基于业务的深度WEB监控机制

深信服虚拟化Web应用防火墙云WAF 用户手册产品版本8.0.28文档版本 01发布日期2021-03-12深信服科技股份有限公司版权所有©深信服科技股份有限公司 2020。

保留一切权利。

除非深信服科技股份有限公司（以下简称“深信服公司”）另行声明或授权，否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权（包括但不限于版权、商标权、专利权、商业秘密等）及相关权利，均归深信服公司或其关联公司所有。

未经深信服公司书面许可，任何人不得擅自对本文件及其内容进行使用（包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等）。

注意您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

前言关于本文档本文档针对深信服虚拟化Web应用防火墙产品，介绍了云WAF的架构、特性、安装和运维管理。

产品版本本文档以下列产品版本为基准写作。

后续版本有配置内容变更时，本文档随之更新发布。

读者对象本手册建议适用于以下对象：⚫网络设计工程师⚫运维人员符号约定在本文中可能出现下列标志，它们所代表的含义如下。

在本文中会出现图形界面格式，它们所代表的含义如下。

修订记录修订记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内容。

资料获取您可以通过深信服官方网站获取产品的最新资讯：获取安装/配置资料、软件版本及升级包、常用工具地址如下：深信服科技深信服技术服务技术支持用户支持邮箱：*******************.cn技术支持热线电话：400-630-6430（手机、固话均可拨打）深信服科技服务商及服务有效期查询：https:///plugin.php?id=service:query意见反馈如果您在使用过程中发现任何产品资料的问题，可以通过以下方式联系我们。

XXXX WAF安全解决方案XXXX公司目录1项目背景11.1网络现状分析11。

2W EB安全现状分析12安全风险及需求分析22。

1安全风险分析23网站防护方案设计33.1实现目标33.2设计原则33。

3参考标准43。

4总体设计方案44产品部署方案44.1产品选型44.2产品部署示意图54。

3详细部署介绍54。

4部署后可达到的效果55XXXX WAF网站保护系统主要功能75。

1漏洞防护75。

2攻击防护75。

3网页代码检查75。

4访问加速75.5访问分析75。

6挂马检测85.7XXXX WAF技术优势86XXXX售后服务体系86.1服务团队96。

2服务能力96.3服务项目96。

3。

1技术咨询服务96.3.2远程协助服务106。

3。

3产品重部署支持106.3。

4产品升级服务106.3.5产品保修服务10 6。

3.6产品维修服务10 6.3。

7培训服务111项目背景我国互联网用户规模也快速增长，网络基础设施的迅速发展为互联网取得成功提供了坚实的基础，电子商务和电子政务等网络技术的应用和普及不仅给人们的生活带来便利，而且正在创造着巨大的财富。

截至2008年底，中国网站数量已经增长至287万个，网页数增长至160.9亿个,提供WEB服务的主机成为黑客攻击的新对象。

在利益的驱使下,网站挂马成为黑客产业链上的重要环节，黑客对WEB服务器进行病毒植入、恶意删除文件、数据篡改和窃取等恶意侵入，给企业和政府核心业务造成严重的破坏。

利用网站传播木马和病毒涉及的受害群体范围广，并且有可能在用户不知情的情况下成为黑客的傀儡主机，被黑客利用进行更深一步的犯罪行为。

1.1网络现状分析组织机构名称通过经过多年的建设，XXXX已经形成了比较完善的局域内网、DMZ区外网业务网络。

内网是内部办公网，使用防火墙、IPS等安全设备对互联网进行隔离保护.DMZ区外网业务网络是对外部提供Web服务的网络区域,使用防火墙进行DMZ区隔离保护，同时部署了IPS进行安全防护。

守正创新构筑多层次数据安全防护饨系文II浙商银行金融科技部总经理杨国正i杨国正现任浙商银行金融科技部总经理，主要负责企 业级面向服务信息架构谉系、区块链及物联网 等技本平台、平台化金融服务产品等系统规划建设，在金融科技应用、产业链金融产品创新、数据治理等领域具有丰富的管理和实践经验,多次获得人民银行科技发展奖。

字经济时代席卷而来，数据作为战略性新兴生产要索，对生产力发展 产生屯要驱动作用和深远彩响，随之而来 的数据安全、个人隐私保护风险已成为数 字经济安全的核心问题。

新冠疫情加速经 济社会数字化进程，金融业数据呈爆发式 增长，进一步加剧了金融数据共享与安全 矛盾浙商银行以数据分级分类管理为先 导，构建基于数据安全竹理、安全技术防 护和安全运营的数据安企保障体系，不断 提升金融数据和个人金融信总安余保护能力，守住数字时代的“安企底线”，全面解放数据要素生产力。

建立数据分级分类管理机制浙商银行贯彻落实《金融数据安全数据安全分级指南》，制定了《浙商银行数据安全分级分类规范》，实施“数据安企三不同策略”，即对不同等级的数据在不同应用场景下实施不同类型的防护措施，奠定数据安全保护体系建设基础，合理分配数据安全保护资源和成本，实现数据安全保护与开放共享的-f•衡优化。

推进数据安全保障体系建设浙商银行以“数据使用更安全”为目标，以“数据分级分类tr理、角色授权管观、场景化安金1钟丨丨”为核心H念，违立了以数据安全管理体系、技术体系和运营体系为架构的全行数据安全保障体系^1.数据安全保护管理体系。

一是健伞制度体系：认真落实国家法律法规和行业监管规则，建立了贯穿数据全生命周期的制度体系，纵向上涵盖体系规划、管理办法、实施细则和操作规范等层级，横向上覆盖信息安全、个人金融信息管理、生产数据管理、对外数据合作1T理、外部数据管理、终端安全管理、涉密资源管理、应急管理等内容，并持续完善风险评估》检测认证等流程机制，强化数据安全的精细化管理，二是明确主体责任：建立党委领导下的网络安全工作责任制，明确了网络安令、数据安全“一把手”负责制。

深信服上网行为AC-5000 管理设备功能1) 控制功能：细致的访问控制，有效管理用户上网对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。

对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。

AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

上网行为的管理必须以识别为基础。

SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

表1：访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构，支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类；关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤；可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件；可控制哪些用户使用哪些邮箱外发邮件；附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱（如Gmail）识别和控制Webmail 控制可限制指定用户使用指定Webmail ； 基于正文关键字过滤用户的Webmail 行为； 延迟审计支持延迟缓存外发邮件，人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email 等） IM 控制 可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件；并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组，并支持强制继承，即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理；对HTTP/HTTPS端口中封装的其他协议进行封堵；可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长；支持对用户上网时长进行统计2 带宽及流量管理功能：强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。

深信服网络安全监测解决方案背景与需求分析网络安全已上升到国家战略，网络信息安全是国家安全的重要一环，2015 年 7 月 1 号颁布的《国家安全法》第二十五条指出：加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。

国家《网络安全法》草案已经发布，正式的法律预计不久后也会正式颁布。

保障网络安全，不仅是国家的义务，也是企业和组织机构的责任。

对于企业来说，保障网络信息安全，防止网络攻击、网络入侵、网络窃密、违法信息发布，不仅能维护自身经济发展利益，还能避免法律风险，减少社会信誉损失。

Gartner 认为，未来企业安全将发生很大的转变，传统的安全手段无法防范 APT 等高级定向攻击，如果没有集体共享的威胁和攻击情报监测，将很难多方位的保护自己网络安全。

因此过去单纯以被动防范的安全策略将会过时，全方位的安全监控和情报共享将成为信息安全的重要手段。

因此，仅仅依靠防护体系不足以应对安全威胁，企业需要建立监测机制，扩大监控的深度和宽度，加强事件的响应能力。

安全监测和响应能力将成为企业安全能力的关键，在新的安全形势下，企业需要更加关注威胁监控和综合性分析的价值，使信息安全保障逐步由传统的被动防护转向“监测-响应式”的主动防御，实现信息安全保障向着完整、联动、可信、快速响应的综合防御体系发展。

然而，传统的网络安全设备更多关注网络层风险及基于已知特征的被动保护，缺乏对各种系统、软件的漏洞后门有效监测，缺乏对流量内容的深度分析及未知威胁有效识别，不具备多维全面的安全风险监测响应机制，已不能满足新形势下网络安全的需求。

深信服网络安全监测解决方案深信服创新性的推出了网络安全监测解决方案，该方案面向未来的安全需求设计，帮助企业实现多层次、全方位、全网络的立体网络安全监测。

该方案主要采用了深信服下一代防火墙NGAF 作为监测节点，通过对应用状态、数据内容、用户行为等多个维度的全方位安全监测，并结合深信服云安全中心海量威胁情报快速共享机制，帮助企业构建立体化、主动化、智能化综合安全监测防御体系，有效弥补了传统安全设备只能防护已知常规威胁的被动局面，实现了安全风险全面识别和快速响应。

基于DPI的网络精细化管控技术研究左卫【摘要】The traditional DPI technology is often used in the field of network security. At present, owing to the development trend of DPI technology, it is extemely urgent to make the research of the DPI technology applies in network management. This paper intro￣duces the key technologies such as the DPI and IP service control, and proposes the architecture of DPI-based fine control of network.%传统DPI技术通常被应用在网络安全领域。

目前,DPI技术的发展态势使得对于DPI技术在网管方面的应用的研究迫在眉睫。

本文介绍了DPI技术和IP业务控制等关键技术,并提出了基于DPI的网络精细化管控技术架构。

【期刊名称】《信息安全与通信保密》【年(卷),期】2015(000)001【总页数】5页(P90-94)【关键词】网络精细化管控;DPI;业务控制【作者】左卫【作者单位】海军驻成都地区通信军事代表室成都610041【正文语种】中文【中图分类】TN918.91目前的通信网网管技术手段只能对网元进行粗粒度管理,对应用业务的管理手段极为欠缺,随着网络规模的日益扩大和业务的不断增多,对网络进行精细化管控的要求迫在眉睫。

目前,在网络的精细化管理方面具有如下需求:根据不同等级的QoS需求,基于应用的业务等级提供相应等级的带宽;能够在网络通路上在第一时间拦截异常流量,避免异常流量对网络造成破坏性影响; 可以深入了解哪些应用占用(P2P/WEB TV/流媒体/IM/Games等)了整个网络带宽由,热点区域、应用、用户是哪些;通过灵活的带宽管理机制,如带宽整形、限速、提速、封堵、QoS管理等,来限制“低价值、高消耗”的用户和业务,从而有效地保障关键用户、关键业务,提高带宽使用的性价比,提升用户感知;通过透视全网各种业务的带宽占用、抖动、延时等QoS指标,能够精确定位QoS劣化点。

1 DPI技术介绍1.1 DPI技术产生的背景近年来，网络新业务层出不穷，有对等网络（Peer-to-Peer，简称P2P）、VoIP、流媒体、Web TV、音视频聊天、互动在线游戏和虚拟现实等。

这些新业务的普及为运营商吸纳了大量的客户资源，同时也对网络的底层流量模型和上层应用模式产生了很大的冲击，带来带宽管理、内容计费、信息安全、舆论管控等一系列新的问题。

尤其是P2P、VoIP、流媒体等业务，当前P2P业务的流量已的，这打破了以往“高带宽、低负载”的IP网络QoS提供模式，在很大程度上加重了网络拥塞，降低了网络性能，劣化了网络服务质量，妨碍了正常的网络业务的开展和关键应用的普及。

同时，P2P的广泛使用也给网络的信息安全监测管理带来了极大的挑战。

由于P2P流量的带宽吞噬特性，简单的网络升级扩容是无法满足运营商数据流量增长需要的，加上网络设备缺乏有效的技术监管手段，不能实现对P2P/WEB TV等新兴业务的感知和识别，导致网络运营商对网络的运行情况无法有效管理。

传统的网络运维管理，往往通过设备网管实现对网元级的管理，后来发展至网络级管理，可以对上层的简单应用进行管控，而这些应用级管控技术大多采用简单网络管理协议SNMP 或者基于端口的流量识别进行进行分析和管理。

因此，如何深度感知互联网/移动互联网业务，提供应用级管控手段，构建“可运营、可管理”的网络，成为运营商关注的焦点。

1.2 DPI能够为运营商解决什么问题互联网及移动互联网面临大量“高消耗、低价值”的业务对带宽的吞噬压力，网络安全和服务质量问题亟待解决，主要面临如下问题：⏹网络出口带宽增加了一倍，可没几天还有大量用户投诉上网慢，收邮件慢，流媒体缓冲时间长，为什么？⏹不断升级换代交换机、路由器等核心网设备，投资不少可网络设备的性能总是无法跟上带宽的增长速度。

⏹核心网络的服务质量现状如何？互联互通出口链路带宽占用率情况？链路丢包率？链路延时？关键业务的平均带宽？最大带宽？最小带宽？WAP/WEB浏览的平均延时？最大延时？最小延时？⏹整个宽带业务网络中流量是如何构成的？哪些业务占据了主要的带宽？WAP浏览/彩信/139邮箱/WEB浏览/流媒体/P2P/VoIP/IM等热点业务各占据了多大带宽？⏹核心网到各个其它运营商的流量流向如何？同各运营商的互联带宽多大？为此所缴纳的互联带宽费用是否与用户量的增长成比例？⏹目前的出口带宽占用情况是否需要扩容？同各地市汇聚网的链路性能、带宽如何？业务性能如何？⏹用户投诉上网慢，网管系统也无法找到故障源，性能故障到底在哪里？⏹集团客户的上网或视频会议总是很慢，问题根源在哪里？⏹P2P/流媒体等高消耗、低价值业务占用带宽过大，怎么精细化控制其带宽？⏹网络中产生异常流量（包括端口扫描、DDOS攻击、广播风暴），如何定位发起攻击源？⏹能否有种设备，能按时、按人、按集团客户、按业务来调整带宽分配，限制哪些无节制占用网络的次要业务，保障WAP/彩信/WEB/视频会议/VOIP/ERP等关键业务畅通无阻。

安全生产大数据智能平台1.项目建设的背景和意义1.1项目建设背景2015年4月13日，国务院办公厅《关于加强安全生产监管执法的通知》（国办发〔2015〕20号）要求各省、自治区、直辖市人民政府加快监管执法信息化建设。

整合建立安全生产综合信息平台，统筹推进安全生产监管执法信息化工作，实现与隐患排查治理、风险管控、重大危险源监控、安全诚信、安全生产标准化、安全教育培训、安全专业人才、行政许可、监测检验、应急救援、事故责任追究等信息共建共享，消除信息孤岛。

要大力提升安全生产“大数据”利用能力，加强安全生产周期性、关联性等特征分析，做到检索查询即时便捷、归纳分析系统科学，实现来源可查、去向可追、责任可究、规律可循。

经过近几年的信息化建设，各省初步实现了基础设施信息化支撑，部分市、州安全监管机构完成了初步的信息化监管，省安监局进一步深入开展安全生产信息化建设和应用工作，为全省安全生产监管提供了有效的技术支撑保障。

目前，省内部分地区建成安全生产监管基础业务系统，涵盖综合办公、行政审批、非煤矿山监管、应急预案与资源报备、安全生产隐患排查治理等多个业务门类，有效提升了安全生产执法以及政务办公效率，加强了安全管理和事故风险防控能力。

目前，各省安全生产信息化建设中，首先是普遍缺乏统筹规划和标准规范，难以实现业务系统之间的互联互通和资源共享，造成“信息孤岛”，与重点安委会成员单位也没有实现信息互通；此外，业务系统功能不完善，尚未实现业务全覆盖，业务应用的深度不足，没有融入安全生产核心工作；最后，还存在基础支撑保障能力不足的问题，规章制度、队伍建设、设施设备等方面的不足影响了信息化的应用推进。

面对全国依然严峻的安全生产形势和党中央国务院关于进一步加强安全生产工作的要求，各省需要加快实施安全生产监管大数据智能管控平台提升在安全生产领域中的数据治理与服务能力。

1.2项目建设意义大数据是创新安全监管监察模式的必然之路，构建“大数据、大支撑、大安全”的大数据管控平台，实现安全生产事故预测预判和风险防控“信息化、数字化、智能化”的目标。