一、产品概况
Web应用防火墙的两个关键功能是,深入理解HTTP/HTTPS协议,可监测往返流量,能对web流量进行安全控制。Web数据中心是经常变化的,包括新的应用程序、新的软件模块,不断更新的软件补丁等。专业的安全工具和方法应能适应这种动态环境,应用配置的升级更新和对监测数据的分析使得应用防火墙总能适应新的安全需求。
二、产品特点
(一)安恒WAF提供高效的Web应用安全边界检查功能。安恒WAF整合了Web安全深度防御及站点隐藏等功能,能全方位的保护用户的Web数据中心。通过对对所有Web流量(包括客户端请求流量和服务器返回的数据流量)进行深度检测,提供了实时有效的入侵防护功能。安恒WAF充分考虑用户已有环境的差异性,对环境兼容性、应用多样性进行了深入的分析和总结。
(二)WEB应用防火墙技术经过不断的发展已经日益成熟,安恒WAF采用业界领先的代理技术实现WEB应用深度分析和防御。基于代理的防火墙技术在防护深度及细粒度方面有着包过滤防火墙无法比拟的优势,但是如果代理模式处理不当也会对网络及应用系统产生影响,最为明显的影响是对网络数据包文头的改变,导致服务器识别到的源地址是代理设备IP地址,无法识别真话的访问者。而且还会对HTTP应用数据流头部的影响,如增加X-Forwarded相关的字段或影响已有的代理环境,影响WEB业务的正常使用,以及致使WEB服务器访问日志失效。
(三)安恒WAF凭着对网络及应用的深入解理,以及多年的研发经验,研发的WAF产品继承了代理防火墙技术深度防御的特性,同时也吸纳了网络防火墙对网络及应用透明的优点。安恒是国内首家发布全透明代理的模式的WEB应用防火墙厂家,安恒WAF的部署不会对网络及应用产生任何的影响,甚至安恒WAF的工作口不需要配置任何的IP即可正常工作。
(四)WEB应用系统随着应用需求不同而千变万化,对应用的防护和安全识别提出了高的要求,因此应用环境中对WEB应用防火墙的接入需要经过深入的分析和调研才能实现。针对一些大型的业务系统,特别是对业务连续性有较高要求的行为如电信运营、金融证券、社会保障等需要不中断对外服务的应用系统对部署WAF产品是一个极大的挑战。
(五)如果实现部署WAF前期的准备或者让WAF工作在监测模式下而不影响正常的业务是大型应用系统的一个钢性需求。安恒WAF产品独创的镜像监控模式彻底解决这个难题,安恒WAF产品支持端口镜像和串接镜像两种方式实现对数据包的分布,对安全的监测,端口镜像模式下仅需将监测流量镜像至WAF即可,而不会影响网络和应用系统;串接镜像时将WAF串接入需要监测的环境,此时WAF会自动复制一份数据包进行监测,也不会影响原有的网络及应用。
(六)WEB应用防火墙技术可以完美的防护HTTP应用系统,然而针对于HTTPS的应用系统则是当前WEB应用防火墙技术的难点。基于HTTPS的应用系统,在网络环境常规的设备无法识别传输的应用数据,更无法识别来自应用层的攻击。要对HTTPS应用进行应用防护,必须要求WAF能良好的支持HTTPS协议并能对SSL数据流进行中继。由于SSL需要大量的数据运算对设备性能要求高,以及需要对用户端和服务器端双向的SSL支持这些技术难点,导致很多WEB应用防火墙无法实现对HTTPS的支持。
(七)安恒WAF支持双向的SSL环境,能对原有的HTTPS应用系统良好的适应,无勿需改变原有环境,对HTTPS应用系统仍可透明部署和全面防御。安恒通过对HTTPS的支持从而实现了对HTTP、HTTPS的全面防护,解决了WEB防火墙无法防御HTTPS应用的短板。
二、产品功能
(一)深度防护
安恒WAF通过对Web流量进行深度检测对Web应用进行深度防护,提供了全面的入侵防御能力。安恒WAF能在攻击到达Web服务器之前进行阻断,防止恶意的请求或内置非法程序的请求访问目标应用。安恒WAF能解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止。Web应用防火墙还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。
安恒WAF能阻止一系列的攻击,无论是已知的或未知的。能够阻止那些最常见的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。
(二)Web站点隐藏
成功的Web攻击往往由探测网络漏洞开始,在网络上很容易找到漏洞扫描工具对一个网站的应用程序、服务器、URL等进行扫描。安恒WAF提供站点隐藏功能,黑客将无法查看web的源信息,安恒WAF URL返回码,HTTP头信息以及终端服务器的IP。安恒WAF能完全的中止所有的会话,因此用户无法直接连接到Web服务器上,无法直接访问服务器、操作系统或补丁程序。访问出错信息也将由安恒WAF提供,后端服务器的出错信息不会直接返回给用户。这样,避免了服务器敏感信息泄露,也同时让一些高明的黑客就无法通过出错信息发动攻击。
安恒WAF实时监测网站服务器的相关是否给非法更改,一旦发现被改则第一时间通知管理员,并形成详细的日志信息。与此同时,WAF系统将对外显示之前的正确页面,防止被篡改的内容被访问到。WAF通过内置自学习功能获取WEB站点的页面信息,对整个站点进行爬行,爬行后根据设置的文件类型(如html、css、xml、jpeg、png、gif、pdf、word、flash、excel、zip等类型)进行缓存,并生成唯一的数字水印,然后进入保护模式提供防篡改保护,当客户端请求页面与WAF自学习保护的页面进行比较,如检测到网页被篡改,第一时间对管理员进行实时告警,对外仍显示篡改前的正常页面,用户可正常访问网站。事后可对原始文件及篡改后的文件进行本地下载比较,查看篡改记录。也可设置仅检测模式,只对篡改进行告警,不提供防护功能。
(三)WEB应用加速
安恒WAF为了提高被保护系统的访问速度同时消除WAF过滤分析过程中带来的延时,定制提供了应用加速功能,通过高速缓存和相关算法镜像及管理相关的静态内容,一旦有用户访问,客户端直接通过WAF缓存中获取,避免了用户重复通过Web服务器并进行协议解析等相关操作,从而加快了访问速度,减轻了WEB服务器的负担。
(四)安全策略
安恒WAF提供默认的安全策略对Web网站或应用进行严格的保护。除了默认的策略外,用户还可以创建客户化的策略。每个策略下分为若干子策略:
HTTP协议合规性 •SQL注入阻断 •跨站点脚本攻击防护 •表单/cookie篡改防护 •DoS攻击防护
(五)请求包大小限制
限制HTTP请求Head大小避免恶意代码通过,超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。
(六)HTTP/HTTPS请求方法限制
限制HTTP/HTTPS各种方法的访问,包括:GET, POST, DELETE,,HEAD,CONNECT,TRACE,PUT。
(七)HTTP/HTTPS请求方法限制
支持黑白名单的配置,可以设定可信的访问客户端IP(白名单)而不受安全策略规则的检测;设定非法的访问客户端(黑名单),直接禁止其任何对WEB服务器的访问。
(八)用户自定义规则库
支持用户自定义规则库,用户可以根据业务需求,针对某些关键字,数据段长度等相关信息,自定义安全过滤规则。
(九)人性化运维管理
安恒WAF提供了丰富的人性化运维管理数据,包括WAF自身的硬件运行状况,相关工作口的实时流量情况,各个硬件部件历史占用情况,各个工作口的历史流量情况,系统提供了图形化的直观的统计分析界面,让 维护管理员快速掌握整体的情况。
(十)检测和阻断模式
架设web应用防火墙可能意外的现象,应用某个不当的规则可能影响当前应用的正常使用,因此不少管理员都在犹豫要不要使用最高安全等级的过滤策略。保守监控功能可以帮助用户解决这个担忧,利用这个功能用户可以在不影响使用的前提下进行策略配置。
安恒WAF支持检测和阻断模式功能,在检测模式下,所有安全策略规则都只是对应用流量数据包进行检测,并告警,而不做任何阻断功能;在阻断模式下,所有的安全策略规则同时可以提供用户对单条规则的配置:阻断(默认)或者仅检测。因此,管理员可以根据监控情况,实时进行调整。
(十一)HTTPS/SSL的完全支持
安全套接字层 (SSL)能提供一个加密的(公钥私钥配对)可靠的连接。许多商业网站采用SSL传输以保障数据安全,不过SSL的加密通常费时费力。安恒WAF支持对HTTPS访问的完全监控和阻断能力,支持Openssl类加密的证书格式。支持用户上传WEB服务器的证书,在访问WEB服务器之前进行第一轮认证,并对访问应用流量进行彻底检查,防止各类攻击访问。
(十二)日志和报表
安恒WAF记录了重要事件的日志信息,日志信息非常全面涵盖了一次访问的主要信息参数,支持多种搜索方式,这些日志信息可以帮助用户搜索并分析可以流量,进而优化安全策略。安恒WAF的报表功能十分强大,在日志的基础上可以生成各种报表,还提供报表模板,大大方便了管理员的数据分析,增强了系统的易用性。
(十三)高可操作性
安恒WAF采用图形(GUI)管理和配置界面,直观且支持多任务,跟用户平时的使用习惯一致,可用性高。
三、部署模式
硬件旁路:当设备出现故障或者关机时,WAF设备可以切换到硬件旁路模式,对既有的网络连接状况不会造成中断影响。
业务咨询:159-9855-7370 董经理
