admin管理员组文章数量:1530845
2024年7月12日发(作者:)
WEB应用防护系统
蓝盾信息安全技术股份有限责任公司
2014年7月3日
目录
1.
第一章 WAF ................................................................................................... 2
1.1 产生背景 ............................................................................................................................ 2
1.2 应用功能 ............................................................................................................................ 2
审计设备 ........................................................................................................................... 2
访问控制设备 ................................................................................................................... 3
架构/网络设计工具 .......................................................................................................... 3
WEB应用加固工具 ......................................................................................................... 3
1.3 特点 .................................................................................................................................... 3
异常检测协议 ................................................................................................................... 3
增强的输入验证 ............................................................................................................... 4
及时补丁 ........................................................................................................................... 5
基于规则的保护和基于异常的保护 ............................................................................... 5
状态管理 ........................................................................................................................... 5
其他防护技术 ................................................................................................................... 5
2.
第二章 BD-WAF ............................................................................................ 6
2.1蓝盾WEB应用防火墙简介 .............................................................................................. 6
2.2 BD-WAF 系统具备以下功能特性 ................................................................................... 6
2.3 BD-WAF 的详细参数 ....................................................................................................... 7
3.
第三章 绿盟 11
3.1 绿盟WAF简介 ............................................................................................................... 11
3.2 产品特点: ...................................................................................................................... 11
3.2 详细招标参数 .................................................................................................................. 12
4.
附录 ............................................................................................................... 17
附录1. WAF(WEB应用防火墙)技术比较表 .................................................................. 17
附录2. 在选择WAF产品时,建议参考以下步骤:......................................................... 18
第一章 WAF
Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,
简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对
HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
1.1 产生背景
当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴
含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁
发生。2007年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国
大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍。其中,中国大陆政府网站被
篡改各月累计达4234个。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存
在这样那样的问题,由此产生了WAF(Web应用防护系统)。Web应用防护系统(Web
Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙
一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因
此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF
对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对
非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
1.2 应用功能
审计设备
对与系统自身安全相关的下列事件产生审计记录:
(1)管理员登陆后进行的操作行为;
(2) 对安全策略进行添加、修改、删除等操作行为;
(3) 对管理角色进行增加、删除和属性修改等操作行为;
(4) 对其他安全功能配置参数的设置或更新等行为。
访问控制设备
用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
架构/网络设计工具
当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
WEB应用加固工具
这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能
够保护WEB应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。
同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把
WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模
块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的
第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持
它。)
1.3 特点
异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并
且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些
Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项
增强的输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从
而减小Web服务器被攻击的可能性。
及时补丁
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样
的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有
全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞
的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选
择的情况下,任何保护措施都比没有保护措施更好。
(附注:及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信
协议都具规范性。)
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,
并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法
应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十
分透彻的了解才可能做到,可现实中这是十分困难的一件事情。
状态管理
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事
件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常
事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分
有利的。
其他防护技术
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的
问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。
第二章 BD-WAF
2.1蓝盾WEB应用防火墙简介
蓝盾Web应用防火墙,简称 BD-WAF,是蓝盾开发的新一代安全产品,作为
网关设备, 防护对象为 Web、Webmail 服务器,其设计目标为:针对安全事件
发生时序进行安全建模,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、
防护及诊断,提供 综合 Web 应用安全解决方案。 事前,BD-WAF 提供 Web 应
用漏洞扫描功能,检测 Web 应用程序是否存在 SQL 注入、跨 站脚本漏洞。事
中,对黑客入侵行为、SQL 注入/跨站脚本等各类 Web 应用攻击、DD.o.S 攻
击进行有效检测、阻断及防护。事后,针对当前的安全热点问题,网页篡改及网
页挂马,提 供诊断功能,降低安全风险,维护网站的公信度。
2.2 BD-WAF 系统具备以下功能特性:
应用多维防护体系,有效应对 SQL 注入、跨站脚本及其变形攻击,提供细粒
度应用层 DDoS 攻击防护;
网页防篡改系统支持-Linux、Windows、BSD 系统;
Web 加速支持;
实时检测网页篡改,降低网站安全风险;
提供挂马主动诊断功能,维护网站公信度;
敏感信息扫描和过滤;
透明安全检测,不用改变网络拓扑;
提供多种负载均衡算法;
支持虚拟主机部署,适合 IDC 环境;
支持 WebMail 的安全检测;
BD-WAF 监控新模式;
攻击、特征库在线平滑升级; ,
提供HA,有效避免网络单点故障;
2.3 BD-WAF 的详细参数
指标项 指标子项
吞吐能力
并发数
★性能要求 HTTP请求速率
支持站点数
网口数量
技术要求
HTTP吞吐量 >=500Mbps
最大HTTP并发数 6万
HTTP事物速率(Transaction) 12000/秒
不限制
4*10/100/1000M电口
★透明部署(基于透明网桥),需即插即用,无需做任何
★部署模式
配置即可防护。支持旁路部署。
★策略路由(支持流量牵引)
检测引擎
防护规则
部署能力
★智能阻断
断黑客的攻击行为
★自动学习并构建网站的URL模型,禁止违反现有模型
★URL自学习
的尝试行为
★支持更新、修正现有URL模型
HTTP RFC符合性 HTTP协议防护
HTTPS支持 SSL加密会话分析
提供高度灵活的自定义规则向导,适用于高级用户
基于智能用户行为识别的动态防护机制,识别并彻底阻
高性能攻击特征检测引擎
系统提供完善的内置规则
★WEB应用漏洞扫能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏
安全特性
描
★碎片组包
支持超长报文组包(最大30M)
编码还原 ASCII编码的还原
洞扫描
支持任意碎片组包
Unicode编码的还原
各种混淆编码的还原
★WEB基础架构防★蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB
护 通用攻击防护
SQL注入及XSS攻击防护
跨站请求伪造(CSRF)攻击防护
爬虫防护
防盗链
★WEB应用安全防
恶意扫描防护
护
Cookie安全
服务器信息伪装/过滤
缓冲区溢出
HTTP请求类型
Webshell行为拦截
自动恢复对文件、目录的篡改
支持FTP/SFTP连接方式
支持文件、目录排除
设置检测优先级
★网页篡改防护
支持多个防篡改用户
多操作系统支持:Windows、Linux、Unix、Solaris、A
IX等操作系统
支持基于时间的计划任务
★数据库防篡改 ★支持数据库防篡改,无需安装任何数据库代理插件。
支持对虚拟机中的任意数量网站进行防护,使多个虚拟
★支持虚拟化功能
机共用一个IP地址
恶意代码过滤
★内容安全
★敏感关键字自定义
★弱密码记录 ★记录登陆过程中使用的弱密码
基于规则的ACL
来源IP的ACL
★访问控制 目的IP的ACL
目的URL的ACL
支持基于时间的计划任务
主动阻断方式 丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问
来源IP攻击防护
Rerferer攻击防护
★防CC攻击防护
特定URL攻击防护
CC防护的访问控制(黑、白名单)
★TCP/UDP Flood防护,基于最大上限阀值设置,而非D
★抗拒绝服务攻击
DOS特征库
★802.1Q支持
网络自适应
端口汇聚(Trunk) 支持端口汇聚(Trunk),显著提高设备间的吞吐能力
能力
路由配置 支持静态路由的配置
安全报表(入侵统计、按入侵类别统计、被攻击主机、
★报表类型 攻击来源IP和地理位置、页面访问次数、网络接口流量
趋势)
报表功能
★webshell提示
警功能
报表查询
输出格式
按事件类型、统计目标或周期类型条件进行统计
支持将生成的报表以HTML、Word等通用格式输出
系统日志、审计日志和安全防护日志(入侵记录、攻击
日志类型
日志系统
可基于时间、IP、端口、协议、动作、规则集、规则集
日志查询
类别、危害等级、请求方法等条件进行日志查询。
日志管理
系统监控 监控类型
日志导出、清空、自动磁盘日志清理
安全事件监控、访问情况监控、设备负载监控
源IP所处地理位置、页面统计、网络流量、防篡改日志、
防CC日志)
报表提供对防护Web网站中已经存在Webshell文件的告
支持VLAN解码,在Trunk线路上部署并提供防护
显示网络接口状态,引擎状态、系统CPU、内存及磁盘
系统信息
使用率
系统诊断和
维护工具 抓包工具,可抓取的网络原始报文,用于分析网络状况
调试功能
配置备份与导入 支持系统配置的备份与导入功能
支持主从部署模式
HA双机
高可用性
支持双机配置自动同步
硬件BYPASS
联动功能 ★联动功能
必须同一品牌,提供原厂商联动证明原件。
公安部信息安全产品销售许可证
★产品要求
ISCCC中国国家信息安全产品认证证书
产品要求 (出具加盖厂商公
软件著作权登记证书
章的复印件)
国家保密局涉密认证
厂商资质 厂商具备省级或省级以上计算机信息系统安全服务备案
证;
具备信息安全服务二级或以上风险评估服务资质;
具备信息安全服务二级或以上应急响应安全服务资质认
证;
具备信息安全服务二级或以上信息系统安全集成服务资
★厂商资质
质认证证书;
(出具加盖厂商公
为省或省级以上计算机信息网络安全协会的指定服务单
章的复印件)
位;
ISO20000信息技术服务管理认证证书;
ISO27001信息安全管理体系认证证书;
CMMI 3级或以上证书;
具备国家工业和信息化部颁发的计算机信息系统集成一
级资质.
内置bypass模块,设备故障直接切换到bypass模式
为了建立统一安全管理联动平台,与XXX安全产品[U1]
支持链路是否正常的监控
第三章 绿盟WAF
3.1 绿盟WAF简介
绿盟科技Web应用防火墙(简称WAF)将客户资产作为组织Web安全解决方案的依
据,用黑、白名单机制相结合的完整防护体系,通过精细的配置将多种Web安全检测方法
连结成一套完整(COMPLETE)的解决方案,并整合成熟的DDoS攻击抵御机制,能够在
IPV4、IPV6及二者混合环境中抵御OWASP Top 10等各类Web安全威胁和拒绝服务攻击,
并以较低的运营成本为各种机构提供透明在线部署、路由旁路部署和云部署,能方便快捷的
部署上线,保卫您的Web应用免遭当前和未来的安全威胁。
作为中国市场领先的WAF产品,绿盟科技WAF已经被超过1000家机构选中,包括中国移
动、中国电信、国家电网等。来自国外权威咨询机构Frost & Sullivan 2013年市场报告数据
表明,绿盟科技WAF在2012年以25.6%占有率位列大中华区市场份额首位,连续3年
(2010-2012)领跑大中华区市场。在国际市场,它已为美国、日本和东南亚的多家客户提
供了帮助。
3.2 产品特点:
双向数据检测:支持网络层、Web Server/Application层双向数据检测和保护,可以
降低Web站点安全风险。
灵活的部署能力:支持透明串联、反向代理和基于路由的多种旁路部署方式,网络适应
性强,支持Fail-open机制和只对Web流量执行牵引/回注的处理机制,可以避免成为主
干链路的单点故障。
紧急自动模式:支持网站缓存和紧急模式,在Web页面被篡改或访问中断时,可以代
替Web服务器将缓存的页面返回给客户端;可以在Web访问量超过阈值时自动切换成紧
急模式,避免成为性能瓶颈。
虚拟补丁:"WAF with Cloud"的部署方案,定期自动获取专家级、个性化的《网站漏
洞扫描报告》,并转化为WAF可执行的、有针对性的Web安全防护策略。
3.3 详细招标参数
绿盟Web应用防火墙
指标
项
系统
架构
硬件
架构
指标子项
技术要求
系统架构 产品应采用1U专用机架式硬件设备,系统硬件为全内置封闭式结构
基本网络接口
★最大吞吐能力
电口*5,千兆电口Bypass
吞吐量≥200Mbps
★性
能要
求
★并发TCP会话数 ≥50万
★HTTP请求速率
★网络延迟
★可防护IP数量
≥ 9000 次/秒
≤ 0.1毫秒
≥ 50个
★透明部署(基于透明网桥),需即插即用,无需做任何配置即可防护。
★部署模式
支持旁路部署。
★策略路由(支持流量牵引)
检测引擎
部署
能力
★智能阻断
为
★自动学习并构建网站的URL模型,禁止违反现有模型的尝试行为(提
★URL自学习
供界面截图)
★支持更新、修正现有URL模型(提供界面截图)
HTTP RFC符合性
HTTPS支持
★WEB应用漏洞扫
能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏洞扫描
描
支持任意碎片组包
★碎片组包
支持超长报文组包(最大30M)
ASCII编码的还原
编码还原
安全
特性
★WEB基础架构防
★蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB通用攻击防护
护
SQL注入及XSS攻击防护
跨站请求伪造(CSRF)攻击防护
爬虫防护
★WEB应用安全防
恶意扫描防护
护
Cookie安全
服务器信息伪装/过滤
缓冲区溢出
Unicode编码的还原
各种混淆编码的还原
HTTP协议防护
SSL加密会话分析
防护规则
提供高度灵活的自定义规则向导,适用于高级用户(提供界面截图)
基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行
高性能攻击特征检测引擎
系统提供完善的内置规则
HTTP请求类型
Webshell行为拦截
自动恢复对文件、目录的篡改
支持FTP/SFTP连接方式
支持文件、目录排除
★网页篡改防护 设置检测优先级
支持多个防篡改用户
多操作系统支持:Windows、Linux、Unix、Solaris、AIX等操作系统
支持基于时间的计划任务
★数据库防篡改
★支持虚拟化功能
址
恶意代码过滤
★内容安全
★敏感关键字自定义
★弱密码记录
★备案检查
(提供界面截图)
基于规则的ACL
来源IP的ACL
★访问控制 目的IP的ACL
目的URL的ACL
支持基于时间的计划任务
主动阻断方式 丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问
来源IP攻击防护
★防CC攻击防护
Rerferer攻击防护
★记录登陆过程中使用的弱密码(提供界面截图)
★检测网站的备案情况,对于通过备案网站放行,未通过备案禁止访问
★支持数据库防篡改,无需安装任何数据库代理插件。(提供界面截图)
支持对虚拟机中的任意数量网站进行防护,使多个虚拟机共用一个IP地
(提供界面截图)
特定URL攻击防护
CC防护的访问控制(黑、白名单)
★TCP/UDP Flood防护,基于最大上限阀值设置,而非DDOS特征库(提
★抗拒绝服务攻击
供界面截图)
网络
自适
应能
★802.1Q支持 支持VLAN解码,在Trunk线路上部署并提供防护(提供界面截图)
端口汇聚(Trunk) 支持端口汇聚(Trunk),显著提高设备间的吞吐能力(提供界面截图)
路由配置 支持静态路由的配置
安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地
★报表类型
理位置、页面访问次数、网络接口流量趋势)
力
报表
功能
★webshell提示
报表提供对防护Web网站中已经存在Webshell文件的告警功能(提供界
面截图)
报表查询
输出格式
日志类型
按事件类型、统计目标或周期类型条件进行统计
支持将生成的报表以HTML、Word等通用格式输出
系统日志、审计日志和安全防护日志(入侵记录、攻击源IP所处地理位
日志
系统
日志查询
日志管理
系统
监控类型
置、页面统计、网络流量、防篡改日志、防CC日志)
可基于时间、IP、端口、协议、动作、规则集、规则集类别、危害等级、
请求方法等条件进行日志查询。
日志导出、清空、自动磁盘日志清理
安全事件监控、访问情况监控、设备负载监控
显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率
抓包工具,可抓取的网络原始报文,用于分析网络状况
监控
系统信息
系统
诊断
和调
试功
能
配置备份与导入
维护工具
支持系统配置的备份与导入功能
支持主从部署模式
高可
用性
硬件BYPASS
资质
要求
(提
供相
★涉密资质
HA双机 支持链路是否正常的监控
支持双机配置自动同步
内置bypass模块,设备故障直接切换到bypass模式
★获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密
标准BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要
求》的千兆《涉密信息系统产品检测证书》,并出具加盖厂商公章的复印
件。
关资
质复
印件,
生产
厂商
盖章)
★强制认证
★获得国家保密局涉密信息系统安全保密测评中心的《检测报告》,性能
测试部分:背景流量达到1000Mbps下的检测报告,并出具加盖厂商公章
的复印件。
★获得中国信息安全认证中心颁发的符合CNCA/CTS 0050-2007《信息技
术 信息安全 网站恢复产品认证技术规范》增强级认证《中国国家信息
安全产品认证证书》,并出具加盖厂商公章的复印件
获得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并出具
加盖厂商公章的复印件
★获得公安部计算机信息系统安全产品质量监督检验中心颁发的《WEB
★销售许可证 过滤防护》检测报告,并出具加盖厂商公章的复印件
★设备生产厂商应具有漏洞发现能力,并获得国家相关部门认可,至少
曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提
交证明》,不低于3份。
售后
服务
支持
技术支持服务
★上述硬件平台、所有软件功能模块提供三年原厂保修和升级服务。
★为应对网络安全事件,投标方应成立WEB安全应急处置小组进行紧急
响应,响应时间:7×24小时响应。
第四章 附录
附录1. WAF(WEB应用防火墙)技术比较表
部署模式
蓝盾
透明部署(基于
透明网桥)
策略路由(支持
流量牵引
Web加速
应用层DOS
注入式攻击
有
有
SQL注入
有
无
SQL注入
命令行注入
有
有
SQL注入
xpath注入
命令行注入
跨站脚本攻击
恶意及非法编
码
隐藏字段攻击
会话劫持攻击
参数篡改攻击
缓冲区溢出攻
击
Cookie更改攻
击
密码字典攻击
弱密码攻击
有
有
有
无
有
有
无
无
有 有 有 无
无
有
有
有
有
有
有
有
有
有
有
有
无
无
无
有
有
有
有
无
有
有
有
无
无
有
SQL注入
梭子鱼
桥接模式,反向
代理模式,单臂
模式
安恒
反向代理模式,
桥模式,单臂模
式
绿盟
桥模式,单臂模
式
钓鱼攻击
目录遍历
扫描模块
采用核心内钳
技术,支持大规
模连续篡改攻
击防护
WEB入侵异常
检测技术
实时检测及快
速恢复
断线状态下检
测
专长
无
有
有
有
无
无
无
无
有
有
专用扫描工具
有
无
有
极少部分漏洞
无
无 无 有 无
有 无 有 无
无 无 有 无
应用层垃圾邮件,间谍防篡改,防攻击,IPS,IDS等网络
层安全设备 Dos/DDos攻击 欺骗,病毒阻断 WAF,WEB应用
及数据库安全
附录2. 在选择WAF产品时,建议参考以下步骤:
结合业务需求明确安全策略目标,从而定义清楚WAF产品必须具备的控制能力
评估每一家厂商WAF产品可以覆盖的风险类型
测试产品功能、性能及可伸缩性
评估厂商的技术支持能力
评估内部维护团队是否具备维护、管理WAF产品的必需技能
权衡安全、产出以及总成本。“成本”不仅仅意味着购买安全产品/服务产生的直接支 出,
还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销。
版权声明:本文标题:WAF-web防御系统 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1720720297a839502.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论