定义：

GET /index.php?A=1&B=2 HTTP/1.1\r\n

Method URI-path

Query-string Version

Parameter Parameter

图表10 URI及相关字段的定义

5.2 规则体系定义

以下介绍WAF规则体系的定义。

1. 规则：基于HTTP流量的特定对象进行特征检测的字符串。

2. 策略：规则集及规则集动作的定义，可定义策略例外。

3. 规则集：一系列规则的集合，可为不同类型规则。

4. 策略例外：定义对特定对象具有攻击特征的允许，允许策略中特定规则。

5. 白名单规则：站点合法流量的特征描述，自学习引擎学习被防护站点流量特征生

成或者自定义。

6. 智能补丁规则：基于被防护站点的漏洞信息，由智能补丁系统生成的具有针对性的

自定义规则。

7. 前导码：规则特征串的简单字符串子串。

5.3 常见Web应用攻击

下面简要介绍SQL注入、XSS（跨站脚本）及CSRF（跨站请求伪造）这三类Web

应用攻击，它们都位于OWASP Top 10中。

SQL注入

SQL注入的成因在于对用户提交CGI参数数据未做充分检查过滤，用户提交的数据可能会被用来构造访问后台数据库的SQL指令。如果这些数据过滤不严格就有可能被插入恶意的SQL代码，从而非授权操作后台的数据库，导致敏感信息泄露、数据库内容或结构破坏、甚至利用数据库本身的扩展功能控制服务器操作系统。利用SQL注入漏洞可以构成对Web服务器的直接攻击，还可能用于网页挂马。

XSS（跨站脚本）

XSS这类漏洞是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤，允许用户在提交的数据中掺入HTML代码（最主要的是“>”、“<”），然后未加编码地输出到第三方用户的浏览器，这些攻击者恶意提交的代码会被受害用户的浏览器解释执行。攻击者可以攻击存在XSS漏洞的Web站点的其他用户，窃取用户浏览会话中诸如用户名和口令的敏感信息、通过插入挂马代码诱骗用户执行木马程序。XSS漏洞的特点在于对存在漏洞的网站本身并不构成威胁，但会使网站成为攻击者攻击第三方的媒介。

CSRF（跨站请求伪造）

CSRF从成因上与XSS漏洞相同，不同之处在于利用的层次上，CSRF是对XSS漏洞更高级的利用，核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话，攻击者可以与运行于用户浏览器中的脚本代码交互，使攻击者能够使用遭到攻击的浏览器的用户的权限执行操作。比如一个论坛存在XSS漏洞，攻击者在论坛发言中设置恶意代码，论坛管理员访问恶意发言以后他的当前访问论坛的会话受到劫持，攻击者可以利用当前管理员高权限的会话执行一些普通用户无法完成的管理功能，比如把某个用户加到管理员组、利用论坛的备份功能获得WebShell 等等。

绿盟星云产品白皮书

绿盟云安全集中管理系统 NCSS 产品白皮书【绿盟科技】 ■ 文档编号 ■ 密级完全公开 ■ 版本编号 ■ 日期 ■ 撰写人 ■ 批准人

目录一. 云安全风险与挑战 (3) 1.1云安全产品缺乏统一管理 (3) 1.2安全责任边界界定不清 (3) 1.3用户与平台安全边界不清 (3) 1.4云安全缺乏有效监督 (3) 1.5云计算不可避免的虚拟化安全 (4) 二. 设计理念 (4) 2.1安全资源池化 (4) 2.2云平台安全管理 (4) 2.3用户按需服务 (5) 2.4合规性原则 (5) 2.5符合云计算的特性 (5) 三. 绿盟星云 (6) 3.1运维门户 (7) 3.2租户门户 (7) 3.3资源池控制器 (8) 3.4日志分析 (8) 3.5安全资源池 (8) 四. 特色和优势 (8) 4.1统一管理 (8) 4.2按需服务 (9) 4.3便捷部署 (9) 4.4弹性扩容 (9) 4.5安全合规 (9) 4.6高可用性 (10) 4.7升级维护方便 (10) 4.8开放的资源池兼容性 (10) 4.9丰富的服务组合 (11) 五. 客户收益 (11) 5.1云平台安全保障 (11) 5.2等保合规要求 (12) 5.3安全责任清晰 (12) 5.4安全增值可运营 (12) 5.5降低运维成本 (13)

绿盟--漏洞扫描系统NSFOCUS RSAS-S-v5.0

1.产品简介每年都有数以千计的网络安全漏洞被发现和公布，加上攻击者手段的不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明，99%的攻击事件都利用了未修补的漏洞，使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦，蒙受巨大的经济损失。寻根溯源，绝大多数用户缺乏一套完整、有效的漏洞管理工作流程，未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作，才能够有效地避免由于攻击所造成的损失。绿盟远程安全评估系统（NSFOCUS Remote Security Assessment System，简称：NSFOCUS RSAS）第一时间主动诊断安全漏洞并提供专业防护建议，让攻击者无机可乘，是您身边的“漏洞管理专家”。产品为国内开发，具备自主知识产权，并经过三年以上应用检验并提供产品用户使用报告的复印件；产品具有高度稳定性和可靠性。产品取得了中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，中华人民共和国国家版权局《计算机软件著作权登记证书》，中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》，国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》，中国信息安全测评中心《信息技术产品安全测评证书--EAL3》，中国信息安全认证中心《中国国家信息安全产品认证证书》。厂商在信息安全领域有丰富的经验与先进的技术，须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。

产品使用了专门的硬件，基于嵌入式安全操作系统，大大提高了系统的工作效率和自身安全性。系统稳定可靠，无需额外存储设备即可运行，系统采用B/S 设计架构，并采用SSL加密通信方式，用户可以通过浏览器远程方便的对产品进行管理。产品要求界面友好，并有详尽的技术文档；产品支持中英文图形界面，能够方便的进行语言选择，能够提供丰富的中英文语言的文档资料。通过CVE兼容性认证及英国西海岸实验室Checkmark认证等国际权威认证。 2.产品功能 2.1 系统漏洞扫描功能 1. 漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类，需要给出具体的分类信息。 2. 支持对漏洞信息的检索功能，可以从其中快速检索到指定类别或者名称的漏洞信息，并具体说明支持的检索方式。 3. 提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。

下一代防火墙_绿盟_下一代防火墙产品白皮书

目录一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用，识别安全风险 (3) 3.1.2 融合安全功能，保障应用安全 (4) 3.1.3 高效安全引擎，实现部署无忧 (4) 3.1.4 内网风险预警，安全防患未然 (4) 3.1.5 云端高效运维，安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)

插图索引图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)

绿盟--WEB应用防护

绿盟WEB应用防护系统（可管理系列）产品白皮书【绿盟科技】 ■密级完全公开 ■文档编号NSF-PROD-WAF with MSS（原 PAMWAF）-V1.0-产品白皮书-V1.2 ■版本编号V1.2 ■日期2014/6/3 Array ? 2014 绿盟科技

■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■版本变更记录时间版本说明修改人乔建 2013/3/10 V0.1 创建文档，内容包括：产品概述、产品架构、产品优势。 2013/3/11 V0.2 添加主要功能。卢梁 2013/3/12 V0.3 添加典型部署。卢梁李天武 2013/3/13 V0.4 添加引言、产品优势、客户利益，修改产品概述、产品架构、产品功能、典型部署。 2013/3/18 V0.5 添加实施与运营流程、总结李天武 2013/3/18 V0.6 修改产品体系架构图使用的软件细节李天武 2013/3/21 V0.7 修改部分文字描述、更新使用的图片李天武 2014/6/3 V1.2 更改产品与技术名称李天武

目录一. 引言 (1) 二. 绿盟WEB应用防护系统（可管理系列） (1) 2.1产品概述 (1) 2.2产品架构 (2) 2.3产品优势（技术优势&特色） (3) 2.4主要功能 (5) 2.5典型部署 (8) 2.6实施与运营流程 (8) 三. 客户利益 (10) 四. 总结 (11)

绿盟威胁分析系统产品白皮书

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■版本变更记录时间版本说明修改人 2013-10-10 V1.0 新建唐伽佳

目录一. 前言 (1) 二. 攻防的新特点 (2) 三. 攻防技术发展特点 (3) 四. 绿盟威胁分析系统 (4) 4.1体系结构 (6) 4.2主要功能 (6) 4.3部署方案 (10) 五. 结论 (10)

插图索引图 4.1 绿盟威胁分析系统体系架构 (6) 图 4.2 NSFOCUS TAC 虚拟执行过程图 (8) 图 4.3 NSFOCUS TAC SPAN和TAP部署方案 (10) 图 4.4 NSFOCUS NIPS（N系列）多链路防护解决方案......................................... 错误！未定义书签。

一. 前言如今，政府和企业同时面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站，或者使用DoS方式来中断网站的服务；而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益，也可以入侵、窃取客户的个人金融信息，更有甚者破坏对方的服务以至国家的基础设施。动机的变化，同时也带来了攻击方式的变化。从过去广泛、漫无目的的攻击威胁，在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁（Advanced Persistent Threat）。高级可持续威胁（APT）是由美国空军的信息安全分析师与2006年创造的术语，一般来说，高级可持续威胁具备以下三个特点：高级：攻击者为黑客入侵技术方面的专家，能够自主的开发攻击工具，或者挖掘漏洞，并通过结合多种攻击方法和工具，以达到预定攻击目标。持续性渗透：攻击者会针对确定的攻击目标，进行长期的渗透。在不被发现的情况下，持续攻击以获得最大的效果。威胁：这是一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标，这个团队训练有素、有组织性、有充足的资金，同时有充分的政治或经济动机。此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制，悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到，2011年发生的重大信息数据外泄的受访组织中，有59%是在相关执法机构告知后才知道信息外泄的情况。 Gartner在2012年的报告中说道：“越来越多的人同意APT攻击是可以避开我们传统的基于特征的安全检测机制，并且存在与系统内的时间越来越长，无法被侦测出来。威胁真的发生了，你已经被入侵，只是你不知道而已”。高级可持续威胁（APT）已经成为当今公认最具威胁的网络攻击类型。

绿盟NSF-PROD-WAF-V6.0-产品白皮书-V3.0

绿盟WEB应用防火墙产品白皮书【绿盟科技】 ■文档编号■密级完全公开 ■版本编号■日期 ■撰写人■批准人 ? 2014 绿盟科技

目录一. 概述 (3) 二. 关键能力 (3) 2.1客户资产视角 (3) 2.2优化的向导系统 (4) 2.3快捷的配置体系 (5) 2.4完整的防护体系 (5) 2.5细致高效的规则体系 (6) 2.6主动防护的代理架构 (7) 2.7领先的DD O S防护能力 (8) 2.8智能补丁应急响应 (8) 2.9辅助PCI-DSS合规 (9) 2.10高可用性 (10) 三. 典型部署 (10) 四. 典型应用 (11) 4.1网站访问控制 (11) 4.2网页篡改在线防护 (12) 4.3网页挂马在线防护 (12) 4.4敏感信息泄漏防护 (12) 4.5DD O S联合防护 (13) 4.6非对称链路防护 (13) 五. 附录 (14) 5.1客户资产定义 (14) 5.2规则体系定义 (14) 5.3常见W EB应用攻击 (15)

插图索引图表1策略实例 (3) 图表2资产分层及其防护层级 (4) 图表3向导体系过滤站点规则 (5) 图表4防护体系 (6) 图表5智能补丁 (9) 图表6WAF的典型部署 (11) 图表7绿盟WAF和绿盟ADS的DD O S联合防护方案 (13) 图表8站点的定义 (14) 图表9主机名的定义 (14) 图表10URI及相关字段的定义 (14)

绿盟网络入侵防护系统产品白皮书

绿盟网络入侵防护系统产品白皮书 ? 2011 绿盟科技

目录一. 前言 (2) 二. 为什么需要入侵防护系统 (2) 2.1防火墙的局限 (3) 2.2入侵检测系统的不足 (3) 2.3入侵防护系统的特点 (3) 三. 如何评价入侵防护系统 (4) 四. 绿盟网络入侵防护系统 (4) 4.1体系结构 (5) 4.2主要功能 (5) 4.3产品特点 (6) 4.3.1 多种技术融合的入侵检测机制 (6) 4.3.2 2~7层深度入侵防护能力 (8) 4.3.3 强大的防火墙功能 (9) 4.3.4 先进的Web威胁抵御能力 (9) 4.3.5 灵活高效的病毒防御能力 (10) 4.3.6 基于对象的虚拟系统 (10) 4.3.7 基于应用的流量管理 (11) 4.3.8 实用的上网行为管理 (11) 4.3.9 灵活的组网方式 (11) 4.3.10 强大的管理能力 (12) 4.3.11 完善的报表系统 (13) 4.3.12 完备的高可用性 (13) 4.3.13 丰富的响应方式 (14) 4.3.14 高可靠的自身安全性 (14) 4.4解决方案 (15) 4.4.1 多链路防护解决方案 (15) 4.4.2 交换防护解决方案 (16) 4.4.3 路由防护解决方案 (16) 4.4.4 混合防护解决方案 (17) 五. 结论 (18)

绿盟DNS专项防护产品-产品白皮书

绿盟DNS专项防护产品白皮书 ? 2011 绿盟科技

目录一. DNS是如何工作的 (3) 二. DNS相关的安全挑战 (5) 2.1DD O S分布式拒绝服务攻击 (5) 2.2DNS缓存投毒 (6) 2.3DNS服务器权限入侵 (8) 2.4DNS信息泄露 (8) 2.5其他DNS相关安全问题 (8) 三. 传统的DNS安全手段的不足 (9) 3.1安全加固 (9) 3.2系统扩容 (10) 3.3部署DNSSEC (10) 3.4防火墙 (11) 四. 绿盟科技DNS防护方案 (11) 4.2绿盟科技DNS专项防护产品 (11) 4.3核心原理 (13) 4.3.1 DNS专项DDoS防护模块 (13) 4.3.2 DNS投毒监控 (14) 4.3.3 安全域名缓存 (15) 4.3.4 DNS监控模块 (15) 4.4旁路部署方式 (15) 五. 结论 (16)

插图索引图 1.1 DNS基本原理图 (4) 图 2.1 DNS DDOS攻击示意图 (6) 图 2.2 DNS缓存投毒过程 (7) 图 2.3 DNS查询ID、端口信息 (7) 图 2.4 DRDOS攻击过程 (9) 图 4.1 DNS安全防护体系 (11) 图 4.2 DNS安全防护体系 (12) 图 4.3 DNS专项DDOS防护机制 (13) 图 4.4 DNS投毒监控机制 (14) 图 4.5 旁路部署方案 (16)

绿盟终端管理系统产品白皮书 (NSF-PROD-EPS-V5 6-WH)

绿盟终端管理系统产品白皮书 ? 2011 绿盟科技

目录一. 前言 (1) 二. 终端管理面临的挑战 (1) 三. 终端管理的必要性 (2) 四. 终端管理的基本要求 (3) 五. 绿盟终端管理系统 (4) 5.1体系架构 (4) 5.2产品功能 (6) 5.2.1 终端准入控制 (7) 5.2.2 终端数据保护 (8) 5.2.3 主机审计 (9) 5.2.4 终端安全管理 (9) 5.2.5 桌面管理 (10) 5.2.6 综合管理 (11) 5.3部署方式 (12) 5.4系统特性 (13)

插图索引图 5.1 NSFOCUS EPS系统架构图 (5) 图 5.2 NSFOCUS EPS管理模型图 (6) 图 5.3 NSFOCUS EPS移动存储设备管理架构图 (9) 图 5.4 单独部署拓扑图 (12) 图 5.5 分级部署拓扑图 (13)

一. 前言随着网络技术应用的不断深入，信息安全发展也进入到一个全新的时代。传统的安全解决方案把重点放在网络边界，往往忽略了来自网络内部的安全威胁。特别是在政府机关、保密部门、科研机构、银行与证券、企事业等单位的办公网、内部业务网、涉密网中的终端设备，安全管理非常薄弱，存在很大安全隐患。现有的安全措施没有发挥应有的作用，安全管理人员无法了解每个终端的安全状况，疲于奔命仍无法解决各种终端安全与管理问题。尽管有些单位制订了严格的安全管理制度，但是由于缺乏有效的技术手段，安全策略形同虚设，机密信息泄露、黑客攻击、蠕虫病毒传播等安全事件频繁发生，对内网安全提出了新的挑战。二. 终端管理面临的挑战根据CSI/FBI等权威机构公布的数据，超过85%的安全威胁来自企业内部，内网安全面临前所未有的挑战。我们将内部网络面临的挑战归纳为以下几个方面： ◆移动电脑随意接入、边界安全岌岌可危员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，很有可能已经成为携带有病毒或木马的感染源，未经审核就接入企业内部网络，对内部网络的安全构成巨大威胁。 ◆补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大由于网络内各种平台的主机和设备存在安全漏洞但没有及时安装最新的安全补丁，软件配置存在隐患，杀毒软件的病毒特征库更新滞后于新病毒的出现，都给恶意入侵者提供了可乘之机，使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内部网络全部陷于瘫痪，业务无法正常进行。 ◆缺乏有效的外设管理手段，数据泄密、病毒传播无法控制随着U盘、光盘、无线、蓝牙等外设的广泛使用，外部设备已经成为数据交换的主要途径，与此同时也成为近几年数据泄密、病毒感染的主要途径。已经感染病毒、木马的U盘随意插入终端、内部存有敏感数据的移动介质毫无保护地拿到外部使用，都给内部安全管理带来极大的挑战，单纯地封贴端口、制度要求均无法同时满足安全性与业务便利性的要求。

绿盟产品概览

绿盟产品概览 --营销部编制2014年5月15日序号缩写简称英文全称中文全称简介备注 1 RSAS NSFOCUS RSAS NSFOCUS Remote Security Assessment 绿盟远程安全评估系统漏洞管理产品，它高效、全方位的检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，并贴合安全管理流程对修补效果进行审计，最大程度减小受攻击面，是您身边专业的"漏洞管理专家" 2 BVS NSFOCUS BVS NSFOCUS Benchmark Verification System 绿盟安全配置核查系统采用高效、智能的识别技术，可以实现对网络资产设备自动化的安全配置检测、分析，并提供专业的安全配置建议与合规性报表 3 WVSS NSFOCUS WVSS NSFOCUS Web Vulnerability Scanning System 绿盟WEB应用漏洞扫描系统自动获取网站包含的相关信息，并全面模拟网站访问的各种行为，通过内建的"安全模型 "检测Web应用系统潜在的各种漏洞，同时为用户构建从急到缓的修补流程，满足安全检查工作中所需要的高效性和准确性。

4 WSM NSFOCUS WSM NSFOCUS WEB Security Monitoring System 绿盟网站安全监测系统能够根据站点管理者的监管要求，通过对目标站点进行不间断的页面爬取、分析、匹配，为客户的互联网网站提供远程安全监测、安全检查、实时告警，是构建完善的网站安全体系的最好补充 5 ADS NSFOCUS ADS NSFOCUS Anti-DDoS System 绿盟抗拒绝服务系统及时发现背景流量中各种类型的攻击流量，针对攻击类型迅速对攻击流量进行拦截，保证正常流量的通过 6 NF NF Next Firewall 绿盟下一代防火墙在用户网络边界建立以应用为核心的网络安全策略，通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视、可控、合规和安全，最终保障网络应用被安全高效的使用。 7 IDS NSFOCUS NIDS NSFOCUS Network Intrusion Detection System 绿盟网络入侵检测系统绿盟科技自主知识产权的安全产品，它是对防火墙的有效补充，实时检测网络流量，监控各种网络行为，对违反安全策略的流量及时报警和防护，实现从事前警告、事中防护到事后取证的一体化解决方案

绿盟科技;NSFOCUS的品牌资质分析报告

“绿盟科技;NSFOCUS”品牌资质分析报告尊敬的用户：随着经济全球化的深入发展，各市场领域的竞争已逐渐表现为品牌竞争。根据中国互联网络信息中心（CNNIC）公布的最新数据显示,中国网民规模已达8.02亿，互联网普及率57.7%。而网民规模增长的推动力正是由于互联网商业模式的不断创新以及线上线下服务融合的加速，因此，互联网时代的到来也意味着网络品牌标识的价值提升。习总书记不断强调知识产权战略的重要性，同时每年5月10日“中国品牌日”的确立也标志着品牌建设与保护已经刻不容缓。根据您查询的“绿盟科技;NSFOCUS”品牌，及“制造业-珠宝饰品,制造业-电子产品,文体娱乐-娱乐旅游,文体娱乐-影视广播,网络服务-软件开发,金融服务-网络金融”行业，绿盟科技;NSFOCUS的品牌分析报告如下：目录一、绿盟科技;NSFOCUS品牌商标分析 1、行业注册分析 1.1 制造业-珠宝饰品行业注册分析 1.1.1 制造业-珠宝饰品行业品牌注册量 1.1.2 绿盟科技;NSFOCUS品牌在制造业-珠宝饰品行业的主要注册情况 1.1.3 制造业-珠宝饰品行业下绿盟科技;NSFOCUS同名品牌的主要竞争对手 1.2 制造业-电子产品行业注册分析 1.2.1 制造业-电子产品行业品牌注册量 1.2.2 绿盟科技;NSFOCUS品牌在制造业-电子产品行业的主要注册情况 1.2.3 制造业-电子产品行业下绿盟科技;NSFOCUS同名品牌的主要竞争对手 1.3 文体娱乐-娱乐旅游行业注册分析 1.3.1 文体娱乐-娱乐旅游行业品牌注册量 1.3.2 绿盟科技;NSFOCUS品牌在文体娱乐-娱乐旅游行业的主要注册情况 1.3.3 文体娱乐-娱乐旅游行业下绿盟科技;NSFOCUS同名品牌的主要竞争对手 1.4 文体娱乐-影视广播行业注册分析 1.4.1 文体娱乐-影视广播行业品牌注册量 1.4.2 绿盟科技;NSFOCUS品牌在文体娱乐-影视广播行业的主要注册情况 1.4.3 文体娱乐-影视广播行业下绿盟科技;NSFOCUS同名品牌的主要竞争对手

绿盟大数据平台

绿盟大数据安全分析平台产品白皮书【绿盟科技】 ■文档编号■密级完全公开 ■版本编号V1.0 ■日期2015-11-03 ■撰写人胡喆骞■批准人 ? 2015 绿盟科技

目录 1.需求分析 (1) 1.1.安全现状 (1) 1.2.当前挑战 (1) 1.3.应对措施 (2) 2.产品定义 (3) 3.功能特点 (3) 3.1.安全态势分析 (4) 3.2.智能威胁防御 (4) 3.3.隐秘通道挖掘 (4) 3.4.用户行为分析 (5) 3.5.实时安全监测 (5) 3.6.攻击溯源取证 (6) 3.7.合规审计等等 (6) 4.产品特点 (7) 4.1.异构数据源 (7) 4.2.数据存储 (8) 4.3.计算引擎 (8) 4.4.可视化展现 (9) 4.5.安全应用扩展 (10) 4.6.SDK开发包 (10) 5.大数据技术应用 (11) 5.1.数据路由 (11) 5.2.数据存储 (11) 5.3.索引技术 (11) 5.4.安全可视化 (12) 6.系统环境 (12)

6.1.部署环境 (12) 6.2.接口说明 (13) 7.产品优势及特点 (13) 8.产品的客户价值 (14)

1. 需求分析 1.1.安全现状随着互联网以及周边网络产品的发展，信息安全越来越受到重视，“棱镜门”事件爆发后，信息安全不仅引起了企业领导的重视，更引起了国家领导人的广泛关注。在这种背景下，企业无论是出于对自身利益的考虑，还是对于社会责任的角度，都已经开始构建更为丰富的内部安全系统。这些系统不仅涵盖基本的防火墙，入侵检测、防病毒；还包括目前主流的上网行为审计，堡垒机系统，数据库审计系统，网站防火墙系统；以及符合最新攻击的特征的，如抗拒绝服务系统，高级持续性威胁防御系统等。这些专业的安全防护设备逐渐达到了企业的防护屏障，从多个不同的角度满足了企业的安全防护需求。随着科技的不断进度，针对企业内部的攻击行为也逐渐变得更为难以捕获。这种情况在现今表现的尤为突出，以HackingTeam被攻击导致安全工具泄露为例，其直接导致地下黑客产业向前推进5-10年。在这样严峻的安全风险面前任何现有的安全设备都难以应对，需要通过较为复杂的安全分析方能挖掘出隐秘在企业内部的安全事件。 1.2.当前挑战单纯的安全防护已经很难应对如此复杂的安全环境。目前在高级恶意程序已经逐渐成为主流的情况下，隐秘通道也已经开始向企业内部逐渐渗透。具不完全统计，目前各种安全事故层出不穷手段不断翻新，已知的手段包括有非授权访问，远程代码执行，权限绕过，SQL注入，DNS劫持，DDoS攻击，账户劫持，恶意程序，DNS缓存入侵，重定向，涂鸦，系统漏洞等。这些手段不断威胁着我们的信息系统，被攻击的企业已经从耳熟能详的超大型企业逐渐转向大企业、中型企业等。企业中任何存有数据的系统都已经变为攻击者眼中的目标。企业中保存的员工数据、财务数据、客户数据、甚至考勤数据都已经变得炙手可热。而每起安全事故的发生、数据的泄露都是隐藏在网络数据的海洋中，企业中的安全管理人员难以发现。安全事件都是在发生