明御WEB应用防火墙产品简介
明御WAF产品介绍--技术篇.ppt
2008-2009
2009-2010
2011
V1
V2
V3
标准
发布国内首款 异常检测WAF
发布国内首款 透明代理WAF
发布多核高 协助起草公安部 性能WAF版本 WAF检测标准
协助起草认证中心 WAF检测标准
WEB应用安全和数据库安全的领航者
首批通过权威机构测评认证
WEB应用安全和数据库安全的领航者
安全隐患源于容器自身安全
平台隐患
Trs、动易、织梦 Joomla!、Ewebeditor
WEB应用安全和数据库安全的领航者
为此安全问题层出不穷
各种注入 各种跨站 会话劫持 各种绕过 扫描猜测后台 上传漏洞 文件包含 信息泄漏 apache ddos漏洞 CC攻击
公司致力于WEB应用安全整体解决方案的研发,是国内最早从事WEB 应用防火墙研发,经历4年的研发产品已经成熟并广泛应用于800余个政 府单位、60余家金融机构、400余家企事业单位。
目前已经成功应用于网上银行、网上营业厅、大型证券交易、电子商 务、省级电子政务、大型能源等重要WEB系统中。
2007-2008
WEB应用安全和数据库安全的领航者
16
使网站更安全
WEB应用安全和数据库安全的领航者
17
纵深WEB安全防御
70%
的 威 胁 来 自 应 用 层 30%
应用内容层
应用程序层
应用服务层 网络层 链路层
内容提交与响应检测
安全白名单技术 通过自学习生成网站定制化策略 对正常请求快速转发未知请求深入清洗
WEB应用安全和数据库安全的领航者
安全隐患源于程序设计
用户访问处理
安恒信息明御WEB应用防火墙产品白皮书
安恒信息明御WEB应用防火墙产品白皮书一、产品概述在当今数字化的时代,Web 应用已经成为企业和组织开展业务的重要窗口,但同时也面临着日益严峻的安全威胁。
为了有效保护 Web 应用的安全,安恒信息推出了明御 WEB 应用防火墙(以下简称“明御WAF”)。
这一强大的安全防护产品旨在为企业的Web 应用提供全面、精准和高效的安全防护,抵御各类网络攻击,保障业务的稳定运行。
明御 WAF 采用了先进的技术架构和智能的防护策略,能够实时监测和分析 Web 应用的流量,快速识别并拦截各种恶意攻击行为,如SQL 注入、跨站脚本攻击(XSS)、Web 应用扫描、恶意爬虫等。
同时,它还具备强大的 Web 应用漏洞防护能力,能够及时发现和修复应用中的安全漏洞,有效降低安全风险。
二、产品功能1、攻击防护明御 WAF 具备强大的入侵检测和防御功能,能够准确识别并拦截常见的Web 攻击,如SQL 注入、XSS 攻击、命令注入、文件包含等。
通过实时监测 Web 流量,对请求进行深度分析,及时发现和阻止恶意攻击行为。
针对 DDoS 攻击,明御 WAF 提供了有效的防护机制,能够识别和过滤异常流量,保障 Web 应用在遭受攻击时仍能正常运行。
对 Web 应用扫描行为进行检测和拦截,防止攻击者通过扫描获取应用的敏感信息和漏洞。
2、漏洞防护能够对 Web 应用中的常见漏洞进行检测和防护,如缓冲区溢出、目录遍历、权限提升等。
通过实时更新漏洞库,确保对最新漏洞的有效防护。
提供漏洞修复建议,帮助用户及时修复应用中的安全漏洞,提高应用的安全性。
3、访问控制支持基于 IP 地址、用户身份、访问时间等多种因素的访问控制策略,实现精细化的访问管理。
对 Web 应用的 URL 进行访问控制,限制未授权的访问和操作。
4、数据安全防护对敏感数据进行识别和加密,保障数据在传输和存储过程中的安全性。
防止数据泄露,对数据的输出进行严格的控制和过滤。
5、应用加速通过缓存、压缩等技术,提高 Web 应用的响应速度和性能,改善用户体验。
明御WEB应用监控审计系统白皮书
明御WEB应用监控审计系统白皮书一、基于WEB的企业关键应用面临的安全挑战随着互联网技术的迅猛发展,许多企业的关键业务活动越来越多地依赖于WEB应用,在企业向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。
主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗。
然而与之形成鲜明对比的却是:现阶段的安全解决方案无一例外的把重点放在网络安全层面,致使面临应用层攻击(如:针对WEB应用的SQL注入攻击、跨站脚本攻击、恶意文件包含等等)发生时,传统的网络防火墙、IDS/IPS等安全产品形同虚设。
在如此众多因素的综合影响下,使得Web应用潜在的隐患越来越频繁的暴露在互联网之下。
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI 缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。
据OWASP(开放式 WEB应用程序安全项目)2007年上半年发布的10大WEB应用脆弱性排名显示,“跨站脚本攻击、注入式攻击、不安全的远程文件包含”已经成为影响 WEB应用安全的首要问题。
而在国内,据国家计算机网络应急技术处理协调中心的统计数据显示,2007年上半年中国的互联网安全状况仍不容乐观,各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。
攻击者的目标明确、趋利化特点明显,针对不同网站所采用的攻击手段不同,对于政府类或安全管理相关网站,攻击者主要采用篡改网页、放置恶意代码等攻击形式,干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或企业形象,严重的导致网站被迫停止服务。
对于个人用户,攻击者更多的是通过用户身份窃取(如:利用间谍软件和木马程序等)手段,偷取用户游戏账号、银行账号、密码等,窃取用户的私有财产。
明御WEB应用防火墙用户操作手册V26
明御WEB应用防火墙用户操作手册V26介绍明御WEB应用防火墙(以下简称WAF)是一种用于保护Web应用程序的网络安全设备。
它通过监控Web应用流量和阻止恶意请求来保护Web应用程序。
本手册旨在介绍如何使用明御WAF来保护您的Web应用程序。
安装和配置在安装和配置WAF之前,请确保您具有管理员权限,并已备份您的Web应用程序数据。
下载在明御官网下载最新版本的WAF软件,并按照提示进行安装。
配置安装完成后,打开WAF软件并按照以下步骤进行配置:1.登录WAF的控制台,输入用户名和密码。
2.在控制台中,单击“添加Web应用程序”按钮。
3.输入Web应用程序的名称以及Web应用程序的URL。
4.根据您的需求配置规则,例如阻止特定IP地址和URL的流量。
5.单击“保存”。
启用WAF在完成安装和配置后,您需要将WAF启用并开始保护Web应用程序:1.在WAF控制台中,选择需要保护的Web应用程序。
2.单击“启用WAF”按钮。
3.配置HTTPS代理,使WAF能够保护HTTPS流量。
4.测试Web应用程序是否正常工作,并确保WAF已经开始保护您的Web应用程序。
使用指南使用WAF保护Web应用程序时,您需要了解以下内容。
监控和日志WAF实时监控Web应用程序的流量,并记录每个请求的详细信息。
您可以通过以下方法查看流量信息和日志记录:1.在WAF控制台中,单击“流量监控”选项卡。
2.查看每个请求的详细信息,包括请求方法、URL、IP地址等。
3.在“日志”选项卡中查看日志记录,包括拦截事件、错误事件和安全事件等。
防护规则WAF使用一系列防护规则来保护Web应用程序免受恶意请求的攻击。
您可以根据您的需求配置防护规则:1.在WAF控制台中,选择需要保护的Web应用程序。
2.单击“防护规则”选项卡。
3.根据您的需求添加、编辑或删除防护规则。
访问控制除了防护规则,WAF还支持访问控制功能,以限制特定IP地址或用户对Web 应用程序的访问:1.在WAF控制台中,选择需要保护的Web应用程序。
网御防火墙介绍
网御防火墙介绍网御防火墙产品功能介绍产品优势智能的VSP通用安全平台网御防火墙安全网关采用创新的架构平台VSP(Versatile Secure Platform)通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。
VSP通用安全平台示意图高效的USE统一安全引擎网御防火墙采用自主创新设计的USE(Uniform Secure Engine)统一安全引擎。
它将状态检测、协议检测、深度过滤、应用过滤、用户认证等多个子系统进行综合集成,去除了冗余操作,简化了数据处理流程,提高了防火墙的系统处理性能,实现了功能上的可扩展性。
同时也实现了多种安全功能独立安全策略的统一配置,可以方便用户构建可管理的等级化安全体系,从而实现面向业务的安全保障。
USE统一安全引擎示意图高可靠的MRP多重冗余协议网御防火墙通过在物理层、链路层、网络层以及主机层面提供多元化冗余方案,保障用户网络和应用的高可靠性。
包括基于多出口负载均衡的链路备份、基于802.3ad标准的端口聚合、基于状态自动探测的双机热备、基于状态增量同步的多机集群。
2个都用SuperV-7318的图片代替MRP多重冗余解决方案示意图完全内容过滤防火墙网御防火墙基于内容增量检测(CID)技术以及摘要索引内容加速算法(DCA算法)突破了传统的包重组/流重组的内容过滤方式,解决了包重组/流重组消耗大量系统资源的问题,在保证应用安全的同时,大幅提升防火墙应用层的处理性能,在不牺牲系统性能的前提下,率先实现完全内容过滤型防火墙。
功能类功能描述别系统架采用专业的架构平台与VSP通用安全平台构可过滤邮件病毒、文件病毒、恶意网页代码,实现对blaster,nachi,nimda,redcode,sasser,防病毒slapper,sqlexp,zotob等主流蠕虫病毒的过滤和拦截功能采用国产防病毒厂商的病毒特征库,可检测不少于30万种病毒,支持根据用户需求自定义病毒特征。
安恒明御WAF防火墙配置管理功能指南
Step 2:将HTTP响应头操作功能开启后,用户使用IE浏览器访问服务器,并使用httpwatch进行抓 包,查看响应头没有Server头信息。
接入的链路,举例需要保护的IP地址为192.168.25.139,端口为80,选择的策略规则组为“预 设规则”,接入的链路为“Protect1”,然后点击保存。
11
保护站点配置——域名支持
同一IP+PORT下可能会对应多个域名,WAF可以实现对这多个域名进行防护,同时也 可以针对不同的域名采用不同的策略规则组。
34
保护站点配置——防篡改配置及验证
Step 4:通过浏览网页,学习一段时间后,选择“配置”——“防篡改”点击下载被保护URL列表, 查看是否有学习到需要被保护的URL,如果学习到URL,则说明该URL的内容已经缓存到WAF本 地。
35
保护站点配置——防篡改配置及验证
Step 5:在服务器端篡改http://192.168.25.45/login.php该页面的内容。 Step 6:首先将防篡改的“学习模式”切换为“保护模式”,然后客户端再次访问 http://192.168.25.45/login.php页面,查看返回的页面内容是否发生篡改,同时选择“日志”— —“防篡改日志”查看是否有篡改日志生成。
12
保护站点配置——智能防护原理 智能防护
客户端IP在一定时间内触发某级别的规则超过预设的次数,WAF将会锁定该客 户端IP地址并进行告警,锁定的客户端IP将无法访问保护站点。
安恒信息明御WEB应用防火墙产品白皮书
WEB应用系统随着应用需求不同而千变万化,对应用的防护和安全识别提出了高的要求,因此应用环境中对WEB应用防火墙的接入需要经过深入的分析和调研才能实现。针对一些大型的业务系统,特别是对业务连续性有较高要求的行为如电信运营、金融证券、社会保障等需要不中断对外服务的应用系统对部署WAF产品是一个极大的挑战。
如果实现部署WAF前期的准备或者让WAF工作在监测模式下而不影响正常的业务是大型应用系统的一个钢性需求。安恒WAF产品独创的镜像监控模式彻底解决这个难题,安恒WAF产品支持端口镜像和串接镜像两种方式实现对数据包的分布,对安全的监测,端口镜像模式下仅需将监测流量镜像至WAF即可,而不会影响网络和应用系统;串接镜像时将WAF串接入需要监测的环境,此时WAF会自动复制一份数据包进行监测,也不会影响原有的网络及应用。
安恒WAF能完全的中止所有的会话,因此用户无法直接连接到Web服务器上,无法直接访问服务器、操作系统或补丁程序。访问出错信息也将由安恒WAF提供,后端服务器的出错信息不会直接返回给用户。这样,避免了服务器敏感信息泄露,也同时让一些高明的黑客就无法通过出错信息发动攻击。
5.3.
安恒WAF实时监测网站服务器的相关是否给非法更改,一旦发现被改则第一时间通知管理员,并形成详细的日志信息。与此同时,WAF系统将对外显示之前的正确页面,防止被篡改的内容被访问到。
4.
安恒WAF提供高效的Web应用安全边界检查功能。安恒WAF整合了Web安全深度防御及站点隐藏等功能,能全方位的保护用户的Web数据中心。通过对对所有Web流量(包括客户端请求流量和服务器返回的数据流量)进行深度检测,提供了实时有效的入侵防护功能。安恒WAF充分考虑用户已有环境的差异性,对环境兼容性、应用多样性进行了深入的分析和总结。
安恒明御WAF防火墙策略管理功能指南
规则引擎——设置开启、仅检测、禁用
默认WAF出厂规则引擎设置为仅检测,设备跑一段时间之后,调整完策略规则,需要将 规则引擎设置为开启状态
7
黑名单技术——响应包正文内容检测 问题现象
服务器返回的页面中含有敏感信息,WAF却不能阻断?
问题原因
默认WAF并没有开启对响应包内容的检测,因此对于服务器返回页面中含有 敏感信息的问题,WAF是不能阻断的。
Step 2:将浏览器下拉至“全局URL白名单”模块,添加需要放行的URL,然后点击保 存并点击右上角的应用更改按钮。
13
黑名单技术——单条规则URL白名单配置
Step 1:选择“策略”—“规则组”,选中需要添加URL白名单的规则组,比如预设规 则组,选择相应的策略规则组,如注入攻击中的SQL注入攻击,然后选中一条规则,点 击配置
14
黑名单技术——单条规则URL白名单配置
Step 2:在URL白名单中添加需要放行的URL
15
2、自定义规则
自定义规则是指明御WAF可根据用户对于安全的需求自行添加规则,可基于不同 条件组合,如HTTP头部各字段、URL地址、post内容、文件类型等字段,实现复杂 的规则需求,并设置阻断、放行、重定向等多种策略动作。 注:默认自定义规则的优先级是高于系统策略规则,不过优先级是可以调整的。
指域名或主机名。
如Content-Type: application/x-www-formurlencoded,指设置表单的格 式是URL编码
探索引擎在爬行网站时也会带 上自己的User-agent信息,如 Google的爬虫会带上 googlebot信息
指传输编码,如chunked
指post提交时的报文长度
21
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12 WEB 负载均衡 因单台服务器可能存在单点故障的情况,从而实现了网站不
间断服务
对网站的访问情况进行统计分析呈现即时访问量趋势图、用
户最关注的网页、访问者最集中的地市区域等信息,便于分 13 站点访问审计
析网站的业务模块的访问情况,并为业务功能的价值提供评
价参考
3. 产品特点
序号 产品特点
描述
各行业针对 WEB 应用系统都有着明确的合规性要求,如国务院办
Paros proxy 、 WebScarab 、 WebInspect 、 Whisker 、
抗 WEB 扫描器扫
4
libwhisker 、 Burpsuite 、 Wikto 、 Pangolin 、 Watchfire
描
AppScan 、 N-Stealth 、 Acunetix Web Vulnerability
性
了常规 WEB 应用防火墙存在的这个问题。
多协议支 HTTP 0.9、 HTTP1.0 、HTTP1.1
11
持
WEB 2.0 应用、WAP 协议、 xml 应用、webdav 应用
领先的应用安全及数据库安全整体解决方案提供商
杭州安恒信息技术有限公司
第 6 页 共 12 页 杭州总部电话:+86-0571-28860999
【文档密级:完全公开】
明御®WEB 应用防火墙
(WEB Application Firewall) 产品简介
杭州安恒信息技术有限公司 二〇一二年五月
明御 WEB 应用防火墙产品简介
【文档密级:完全公开】
目录
1. 发展历程.................................................................................................................3 2. 产品功能.................................................................................................................3 3. 产品特点.................................................................................................................5 4. 产品规格.................................................................................................................7 5. 典型应用.................................................................................................................7
应用防火墙市场占有率前三强 2011 年受国际 OWASP 组织委托起草《OWASP WEB 应用防火墙检测基准》 2011 年受中国信息安全认证中心委托起草《中国信息安全认证中心 WEB 应用
防火墙检测标准》
2. 产品功能
序号 技术功能
功能价值
领先的应用安全及数据库安全整体解决方案提供商
杭州安恒信息技术有限公司
1. 发展历程
2007 年发布国内首款透明代理 WEB 应用防火墙引领 WEB 应用防火墙行业的发 展
2008 年明御 WAF 广泛应用于政府、企事业单位的门户网站防护 2008 年明御 WAF 以国内首款应用于金融行业核心交易系统 2009 年发布多核高性能 WEB 应用防火墙成为国内首款并发超过 10 万的 WEB
公厅 40 号文《加强对政府网站的管理的通知》,公安部等级保护
相关要求、人民银行《网上银行系统信息安全通用规范》、上市 1 安全合规
企业 PCI DSS 规范均要求 WEB 业务系统部署 WEB 防火墙,且对 WEB
防火墙的功能提出了明确的要求。而明御 WEB 应用防火墙完全满
足上述要求,并提供了更为丰富适用的扩展功能.
领先的应用安全及数据库安全整体解决方案提供商
杭州安恒信息技术有限公司
第 5 页 共 12 页 杭州总部电话:+86-0571-28860999
明御 WEB 应用防火墙产品简介
【文档密级:完全公开】
务器版本、CMS 等提供特需的防护。
产品采用业界最领先的透明代理技术,对网络及应用透明,对现
详细安全 息,如请求的 URL、POST 内容、响应头部、页面内容等,为安全 5
日志 事件分析、安全事件追溯以及安全取证等提供了最为直接的依
据。
基于 URL 级别的请求阻断,不影响用户对业务的正常访问;
多种安全
6
提供请求者黑名单,限制攻击者的持续攻击行为;
防御措施
响应伪装,挫败恶意攻击行为。
支持全透明部署、单臂模式部署、牵引模式部署、网关模式等多
部署模式
7
种部署方式,从而能广泛的应用于政府、金融、运营商、教育、
灵活
企业等众多复杂多变的网络环境。
通过自定义规则的组合条件,可以实现虚拟补丁功能,攻击者利
8 虚拟补丁 用业务系统的漏洞时将被 WEB 应用防火墙阻断,从而实现不间断
服务情况下缺陷的快速修复,并为软件修复赢得充足时间。
通过虚拟主机功能实现公网 IP 地址的节省,更为重要的是隐藏 9 虚拟主机
静态网页篡改防
10
篡改的要求,明御 WAF 内置了静态网页篡改防护与预警功
护
能,防止篡改的页面显示到用户端并将篡改事件及时告警
采用 WebCache 技术对防护的网站进行加速,通过对静态文
11 WEB 应用加速 件的缓存技术,动态请求的 TCP 连接复用技术实现了网站访
问速度的提升
通过 WAF 实现对防护站点的轻量级负载均衡,有效的缓解了
防止恶意言论提
6
提交信息进行过滤,有效的解决了用户提交政冶敏感、违反
交
法规相关的言论信息,从而保障网站的内容健康呈现。
基于 URL 级别的访问频率统计,并通过访问行为建模检测出
7 CC 攻击防护
CC 攻击的来源,对 CC 攻击者采取限时锁定措施从而有效措 施来自外网的 CC 攻击行为,该功能还可有效解决因验证码
5.1. 核心业务系统 ..............................................................................................7 5.2. 门户网站 ......................................................................................................8 5.3. 电子商务 ......................................................................................................9 6. 典型客户.................................................................................................................9
应用防火墙 2009 年明御 WAF 成功应用于国内流量最大的移动网上营业厅 2010 年明御 WAF 成功入围中央政府采购协议供货商 2010 年受公安部三所委托起草《公安部信息安全检测中心 WEB 应用防火墙检
测标准》 2010 年明御 WAF 被国际权威咨询机构 Frost & Sullivan 评选为亚太区 WEB
3 易用性好 有环境零改动。产品特征库经过安全专家的深入测试和众多用户
场景的实际应用,具有极低的误判率。
产品能自动分析和检测实时面临的安全威胁,当防护站点受到攻
安全态势
4
击时自动将安全事件告知主管人员,从而管理人员能在第一时间
实时告知
采取相应的安全措施。
产品工作在应用层,能详细的记录 HTTP 协议相关的任何攻击信
明御 WEB 应用防火墙产品简介
【文档密级:完全公开】
4. 产品规格
型号
WAF-200AG
规格
1U
网口数量
4
网口可扩展
NA
WAF-500AG 2U 6 支持
WAF-1000AG WAF-3000AG
2U 6 支持
2U 6 支持
网口类型
电口
电口/光口
电口/光口 电口/光口
电源
单电源
单电源/(冗余 1+1 冗余电源 1+1 冗余电源
第 3 页 共 12 页 杭州总部电话:+86-0571-28860999
明御 WEB 应用防火墙产品简介
【文档密级:完全公开】
系统内置了 30 余类的通用 WEB 攻击特征有效的防御来自外
防护 30 余类 部的如 SQL 注入、文件注入、命令注入、配置注入、LDAP 1
真实服务器,从而提升网站的安全防护水平。
WEB 核心业务系统大多采用了 SSL 加密以及 CDN 加速技术,由于
电子商务
上述技术的引入导致网络层 IP 地址的变化,普通 WEB 应用防火
电子政务
10
墙无法识别真实的访问者 IP,应用层的访问控制措施也无法实
环境兼容
施。明御 WEB 应用防火墙采用应用层的 HTTP 数据挖掘技术解决
以安恒安全研究院的技术实力为依托,具有 OWASP 所描述的 WEB10