2015-4-14web应用防火墙WAF-产品白皮书(WAF)
Web应用防火墙WAF技术的综述
Web应用防火墙WAF技术的综述
Web应用防火墙(WAF)是一种用于保护Web应用的安全技术。
它是一种软件或硬件设备,能够监控和过滤进入Web应用程序的所有网络流量。
WAF可以阻止攻击者利用已知漏洞、注入攻击和跨站点脚本等技术攻击Web应用,从而保护用户数据和应用程序的完整
性。
WAF的核心功能是对Web应用程序的流量进行过滤和监控。
它可以检测恶意流量和攻击,并且尝试去降低这些攻击的影响。
WAF还可以分析访问模式和多个链接请求,以帮助
确定攻击者的意图,并在发现异常行为时自动应对。
截至2021年,WAF技术迅速发展,拥有了各种各样的功能和部署模式。
以下是WAF技术的一些综述:
1. 基于规则的WAF:这种WAF使用预定义规则集阻止已知的攻击。
规则可以是开源的,如OWASP CRS,也可以是商业的。
此类WAF易于完成部署和配置,但有一些潜在的缺陷,例如容易影响Web应用程序的性能。
2. 基于机器学习的WAF:这种WAF使用机器学习算法检测网络流量并阻止攻击。
此类WAF可以适应不断变化的攻击,但是需要大量的数据和训练。
4. 云端WAF:此类WAF是一种托管式的WAF,通过SaaS模型提供。
他们可以轻松地扩展到大规模环境,并可以使用云端服务来实现基于流量分析的检测。
安恒信息明御WEB应用防火墙产品白皮书
安恒信息明御WEB应用防火墙产品白皮书一、产品概述在当今数字化的时代,Web 应用已经成为企业和组织开展业务的重要窗口,但同时也面临着日益严峻的安全威胁。
为了有效保护 Web 应用的安全,安恒信息推出了明御 WEB 应用防火墙(以下简称“明御WAF”)。
这一强大的安全防护产品旨在为企业的Web 应用提供全面、精准和高效的安全防护,抵御各类网络攻击,保障业务的稳定运行。
明御 WAF 采用了先进的技术架构和智能的防护策略,能够实时监测和分析 Web 应用的流量,快速识别并拦截各种恶意攻击行为,如SQL 注入、跨站脚本攻击(XSS)、Web 应用扫描、恶意爬虫等。
同时,它还具备强大的 Web 应用漏洞防护能力,能够及时发现和修复应用中的安全漏洞,有效降低安全风险。
二、产品功能1、攻击防护明御 WAF 具备强大的入侵检测和防御功能,能够准确识别并拦截常见的Web 攻击,如SQL 注入、XSS 攻击、命令注入、文件包含等。
通过实时监测 Web 流量,对请求进行深度分析,及时发现和阻止恶意攻击行为。
针对 DDoS 攻击,明御 WAF 提供了有效的防护机制,能够识别和过滤异常流量,保障 Web 应用在遭受攻击时仍能正常运行。
对 Web 应用扫描行为进行检测和拦截,防止攻击者通过扫描获取应用的敏感信息和漏洞。
2、漏洞防护能够对 Web 应用中的常见漏洞进行检测和防护,如缓冲区溢出、目录遍历、权限提升等。
通过实时更新漏洞库,确保对最新漏洞的有效防护。
提供漏洞修复建议,帮助用户及时修复应用中的安全漏洞,提高应用的安全性。
3、访问控制支持基于 IP 地址、用户身份、访问时间等多种因素的访问控制策略,实现精细化的访问管理。
对 Web 应用的 URL 进行访问控制,限制未授权的访问和操作。
4、数据安全防护对敏感数据进行识别和加密,保障数据在传输和存储过程中的安全性。
防止数据泄露,对数据的输出进行严格的控制和过滤。
5、应用加速通过缓存、压缩等技术,提高 Web 应用的响应速度和性能,改善用户体验。
绿盟Web应用防火墙产品白皮书
绿盟Web应用防火墙产品白皮书eb应用防火墙技术对于网站安全,最理想的做法是:在软件开发生命周期的4个阶段分别采取相应的安全措施(如下图)。
然而,大多数网站的实际情况是:网站已经在线运行,但存在不同级别的安全漏洞,没有通用补丁可用,而“改代码”需要付出的代价(成本)过大。
网站安全生命周期针对这种现状,在网站前端部署专业的Web安全设备是一种合理的选择。
传统的安全设备,如防火墙、IPS,虽然是网络安全策略中不可缺少的重要模块,但受限于自身的产品架构和功能,无法对千变万化的Web应用攻击提供周密的解决方案,只有采用专门设计的产品,才能对攻击进行有效检测和阻断。
Web应用防火墙(以下简称WAF)正是这类专业产品,它提供了网站安全运维过程中的一系列控制手段,基于对HTTP/HTTPS流量的双向检测,为Web应用提供实时的防护。
与传统防火墙、IPS设备相比,WAF最显著的技术差异性体现在:1. 对HTTP有深入的理解:能完整地解析HTTP,包括报文头部、参数及载荷。
支持各种HTTP 编码(如chunked encoding);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。
2. 提供应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。
WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。
3. 提供正向安全模型(白名单模型):仅允许已知有效的输入通过,为Web应用提供了一个外部的输入验证机制,安全性更有保障。
4. 提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。
WAF为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。
绿盟Web应用防火墙概述绿盟Web应用防火墙(又称绿盟Web应用防护系统,简称WAF)是绿盟科技面向企业、政府等各类机构推出的专注于保护Web应用和Web服务的安全产品。
安恒信息明御WEB应用防火墙产品白皮书
精心整理安恒信息明御WEB应用防火墙产品白皮书摘要:本文档描述了杭州安恒信息技Web用防火的主要功能及特点⋯关:Web用防火,Web平安,安恒信息概述Web网站是企和用、合作伙伴及工的快速、高效的交流平台。
Web网站也容易成黑客或意程序的攻目,造成数据失,网站改或其他平安威。
根据国家算机网急技理中心〔称CNCERT/CC〕的工作告示:目前中国的互网平安状况仍不容。
各种网平安事件与去年同期相比都有明增加。
政府和平安管理相关网站主要采用改网的攻形式,以到达泄和炫耀的目的,也不排除放置意代的可能,致政府网站存在平安患。
中小企,尤其是以网核心的企,采用注入攻、跨站攻以及用拒服攻〔DenialOfService〕等,影响的正常开展。
2007年到2021年上半年,中国大被改网站的数量相比往年于明上升。
1.1.常见攻击手法目前的用和网攻方法很多,些攻被分假设干。
下表列出了些最常的攻技,其中最后一列描述了安恒WAF如何攻行防。
表1.1:对不同攻击的防御方法攻方式描述安恒WAF的防方法跨站脚本攻跨站脚本攻利用网站漏洞攻那通用流量,阻止些站点的用,常目的是窃各种意的脚本插入到取站点者相关的用登或URL,header及form中。
信息。
SQL注入攻者通入一段数据代通用流量,窃取或修改数据中的数据。
是否有危的数据命令或句被插入到URL,header及form中。
精心整理命令注入攻击者利用网页漏洞将含有操作系通过检查应用流量,检测统或软件平台命令注入到网页访问并阻止危险的系统或软件语句中以盗取数据或后端效劳器的平台命令被插入到控制权。
URL,header及form中。
cookie/seesion Cookie/seesion通常用于用户身份通过检查应用流量,拒绝劫持认证,并且可能携带用户敏感的登陆伪造身份登录的会话访信息。
攻击者可能被修改问。
Cookie/seesion提高访问权限,或伪装成他人的身份登陆。
参数〔或表单〕通过修改对URL、header和form利用参数配置文档检测应篡改中对用户输入数据的平安性判断,并用中的参数,仅允许合法且提交到效劳器。
WAF(Web应用防火墙)浅析
WAF(Web应用防火墙)浅析1、关于WAFWAF(Web Application Firewall,Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
WAF基本上可以分为以下几类。
(1)软件型WAF以软件形式装在所保护的服务器上的WAF,由于安装在服务器上,所以可以接触到服务器上的文件,直接检测服务器上是否存在WebShell、是否有文件被创建等。
(2)硬件型WAF以硬件形式部署在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听模式时只记录攻击不进行拦截。
(3)云WAF一般以反向代理的形式工作,通过配置NS记录或CNAME记录,使对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将认为无害的请求报文再发送给实际网站服务器进行请求,可以说是带防护功能的CDN。
(4)网站系统内置的WAF网站系统内置的WAF也可以说是网站系统中内置的过滤,直接镶嵌在代码中,相对来说自由度高,一般有以下这几种情况。
●输入参数强制类型转换(intval等)。
●输入参数合法性检测。
●关键函数执行(SQL执行、页面显示、命令执行等)前,对经过代码流程的输入进行检测。
●对输入的数据进行替换过滤后再继续执行代码流程(转义/替换掉特殊字符等)。
网站系统内置的WAF与业务更加契合,在对安全与业务都比较了解的情况下,可以更少地收到误报与漏报。
2、WAF判断下面介绍判断网站是否存在WAF的几种方法。
(1)SQLMap使用SQLMap中自带的WAF识别模块可以识别出WAF的种类,但是如果按下面装的WAF并没有什么特征,SQLMap就只能识别出类型是Generic。
2)手工判断这个也比较简单,直接在相应网站的URL后面加上最基础的测试语句,比如union select 1,2,3%23,并且放在一个不存在的参数名中,本例里使用的是参数aaa,如图2所示,触发了WAF的防护,所以网站存在WAF 因为这里选取了一个不存在的参数,所以实际并不会对网站系统的执行流程造成任何影响,此时被拦截则说明存在WAF。
waf大白话介绍-概述说明以及解释
waf大白话介绍-概述说明以及解释1.引言1.1 概述引言是文章的第一部分,用于介绍文章的背景和目的。
在这一部分中,我们将简要介绍WAF(Web应用防火墙)的概念和作用。
WAF是一种用于保护Web应用程序免受各种网络攻击的安全设备。
随着互联网的普及和Web应用的广泛应用,网络攻击也变得越来越频繁和复杂。
WAF的出现,旨在填补传统防火墙无法有效防御Web应用层面攻击的漏洞。
相比传统防火墙,WAF不仅仅关注网络层和传输层的攻击,而且能够检测和防御针对Web应用程序的特定攻击,例如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。
这些攻击方式往往利用Web应用程序的漏洞,对服务器和用户的数据造成威胁。
WAF的主要作用是通过实时监测和分析Web应用程序的流量和数据,识别潜在的恶意行为和攻击,并采取相应的防御措施,如拦截恶意请求、过滤恶意内容等。
通过引入WAF,可以大大提高Web应用程序的安全性,保护用户数据的机密性和完整性。
WAF的工作原理通常包括以下几个步骤:首先,对输入的数据进行过滤和验证,防止恶意数据的注入;其次,对请求进行分类和分析,识别出潜在的攻击行为;最后,根据预先定义的安全策略,进行相应的处理,比如拦截恶意请求或者通知管理员进行进一步处理。
总而言之,WAF在保护Web应用程序安全方面起着重要的作用。
通过对网络流量的实时监控和分析,它能够及时识别和防御各种Web应用攻击,提高Web应用程序的安全性和稳定性。
随着网络技术的不断发展和攻击手段的不断演变,WAF的发展前景也将变得愈发广阔。
(以上为概述部分的内容,仅供参考)1.2文章结构文章结构部分将介绍WAF大白话介绍的文章结构和内容安排。
在本文中,我将按照以下结构展开:1. 引言:在引言部分,我将简要介绍WAF(Web应用程序防火墙)的背景和重要性,为读者提供一个整体的认知框架。
2. 正文:在正文部分,我将深入探讨WAF的各个方面,包括其定义、作用和工作原理。
WAF网络应用防火墙
WAF网络应用防火墙网络应用防火墙(Web Application Firewall,简称WAF),作为一种网络安全解决方案,专门用于保护网络应用免受各种安全威胁的侵害。
WAF在现代互联网应用中扮演着重要的角色,它不仅可以保护企业和组织的敏感数据,还能提高应用程序的可用性和稳定性。
一、WAF的基本概念和功能WAF是一种软件或硬件设备,部署在网络应用系统前端,扮演着一个过滤器的作用。
它通过检测和拦截恶意网络流量,防止网络攻击,从而保护应用系统和用户数据的安全。
WAF的主要功能包括但不限于以下几点:1. 攻击防护:WAF可以识别、拦截和阻止常见的网络攻击,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。
通过对网络流量的监测和分析,WAF可以即时发现并阻止潜在的攻击行为。
2. 弱点防护:WAF能够对应用系统的弱点进行自动检测和修复,从而减少攻击者利用已知安全漏洞进行攻击的机会。
3. 数据保护:WAF可以对敏感的用户数据进行过滤,防止数据泄露和盗取。
例如,WAF可以监控和阻止包含个人身份信息(PII)的网络流量,以保护用户的隐私。
二、WAF的工作原理WAF的工作原理主要基于以下几个步骤:1. 流量监测:WAF通过监测网络流量来识别潜在的安全威胁。
它可以分析HTTP/HTTPS协议流量、URL请求、请求参数等信息,以便检测异常行为和攻击特征。
2. 攻击识别:WAF使用预定义的规则和模式,检测和识别各种类型的攻击行为。
例如,WAF可以根据已知的攻击签名,识别出SQL注入和XSS攻击等常见的网络攻击方式。
3. 风险评估:一旦WAF检测到可能的攻击行为,它会根据预定义的策略和规则,以及实时的流量行为分析,对网络请求进行评估和判定,确定其风险级别。
4. 风险响应:对于被判定为高风险的网络请求,WAF可以根据事先设定的策略采取不同的响应措施。
例如,它可以拦截并阻止恶意流量,还可以向管理员发送警报或日志记录。
天融信Web应用防火墙-方案白皮书
SQL注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏
测试步骤
1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。
测试结果
通过部分通过未通过未测试
测试报文
3.1.2.1.2
测试分项目
XSS钓鱼攻击
测试目的
通过跨站攻击,攻击者修改HTTP页面源代码,实现记录用户认证信息等功能,通过此测试来验证waf对钓鱼攻击漏洞能否能做有效防护
测试步骤
1、TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。
数字型SQL注入攻击
测试目的
SQL注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏
测试步骤
1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。
2、在WebGoat服务器如下页面输入参数’or 1=1-
3、执行Go!
预期结果
该攻击被阻止,查看TopWAF攻击日志出现对应攻击防护阻断介绍:
测试结果
通过部分通过未通过未测试
备注
3.1.2.1.5
测试分项目
SQL盲注入
测试目的
如果网站上有盲注入漏洞则攻击者可以做猜解用户名密码等探测,通过此测试来验证waf能否对盲注入漏洞能否能做有效防护
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2015-4-14web应用防火墙WAF-产品白皮书(WAF)第1章概述随着互联网技术的发展,Web应用日益增多,同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题,导致Web应用被篡改、数据被窃取或丢失。
根据Gartner的统计当前网络上75%的攻击是针对Web应用的。
攻击者通过应用层协议进入组织内部,如Web、Web邮件、聊天工具和P2P等攻击企业网络。
利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,盗取管理员密码,破坏整个网站数据等等攻击。
而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
常见的威胁如下:威胁名称威胁描述非授权访问非授权用户可能试图访问和使用非授权端口、应用类型以及资源Web应用攻击恶意用户可能通过构造特殊的HTTP/HTTPS请求,对产品保护的web应用实施SQL注入、XSS等web攻击络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题:传统防火墙基于IP/端口,无法对WEB应用层进行识别与控制,无法确定哪些WEB应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。
面对WEB应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。
传统防火墙无法抵御来自WEB应用层的威胁,自然就无法提供给用户有效的安全策略制定依据。
传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握,缺乏安全信息的可视化。
1.1.1I PS设备能否抵御WEB攻击?IPS只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。
缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。
1.2深信服WEB应用防火墙—SWAF1.2.1产品设计理念SWAF是面向WEB应用层设计,能够精确识别WEB应用和内容,具备完整安全防护能力,能够弥补传统防火墙和IPS在WEB攻击防护方面的不足,具有强劲应用层处理能力的全新网络安全设备。
SWAF不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。
SWAF可以为不同规模的行业用户数据中心提供更加全面、更高性能的WEB应用内容防护方案。
更全面的内容级安全防护:基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等双向内容检测,功能防御策略智能联动更高性能的应用层处理能力:单次解析架构实现报文一次拆解和匹配多核并行处理技术提升应用层分析速度全新技术架构实现应用层万兆处理能力1.2.2产品功能特色1.2.2.1全面的应用安全防护能力1.2.2.1.1基于应用的深度漏洞攻击防御SWAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
下图为灰度威胁关联分析引擎的工作原理:第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。
第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。
第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。
第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。
由此可见,威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求,SWAF在两方面得以增强:第一,通过SWAF抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。
第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
1.2.2.1.2强化的WEB攻击防护SWAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服SWAF 为国内同类产品评分最高)主要功能如:1.2.2.1.3防SQL注入攻击SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SWAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
1.2.2.1.4防XSS跨站脚本攻击跨站攻击产生的原理是攻击者通过向Web 页面里插入恶意html代码,从而达到特殊目的。
SWAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。
1.2.2.1.5防CSRF攻击CSRF即跨站请求伪造,从成因上与XSS 漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。
SWAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。
1.2.2.1.6主动防御技术主动防御可以针对受保护主机接受的URL 请求中带的参数变量类型,以及变量长度按照设定的阈值进行自动学习,学习完成后可以抵御各种变形攻击。
另外还可以通过自定义参数规则来更精确的匹配合法URL参数,提高攻击识别能力。
1.2.2.1.7应用信息隐藏SWAF对主要的服务器(WEB服务器、FTP 服务器、邮件服务器等)反馈信息进行了有效的隐藏。
防止黑客利用服务器返回信息进行有针对性的攻击。
如:HTTP出错页面隐藏:用于屏蔽Web服务器出错的页面,防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。
HTTP(S)响应报文头隐藏:用于屏蔽HTTP(S)响应报文头中特定的字段信息。
FTP信息隐藏:用于隐藏通过正常FTP命令反馈出的FTP服务器信息,防止黑客利用FTP 软件版本信息采取有针对性的漏洞攻击。
1.2.2.1.8URL防护Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统,但是这种便利很可能会被黑客利用从而入侵应用系统。
通过SWAF提供的受限URL防护功能,帮助用户选择特定URL的开放对象,防止由于过多的信息暴露于公网产生的威胁。
1.2.2.1.9弱口令防护弱口令被视为众多认证类web应用程序的普遍风险问题,SWAF通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于web 应用程序中。
同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。
1.2.2.1.10HTTP异常检测通过对HTTP协议内容的单次解析,分析其内容字段中的异常,用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法,有效过滤其他非法请求信息。
1.2.2.1.11文件上传过滤由于web应用系统在开发时并没有完善的安全控制,对上传至web服务器的信息进行检查,从而导致web服务器被植入病毒、木马成为黑客利用的工具。
SWAF通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。
同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。
1.2.2.1.12用户登录权限防护针对某些特定的敏感页面或者应用系统,如管理员登陆页面等,为了防止黑客访问并不断的进行登录密码尝试,SWAF可以提供访问URL 登录进行短信认证的方式,提高访问的安全性。
1.2.2.1.13缓冲区溢出检测缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。
可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。
SWAF通过对URL长度,POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。
1.2.2.1.14智能DOS/DDOS攻击防护SWAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。
1.2.2.1.15专业攻防研究团队确保持续更新SWAF的统一威胁识别具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、2000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。
其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得CVE兼容性认证(CVE Compatible)。
深信服凭借在应用层领域6年以上的技术积累组建了专业的安全攻防团队,作为微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。
1.2.2.1.16独特的双向内容检测技术1.2.2.1.17网关型网页防篡改网页防篡改是SWAF服务器防护中的一个子模块,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。