天清Web应用安全网关介绍

IDS能对通用操作系统、数据库漏洞进行检测，但无法保护个性化的Web网站 IDS和WAF协同关系
• Gartner 2014分析报告
IPS/NGFW的主要工作职责和局 限
IPS/NGFW无法取代WAF，Gartner 2014分析报告中罗列功能IPS/NGFW 防护效果不如WAF，IPS/NGFW和WAF协同关系
一句话介绍WAF：WAF可以对HTTP/HTTPS协议进行深入分析处理，弥补防火墙、IDS及IPS等传 统安全产品对于WEB应用威胁防护上的缺陷；
产品发展历程
天清Web应用安全网关V7.0进入海外市场 推出高端EP平台万兆WAF 国内首家获得CVE认证的WAF产品 获得Frost & Sullivan亚太区WAF市场排名第二位
• 《网上银行信息安全规范》Web安全要求
《网银规范》安全技术规范中明确Web应用安全: a) 资源控制： b) 编码规范约束： c) 会话安全： d) 源代码管理： e) 防止敏感信息泄漏： f) 防止SQL 注入攻击： g) 防止跨站脚本攻击： h) 防止拒绝服务攻击：
【政策法规驱动-（二）】
• PCI-DSS规范 PCI-DSS适用对象 PCI-DSS标准主要针对网上商家、金融机构、信用卡和借计卡处理商、 卡公司和端点POS终端。根据v1.1规范： “存储、处理或传输主账号（PAN）时可以使用PCI-DSS规范。如 果不存储、处理或传输PAN，不能使用PCI-DSS规范。”如果机构通过 基于Web的应用或接口直接进行或支持网上信用卡交易，必须遵守PCI 规范。 6.5 – 基于Open Web Application Security Project等安全编码指 南开发所有的Web应用。查看自定义应用代码来识别编码漏洞。防御软 件开发过程中普遍的编码漏洞，包括以下几方面： 6.5.1 – 失效的输入 6.5.2 – 失效的接入控制（例如，恶意使用用户ID） 6.5.3 – 失效的验证和会话管理（账户证书和会话cookie的使用） 6.5.4 – 跨站点脚本（XSS）攻击 6.5.5 – 缓冲区溢出
政策法规驱动六中央网络安全和信息化领导小组办公室文件中网办发文20141号2014年5月9日发文关于加强党政机关网站安全管理的通知主要针对中央及各级党政机关网站其中第七部分为加强党政机关网站技术防护体系建设提到了建立以网页防篡改域名防劫持网站防攻击以及密码技术身份认证访问控制安全审计等为主要措施的网站安全防护体系提高网站防篡改防病毒防攻击防瘫痪防泄密能力
推出针对VXID算法（解决XSS 跨站脚本攻击）
推出天清入侵防御系统V6.0（WIPS） 推出国内第一款入侵检测产品天阗 及漏洞管理产品天镜 国内首家WAF获得 OWASP组织颁发 《WEB应用防火墙 认证证书》
2006年
产品定位
网页篡改
信息窃取 敏感信息泄露 目录遍历
FW
+
非法入侵
Hale Waihona Puke SQL服务器攻击者
WEB服务器
IDS、IPS、NGFW • WAF的定位 –
拒绝服务
工作原理 ： WAF支持串行、反向代理、单臂部署模式，防御Web应用和数据库中的数据被攻击 和篡改；
–
–
关键价值： WEB应用防火墙（简称WAF),是专门针对网站防护所设计的安全产品；
政策驱动型目标客户—金融行业
【政策法规驱动-（一）】
• 网上银行信息安全规范 (银发[2010]19号 ) 要求对象:中国人民银行上海总部，各分行， 营业管理部，各省会（首府）城市中心支行， 副省级城市中心银行； 各政策性银行，国有 商业性银行，股份制商业银行，中国邮政储 蓄银行； 简要说明： 1）是在网上银行系统信息安全问题和已发生过 的网上银行案件的基础上，有针对性提出的 安全要求，内容涉及网上银行系统的技术、 管理和业务运作三个方面； 2）分为基本要求和增强要求，基本要求为最低 安全要求，增强要求为下发之日起的三年内 应达到的安全要求； 3）旨在有效增强现有网上银行系统安全防范能 力，促进网上银行规范、健康发展。既可作 为网上银行系统建设和改造升级的安全性依 据，也可作为各单位开展安全检查和内部审 计的依据。
Port 80 Port 443
防火墙需要开放80端口，无法保护通过80端口提供服务的Web服务器！ 防火墙和WAF协同关系
IDS的主要工作职责和局限
• • • 检测数据包有效负载，比对特征进行攻击防御 IDS防御特征码主要针对通用的协议或应用漏洞，但是Web网站代码往往由用户 自行编写，没有通用补丁 IDS能识别网络协议，根据每个数据包作出允许还是拒绝的决定，但不还原识 别具体的内容，例如不识别网页内容、URL参数、cookie内容、表单输入等。
【政策法规驱动-（五）】
• 中华人民共和国通信行业标准 移动互联网联网应用安全防护要求 5.2.1.3.7 其他 1）应用技术手段检测和避免WEB业务 系统域名、访问链路的异常、访问延 迟、解析错误等情况，并有应急处理 能力 2）应避免存在常见的WEB漏洞（如， SQL注入、跨站脚本、CSRF等）； 3）应能检测挂马、暗链等WEB业务系 统入侵事件，并有应急处理能力。
f)应能够对系统服务水平降低到预先规定的最小值进行 检测和报警；
启明星辰 Web安全解决方案 —— 启明星辰天清Web应用安全网关（WAF）
规范要求 7.1.4.2访问控制，a) 7.1.4.2访问控制，b) 7.1.4.2访问控制，f) 7.1.4.3安全审计，a） WAF 解决方案
Venustech 应用防火墙提供全面的应用分析，可针对各种网页应 用对象进行规则设置，进行精细化的访问控制和用户控制。 访问控制可完全针对各种资源访问的主体和客体，并可进行各种 关系的逻辑与、或、非等操作。 提供敏感信息防护功能，可对预先定义好的敏感数据和重要信息 资源进行监测和泄露保护。 Venustech 提供全局用户跟踪功能，可有效识别每一个应用用户， 并根据应用用户设置对应的安全规则。
政策驱动型目标客户—等级保护
【政策法规驱动-（三） 】
• GB/T 22239-2008 信息安全技术 信 息系统安全等级保护基本要求
要求对象: 1）政府机关：各大部委、各省级政府 机关、各地市级政府机关、各事业单位等； 2）金融行业：金融监管机构、各大银 行、证券、保险公司等 3）电信行业：各大电信运营商、各省 电信公司、各地市电信公司、各类电信服 务商等 4）能源行业：电力公司、石油公司、 烟草公司 5）企业单位：大中型企业、央企、上 市公司等 6）其它有信息系统定级需求的行业与 单位
7.1.4.9资源控制，d） 7.1.4.9资源控制，f）
【政策法规驱动-（四）】
• 互联网安全保护技术措施规定（公安部令第82号） 互联网安全保护技术措施规定 第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。 未经用户同意不得公开、泄露用户注册信息，但法律、行政法规另有 规定的除外。 第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全 保护技术措施： （一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或 者行为的技术措施； 第九条 提供互联网信息服务的单位除落实本规定第七条规定的互联 网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措 施： （三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、 网页被篡改，被篡改后能够自动恢复；
【政策法规驱动-（七）】
中央网络安全和信息化领导小组办公室文件（中网办发文【2014】1号） 2014年5月9日发文 关于加强党政机关网站安全管理的通知 主要针对中央及各级党政机关网站 其中第七部分为“加强党政机关网站技术防护体系建设”提到了建立以网页防 篡改、域名防劫持，网站防攻击以及密码技术、身份认证、访问控制、安全审 计等为主要措施的网站安全防护体系提高网站防篡改、防病毒、防攻击、防瘫 痪、防泄密能力。
6.5.6 – 注入缺陷（例如，结构化查询语言（SQL）注入） 6.5.7 – 不当的错误处理 6.5.8 – 不安全的存储 6.5.9 – 拒绝服务 6.5.10 – 不安全的配置管理 6.6 – 采用以下任意一种方法确保所有面向Web的应用免受已知 的攻击： • 让专门从事应用安全的机构检查所有的自定义应用代码是否存有 普遍的漏洞。 • 在面向Web应用的前端安装应用层防火墙 注意：这种方法一直被认为是最佳的做法，2008年6月30日以后这 种做法将会成为一种必须的要求。
2014年 2013年
国内首家发布多核架构的万兆WAF产品 推出WAF产品防御OWASP Top 10威胁 推出天清Web应用安全网关V7.0 （WAF） 推出针对Web应用防护的天清入侵防 御系统V7.0（WAF） 推出针对VSID算法（解决SQL 2007年 注入攻击）
2012年 2011年 2010年
应用安全 应用安全
7.1.4.3安全审计 7.1.4.8软件容错
7.1.4.9资源控制
应用安全
f)应依据安全策略严格控制用户对敏感标记重要信息资 源的操作 a)应提供覆盖到每个用户的安全审计功能，对应用系统 重要的安全事件进行审计； a)应提供数据有效性检验功能，保证通过人机接口输入 或通过通信接口输入的数据格式或长度符合系统设定 要求； d) 应能对一个时间段内可能的并发会话连接数进行限 制
• •
Web应用安全要求 《等级保护》中相关Web应用安全要求: 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 7.1.4.2访问控制 a)应提供访问控制功能，依据安全策略控制用户对文件、 数据库表等客体的访问； 应用安全 b) 访问控制的覆盖范围应包括与资源访问相关的主体、 客体及它们之间的操作；
• Frost & Sullivan 2013年市场分析：
– WAF市场在未来几年内将会高速增长，
复合增长率达到30.5%，2020年中国区市 场规模约为13.6亿人民币。
• Frost & Sullivan 分析：
–
85%的用户认识到商业环境中Web应用的重 要性，这与IT发展大趋势以及WEB2.0技术日趋 成熟是一致的；
7.1.4.8软件容错，a）
Venustech 提供http协议合规自学习功能，可自动学习应用系统 正常的输入数据格式、长度等，并可在不修改应用的情况下，利 用WAF来规范数据输入的有效性。
Venustech WAF可根据需要控制用户对应用访问的每秒最大请 求数、每秒最大速率，避免应用层DDos的攻击 Venustech 并可根据第三方网页应用漏洞扫描工具对现有应用进 行安全渗透检查，发现弱点后，可直接对WAF进行虚拟补丁。
【政策法规驱动-（六）】
• 国务院办公厅关于进一步加强政府网站管理工作的通知 国办函〔2011〕40 号 各省、自治区、直辖市人民政府，国务院各部委、各直属机构： 四、规范管理，不断提升政府网站工作水平 政府网站管理单位要建立网站链接审批制度，严格审核把关；运 行维护单位要定期检查链接的有效性，发现链接错误，要及时查明原 因，加以更正。网站管理和运行维护单位要建立值班读网制度，安排 值班人员每日登录网站读网，检查网站运行和页面显示是否正常，特 别要认真审看重要稿件和重要信息，及时发现和纠正错情。要不断完 善政府网站防攻击、防篡改、防病毒等安全防护措施，做好日常巡检 和监测，发现问题或出现突发情况要及时妥善处理。对于缺乏技术保 障力量的政府网站，上级政府、部门和主管单位要主动协调有关方面 提供技术支持，帮助其做好网站的安全防范工作。政府网站运行维护 单位要按照信息安全等级保护的要求，定期对网站进行安全检查，及 时消除隐患。
防火墙的主要功能职责和局限
• • 包过滤防火墙：检测数据包包头信息进行访问控制 状态检测防火墙：根据IP报文之间的关系区分出不同会话，可以基于会话进 行访问控制，属于会话层的安全防御手段，对HTTP内容仍然无法识别。
“75% 的安全事件由通过 80端口进行的攻击造成” Information Week
天清Web应用安全网关介绍
产品主题：Web网站的贴身保镖
目 录
产品需求背景和定位 产品特色功能和优势 产品应用部署和选型
案例列表和资质荣誉
为什么需要WAF？-需求背景
• hype cycle模型由Gartner总结:
–Web Application Firewall产品处于成长
上升期。 –曲线中体现，最接近上量的产品为Web Application Firewall(WAF)