WAFweb防御系统.docx
《WAFweb防御系统.docx》由会员分享,可在线阅读,更多相关《WAFweb防御系统.docx(22页珍藏版)》请在冰豆网上搜索。
WAFweb防御系统
WEB应用防护系统
蓝盾信息平安技术股分有限责任公司
2021年7月3日
第一章WAF
Web应用防护系统(也称:
网站应用级。
英文:
WebApplicationFirewall,简称:
WAF)。
利用国际上公认的一种说法:
Web应用是通过执行一系列针对HTTP/HTTPS的来专门为Web应用提供爱惜的一款产品。
产生背景
当WEB应用愈来愈为丰硕的同时,WEB效劳器以其壮大的计算能力、处置性能及包括的较高价值慢慢成为要紧解决目标。
SQL注入、网页窜改、网页挂马等平安事件,频繁发生。
2007年,国家运算机网络应急技术处置和谐中心(简称CNCERT/CC)监测到中国大陆被窜改网站总数积存达61228个,比2006年增加了倍。
其中,中国大陆政府网站被窜改各月累计达4234个。
企业等用户一样采纳防火墙作为平安保障体系的第一道防线。
可是,在现实中,他们存在如此那样的问题,由此产生了WAF(Web应用防护系统)。
Web应用防护系统(WebApplicationFirewall,简称:
WAF)代表了一类新兴的信息平安技术,用以解决诸如防火墙一类传统设备束手无策的Web应用平安问题。
与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。
基于对Web应用业务和逻辑的深刻明白得,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其平安性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
应用功能
审计设备
对与系统自身平安相关的以下事件产生审计记录:
(1)治理员登岸后进行的操作行为;
(2)对平安策略进行添加、修改、删除等操作行为;
(3)对治理角色进行增加、删除和属性修改等操作行为;
(4)对其他平安功能配置参数的设置或更新等行为。
访问操纵设备
用来操纵对Web应用的访问,既包括主动平安模式也包括被动平安模式。
架构/网络设计工具
当运行在模式,他们被用来分派职能,集中操纵,虚拟基础结构等。
WEB应用加固工具
这些功能增强被爱惜Web应用的平安性,它不仅能够屏蔽WEB应用固有弱点,而且能够爱惜WEB应用编程错误致使的平安隐患。
需要指出的是,并非每种被称为Web应用的设备都同时具有以上四种功能。
同时还具有多面性的特点。
比如从网络的角度来看能够把WAF看成运行在HTTP层上的IDS设备;从角度来看,WAF是一种防火墙的功能模块;还有人把WAF看做“深度检测防火墙”的增强。
(深度检测通常工作在的网络的第三层和更高的层次,而Web应用防火墙那么在第七层处置HTTP效劳而且更好地支持它。
)
特点
异样检测协议
Web应用防火墙会对HTTP的请求进行异样检测,拒绝不符合HTTP标准的请求。
而且,它也能够只许诺的部份选项通过,从而减少解决的阻碍范围。
乃至,一些Web应用防火墙还能够严格限定HTTP协议中那些过于松散或未被完全制定的选项
增强的输入验证
增强输入验证,能够有效避免网页窜改、信息泄露、植入等歹意网络入侵行为。
从而减小Web效劳器被解决的可能性。
及时补丁
修补Web,是Web应用开发者最头痛的问题,没人会明白下一秒有什么样的漏洞显现,会为Web应用带来什么样的危害。
WAF能够为咱们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时刻内屏蔽掉那个漏洞。
固然,这种屏蔽掉漏洞的方式不是超级完美的,而且没有安装对应的本身确实是一种平安要挟,但咱们在没有选择的情形下,任何爱惜方法都比没有爱惜方法更好。
(附注:
及时的原理能够更好的适用于基于XML的应用中,因为这些应用的通信协议都具标准性。
)
基于规那么的爱惜和基于异样的爱惜
基于规那么的爱惜能够提供各类Web应用的平安规那么,WAF生产商会保护那个规那么库,并非时为其更新。
用户能够依照这些规那么对应用进行全方面检测。
还有的产品能够基于合法应用数据成立模型,并以此为依据判定应用数据的异样。
但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件情形。
状态治理
WAF能够判定用户是不是是第一次访问而且将请求重定向到默许登录页面而且记录事件。
通过检测用户的整个操作行为咱们能够更易识别解决。
状态治理模式还能检测出异样事件(比如登岸失败),而且在达到极限值时进行处置。
这对暴力解决的识别和响应是十分有利的。
其他防护技术
WAF还有一些平安增强的功能,能够用来解决WEB程序员过度信任输入数据带来的问题。
比如:
隐藏爱惜、抗入侵规避技术、响应监视和信息泄露爱惜。
第二章BD-WAF
蓝盾WEB应用防火墙简介
蓝盾Web应用防火墙,简称BD-WAF,是蓝盾开发的新一代平安产品,作为网关设备,防护对象为Web、Webmail效劳器,其设计目标为:
针对平安事件发生时序进行平安建模,别离针对平安漏洞、解决手腕及最终解决结果进行扫描、防护及诊断,提供综合Web应用平安解决方案。
事前,BD-WAF提供Web应用漏洞扫描功能,检测Web应用程序是不是存在SQL注入、跨站脚本漏洞。
事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用解决、攻击进行有效检测、阻断及防护。
事后,针对当前的平安热点问题,网页窜改及网页挂马,提供诊断功能,降低平安风险,保护网站的公信度。
BD-WAF系统具有以下功能特性:
应用多维防护体系,有效应付SQL注入、跨站脚本及其变形解决,提供细粒度应用层DDoS解决防护;
网页防窜改系统支持-Linux、Windows、BSD系统;Web加速支持;实时检测网页窜改,降低网站平安风险;
提供挂马主动诊断功能,保护网站公信度;
灵敏信息扫描和过滤;透明平安检测,不用改变网络拓扑;
提供多种负载均衡算法;
支持虚拟主机部署,适合IDC环境;支持WebMail的安全检测;BD-WAF监控新模式;
解决、特点库在线滑腻升级;,
提供HA,有效幸免网络单点故障;
BD-WAF的详细参数
指标项
指标子项
技术要求
★性能要求
吞吐能力
HTTP吞吐量>=500Mbps
并发数
最大HTTP并发数6万
HTTP请求速率
HTTP事物速率(Transaction)12000/秒
支持站点数
不限制
网口数量
4*10/100/1000M电口
部署能力
★部署模式
★透明部署(基于透明网桥),需即插即用,无需做任何配置即可防护。
支持旁路部署。
★策略路由(支持流量牵引)
检测引擎
高性能攻击特征检测引擎
防护规则
系统提供完善的内置规则
提供高度灵活的自定义规则向导,适用于高级用户
★智能阻断
基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行为
★URL自学习
★自动学习并构建网站的URL模型,禁止违反现有模型的尝试行为
★支持更新、修正现有URL模型
安全特性
HTTPRFC符合性
HTTP协议防护
HTTPS支持
SSL加密会话分析
★WEB应用漏洞扫描
能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏洞扫描
★碎片组包
支持任意碎片组包
支持超长报文组包(最大30M)
编码还原
ASCII编码的还原
Unicode编码的还原
各种混淆编码的还原
★WEB基础架构防护
★蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB通用攻击防护
★WEB应用安全防护
SQL注入及XSS攻击防护
跨站请求伪造(CSRF)攻击防护
爬虫防护
防盗链
恶意扫描防护
Cookie安全
服务器信息伪装/过滤
缓冲区溢出
HTTP请求类型
Webshell行为拦截
★网页篡改防护
自动恢复对文件、目录的篡改
支持FTP/SFTP连接方式
支持文件、目录排除
设置检测优先级
支持多个防篡改用户
多操作系统支持:
Windows、Linux、Unix、Solaris、AIX等操作系统
支持基于时间的计划任务
★数据库防篡改
★支持数据库防篡改,无需安装任何数据库代理插件。
★支持虚拟化功能
支持对虚拟机中的任意数量网站进行防护,使多个虚拟机共用一个IP地址
★内容安全
恶意代码过滤
★敏感关键字自定义
★弱密码记录
★记录登陆过程中使用的弱密码
★访问控制
基于规则的ACL
来源IP的ACL
目的IP的ACL
目的URL的ACL
支持基于时间的计划任务
主动阻断方式
丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问
★防CC攻击防护
来源IP攻击防护
Rerferer攻击防护
特定URL攻击防护
CC防护的访问控制(黑、白名单)
★抗拒绝服务攻击
★TCP/UDPFlood防护,基于最大上限阀值设置,而非DDOS特征库
网络自适应能力
★支持
支持VLAN解码,在Trunk线路上部署并提供防护
端口汇聚(Trunk)
支持端口汇聚(Trunk),显著提高设备间的吞吐能力
路由配置
支持静态路由的配置
报表功能
★报表类型
安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势)
★webshell提示
报表提供对防护Web网站中已经存在Webshell文件的告警功能
报表查询
按事件类型、统计目标或周期类型条件进行统计
输出格式
支持将生成的报表以HTML、Word等通用格式输出
日志系统
日志类型
系统日志、审计日志和安全防护日志(入侵记录、攻击源IP所处地理位置、页面统计、网络流量、防篡改日志、防CC日志)
日志查询
可基于时间、IP、端口、协议、动作、规则集、规则集类别、危害等级、请求方法等条件进行日志查询。
日志管理
日志导出、清空、自动磁盘日志清理
系统监控
监控类型
安全事件监控、访问情况监控、设备负载监控
系统信息
显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率
系统诊断和调试功能
维护工具
抓包工具,可抓取的网络原始报文,用于分析网络状况
配置备份与导入
支持系统配置的备份与导入功能
高可用性
HA双机
支持主从部署模式
支持链路是否正常的监控
支持双机配置自动同步
硬件BYPASS
内置bypass模块,设备故障直接切换到bypass模式
联动功能
★联动功能
为了建立统一安全管理联动平台,与XXX安全产品必须同一品牌,提供原厂商联动证明原件。
产品要求
★产品要求
(出具加盖厂商公章的复印件)
公安部信息安全产品销售许可证
ISCCC中国国家信息安全产品认证证书
软件著作权登记证书
国家保密局涉密认证
厂商资质
★厂商资质
(出具加盖厂商公章的复印件)
厂商具备省级或省级以上计算机信息系统安全服务备案证;
具备信息安全服务二级或以上风险评估服务资质;
具备信息安全服务二级或以上应急响应安全服务资质认证;
具备信息安全服务二级或以上信息系统安全集成服务资质认证证书;
为省或省级以上计算机信息网络安全协会的指定服务单位;
ISO20000信息技术服务管理认证证书;
ISO27001信息安全管理体系认证证书;
CMMI3级或以上证书;
具备国家工业和信息化部颁发的计算机信息系统集成一级资质.
第三章绿盟WAF
绿盟WAF简介
绿盟科技Web应用防火墙(简称WAF)将客户资产作为组织Web平安解决方案的依据,用黑、白名单机制相结合的完整防护体系,通过精细的配置将多种Web平安检测方式连结成一套完整(COMPLETE)的解决方案,并整合成熟的DDoS解决抵御机制,能够在IPV4、IPV6及二者混合环境中抵御OWASPTop10等各类Web平安要挟和拒绝效劳解决,并以较低的运营本钱为各类机构提供透明在线部署、路由旁路部署和云部署,能方便快捷的部署上线,捍卫您的Web应用免遭当前和以后的平安要挟。
作为中国市场领先的WAF产品,绿盟科技WAF已经被超过1000家机构选中,包括中国移动、中国电信、国家电网等。
来自国外权威咨询机构Frost&Sullivan2021年市场报告数听说明,绿盟科技WAF在2021年以%占有率位列大中华区市场份额首位,持续3年(2020-2021)领跑大中华区市场。
在国际市场,它已为美国、日本和东南亚的多家客户提供了帮忙。
产品特点:
双向数据检测:
支持网络层、WebServer/Application层双向数据检测和爱惜,能够降低Web站点平安风险。
灵活的部署能力:
支持透明串联、反向代理和基于路由的多种旁路部署方式,网络适应性强,支持Fail-open机制和只对Web流量执行牵引/回注的处置机制,能够幸免成为骨干链路的单点故障。
紧急自动模式:
支持网站缓存和紧急模式,在Web页面被窜改或访问中断时,能够代替Web效劳器将缓存的页面返回给客户端;能够在Web访问量超过阈值时自动切换成紧急模式,幸免成为性能瓶颈。
虚拟补丁:
"WAFwithCloud"的部署方案,按期自动获取专家级、个性化的《网站漏洞扫描报告》,并转化为WAF可执行的、有针对性的Web平安防护策略。
详细招标参数
绿盟Web应用防火墙
指标项
指标子项
技术要求
系统架构
系统架构
产品应采用1U专用机架式硬件设备,系统硬件为全内置封闭式结构
硬件架构
基本网络接口
电口*5,千兆电口Bypass
★性能要求
★最大吞吐能力
吞吐量≥200Mbps
★并发TCP会话数
≥50万
★HTTP请求速率
≥9000次/秒
★网络延迟
≤毫秒
★可防护IP数量
≥50个
部署能力
★部署模式
★透明部署(基于透明网桥),需即插即用,无需做任何配置即可防护。
支持旁路部署。
★策略路由(支持流量牵引)
检测引擎
高性能攻击特征检测引擎
防护规则
系统提供完善的内置规则
提供高度灵活的自定义规则向导,适用于高级用户(提供界面截图)
★智能阻断
基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行为
★URL自学习
★自动学习并构建网站的URL模型,禁止违反现有模型的尝试行为(提供界面截图)
★支持更新、修正现有URL模型(提供界面截图)
安全特性
HTTPRFC符合性
HTTP协议防护
HTTPS支持
SSL加密会话分析
★WEB应用漏洞扫描
能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏洞扫描
★碎片组包
支持任意碎片组包
支持超长报文组包(最大30M)
编码还原
ASCII编码的还原
Unicode编码的还原
各种混淆编码的还原
★WEB基础架构防护
★蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB通用攻击防护
★WEB应用安全防护
SQL注入及XSS攻击防护
跨站请求伪造(CSRF)攻击防护
爬虫防护
恶意扫描防护
Cookie安全
服务器信息伪装/过滤
缓冲区溢出
HTTP请求类型
Webshell行为拦截
★网页篡改防护
自动恢复对文件、目录的篡改
支持FTP/SFTP连接方式
支持文件、目录排除
设置检测优先级
支持多个防篡改用户
多操作系统支持:
Windows、Linux、Unix、Solaris、AIX等操作系统
支持基于时间的计划任务
★数据库防篡改
★支持数据库防篡改,无需安装任何数据库代理插件。
(提供界面截图)
★支持虚拟化功能
支持对虚拟机中的任意数量网站进行防护,使多个虚拟机共用一个IP地址
★内容安全
恶意代码过滤
★敏感关键字自定义
★弱密码记录
★记录登陆过程中使用的弱密码(提供界面截图)
★备案检查
★检测网站的备案情况,对于通过备案网站放行,未通过备案禁止访问(提供界面截图)
★访问控制
基于规则的ACL
来源IP的ACL
目的IP的ACL
目的URL的ACL
支持基于时间的计划任务
主动阻断方式
丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问
★防CC攻击防护
(提供界面截图)
来源IP攻击防护
Rerferer攻击防护
特定URL攻击防护
CC防护的访问控制(黑、白名单)
★抗拒绝服务攻击
★TCP/UDPFlood防护,基于最大上限阀值设置,而非DDOS特征库(提供界面截图)
网络自适应能力
★支持
支持VLAN解码,在Trunk线路上部署并提供防护(提供界面截图)
端口汇聚(Trunk)
支持端口汇聚(Trunk),显著提高设备间的吞吐能力(提供界面截图)
路由配置
支持静态路由的配置
报表功能
★报表类型
安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势)
★webshell提示
报表提供对防护Web网站中已经存在Webshell文件的告警功能(提供界面截图)
报表查询
按事件类型、统计目标或周期类型条件进行统计
输出格式
支持将生成的报表以HTML、Word等通用格式输出
日志系统
日志类型
系统日志、审计日志和安全防护日志(入侵记录、攻击源IP所处地理位置、页面统计、网络流量、防篡改日志、防CC日志)
日志查询
可基于时间、IP、端口、协议、动作、规则集、规则集类别、危害等级、请求方法等条件进行日志查询。
日志管理
日志导出、清空、自动磁盘日志清理
系统监控
监控类型
安全事件监控、访问情况监控、设备负载监控
系统信息
显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率
系统诊断和调试功能
维护工具
抓包工具,可抓取的网络原始报文,用于分析网络状况
配置备份与导入
支持系统配置的备份与导入功能
高可用性
HA双机
支持主从部署模式
支持链路是否正常的监控
支持双机配置自动同步
硬件BYPASS
内置bypass模块,设备故障直接切换到bypass模式
资质要求
(提供相关资质复印件,生产厂商盖章)
★涉密资质
★获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》的千兆《涉密信息系统产品检测证书》,并出具加盖厂商公章的复印件。
★获得国家保密局涉密信息系统安全保密测评中心的《检测报告》,性能测试部分:
背景流量达到1000Mbps下的检测报告,并出具加盖厂商公章的复印件。
★强制认证
★获得中国信息安全认证中心颁发的符合CNCA/CTS0050-2007《信息技术信息安全网站恢复产品认证技术规范》增强级认证《中国国家信息安全产品认证证书》,并出具加盖厂商公章的复印件
★销售许可证
获得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并出具加盖厂商公章的复印件
★获得公安部计算机信息系统安全产品质量监督检验中心颁发的《WEB过滤防护》检测报告,并出具加盖厂商公章的复印件
★设备生产厂商应具有漏洞发现能力,并获得国家相关部门认可,至少曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提交证明》,不低于3份。
售后服务支持
技术支持服务
★上述硬件平台、所有软件功能模块提供三年原厂保修和升级服务。
★为应对网络安全事件,投标方应成立WEB安全应急处置小组进行紧急响应,响应时间:
7×24小时响应。
第四章附录
附录1.WAF(WEB应用防火墙)技术比较表
蓝盾
梭子鱼
安恒
绿盟
部署模式
透明部署(基于透明网桥)
策略路由(支持流量牵引
桥接模式,反向代理模式,单臂模式
反向代理模式,桥模式,单臂模式
桥模式,单臂模式
Web加速
有
有
有
无
应用层DOS
有
无
有
有
注入式攻击
SQL注入
SQL注入
命令行注入
SQL注入
xpath注入
命令行注入
SQL注入
跨站脚本攻击
有
有
有
有
恶意及非法编码
有
无
有
无
隐藏字段攻击
无
有
有
无
会话劫持攻击
有
有
有
无
参数篡改攻击
有
有
有
无
缓冲区溢出攻击
有
有
有
有
Cookie更改攻击
有
有
有
无
密码字典攻击
有
有
有
无
弱密码攻击
有
无
有
无
钓鱼攻击
无
无
有
无
目录遍历
有
无
有
有
扫描模块
有
无
专用扫描工具
极少部分漏洞
采用核心内钳技术,支持大规模连续篡改攻击防护
有
无
有
无
WEB入侵异常检测技术
无
无
有
无
实时检测及快速恢复
有
无
有
无
断线状态下检测
无
无
有
无
专长
应用层Dos/DDos攻击
垃圾邮件,间谍欺骗,病毒阻断
防篡改,防攻击,WAF,WEB应用及数据库安全
IPS,IDS等网络层安全设备
附录2.在选择WAF产品时,建议参考以下步骤:
结合业务需求明确平安策略目标,从而概念清楚WAF产品必需具有的操纵能力
评估每一家厂商WAF产品能够覆盖的风险类型
测试产品功能、性能及可伸缩性
评估厂商的技术支持能力
评估内部保护团队是不是具有保护、治理WAF产品的必需技术
衡量平安、产出和总本钱。
“本钱”不单单意味着购买平安产品/效劳产生的直接支出,还需要考虑是不是阻碍组织的正常业务、是不是给保护人员带来较大的治理开销。
升级会员 