Web防火墙技术白皮书(WebRay V3.4.2)

多种部署模式， 多种部署模式，随机应变用户拓扑变化
WebRay 提供透明、路由、混合的工作模式，便于灵活部署。
便利的向导管理功能 便利的向导管理功能 管理
Web 应用防火墙配置较网络层防火墙复杂，对配置者技术水 平要求较高， WebRay 系列应用防火墙具备的配置向导， 可以最 大限度降低出现配置问题，保证一次性快速完成。
远江盛邦（北京）信息技术有限公司
WebRay Web 防火墙技术白皮书
WEBRAY 提供网页挂马检测功能， 全面检查网站各级页面中 是否被植入恶意代码，并及时提醒客户。
效的响应用户的请求。负载均衡建立在现有网络结构之上，它提 供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网 络数据处理能力，提高网络的灵活性和可用性。它主要完成以下 任务：解决网络拥塞问题，服务就近提供，实现地理位置无关性; 为用户提供更好的访问质量;提高服务器响应速度;提高服务器及 其他资源的利用效率;避免了网络关键部位出现单点失效。 五种负载均衡算法支持，分层架构的设计模型，将网络拓扑 与应用安全分离，大大减轻管理员的负担。 在网络接入方面，WebRay 支持链路聚合以及 VLAN 技术， 真正满足大型网络使用。
远江盛邦（北京）信息技术有限公司
-5-
WebRay Web 防火墙技术白皮书
采用文件级驱动保护技术后，用户每次访问每个受保护网页 时， Web 服务器在发送之前都进行完整性检查，保证网页的真实 性，可以彻底杜绝篡改后的网页被访问的可能性。 支持 Windows 2000/xp/2003/2008(64 位), Linux/BSD 系统的网 页防篡改。
WebRay 应用防火墙产品白 皮书
高性能、 高性能、高稳定性
远江盛邦（北京） 远江盛邦（北京）信息技术有限公司
WebRay Web 防火墙技术白皮书
1.
应用背景
当 Web 应用越来越为丰富的同时，Web 服务器以其强大的
2) 有一些定位比较综合、提供丰富功能的防火墙，也具备一 定程度的应用层防御能力，但局限于最初产品的定位以及对 Web 应用攻击的研究深度不够，只能提供非常有限的 Web 应用防护。 随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多 样，单纯的防火墙无法进行七层防护，已经无法满足 Web 应用防 护的需求。 IPS/UTM 的不足： 的不足： 入侵检测系统 IPS/综合安全网关 UTM 是近几年来发展起来、 逐渐成熟的一类安全产品。它弥补了防火墙的某些缺陷，由于 IPS/UTM 对 WEB 的检测粒度很粗， 随着网络技术和 Web 应用的 发展复杂化， IPS/UTM 在 WEB 专用防护领域已经开始力不从心。
WebRay Web 防火墙技术白皮书
WebRay 应用防火墙，以下简称 WEBRAY，是 XXXX 基于自主知识 产权的 RayOS 开发的新一代安全产品，作为网关设备，防护对象为 Web、 Webmail 服务器，其设计目标为：针对安全事件发生时序进行安全建模， 分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提 供综合 Web 应用安全解决方案。 事前， WEBRAY 提供 Web 应用漏洞扫描功能， 检测 Web 应用程 序是否存在 SQL 注入、跨站脚本漏洞。 事中，对黑客入侵行为、SQL 注入/跨站脚本等各类 Web 应用攻 击、DD.o.S 攻击进行有效检测、阻断及防护。 事后，针对当前的安全热点问题，网页篡改及网页挂马，提供诊 断功能，降低安全风险，维护网站的公信度。 WebRay 应用防火墙产品提供了业界领先的 Web 应用攻击防护能力， 通过多种机制的分析检测，WebRay 的技术能够有效的阻断攻击，保证 Web 应用合法流量的正常传输，这对于保障业务系统的运行连续性和完整 性有着极为重要的意义。同时，针对当前的热点问题，如 SQL 注入攻击、 网页篡改、网页挂马等，WEBRAY 按照安全事件发生的时序考虑问题，优 化最佳安全-成本平衡点，有效降低安全风险。 远江盛邦（北京）信息技术有限公司 WEBRAY 基于 RayOS 系统开发，因此具备以下特性： 应用多维防护体系， 有效应对 OWASP TOP 10 定义的 Web 威胁， 如 SQL 注入、跨站脚本及其变形攻击； 提供细粒度应用层、网络层 DD.o.S 攻击防护 网页防篡改系统支持, 支持 Linux、Windows、BSD 系统，并能 提供集中管理模式； Web 加速/HTTPS 引擎加速支持 实时检测网页篡改，降低网站安全风险 提供挂马主动诊断功能，维护网站公信度 -4-
远江盛邦（北京）信息技术有限公司 -8-
WebRay Web 防火墙技术白皮书
双操作系统， 双操作系统，双机 HA ，可靠性更高
RayOS 独有的双操作系统驱动模型， 保证系统平滑的进行规 则库、版本库、核心引擎的在线升级，避免可能的中断客户网络 应用的情况发生。
2. 产品概述
为了弥补目前安全设备，如防火墙对 Web 应用攻击防护能力的不足， 我们需要一种新的工具用于保护重要信息系统不受 Web 应用攻击的影响。 这种工具不仅仅能够检测目前复杂的 Web 应用攻击， 而且必须在不影响正 常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见 的安全产品，必须具备更细粒度的攻击检测和分析机制。 远江盛邦（北京）信息技术有限公司 -3-
Web 扫描支持
WebRay 提供 Web 漏洞扫描系统，定期对客户 Web 资源进 行安全体检，从而进行事前防范和处理。
立体化防护， 立体化防护，从上到下的安全保护
构建多维防护体系， 网络层、 应用层 4 层 Web 安全扫描与检 查，网页防篡改、Web 安全扫描互动，网络层、应用层 D.DoS， 构建立体式防护网络。
网页挂马主动诊断
网页挂马，可以认为是一种比较隐蔽的网页篡改方式，其最 终目的为盗取客户端的敏感信息，如各类帐号密码，甚而可能导 致客户端主机沦为攻击者的肉鸡。Web 服务器成为了传播网页木 马的“傀儡帮凶”，严重影响到网站的公众信誉度。
-7-
HTTPS 网守应用
SSL 应用越来越广，能提供安全、可靠的 HTTP 服务，因此 被大量采用。但有的客户因为条件限制无法提供 HTTPS 加密传
计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。 SQL 注入、网页篡改、网页挂马等安全事件，频繁发生。2007 年， 国家计算机网络应急技术处理协调中心 （简称 CNCERT/CC） 监测到中国大陆被篡改网站总数累积达 61228 个，比去年增加了 1.5 倍。其中，中国大陆政府网站被篡改各月累计达 4234 个。
webwebwebweb安全扫描安全扫描安全扫描安全扫描web安全站点扫描web负反馈式自动防御系统系统管理系统管理系统管理系统管理dns管理邮件报警多角色用户管理多角色用户管理多角色用户管理多角色用户管理审计员网络管理网络管理网络管理网络管理vlan支持arp管理双机备份双机备份双机备份双机备份hahahahavrrp协议主备模式日志管理日志管理日志管理日志管理攻击日志系统诊断系统诊断系统诊断系统诊断sshconsol部署模式部署模式部署模式部署模式混合模式webraywebwebraywebwebraywebwebrayweb防火墙技术白皮书防火墙技术白皮书防火墙技术白皮书防火墙技术白皮书远江盛邦北京信息技术有限公司wwwwebraycomcn双操作系统双操作系统双操作系统双操作系统系统升级网络层防火墙网络层防火墙网络层防火墙网络层防火墙url访问控制系统状态检测系统状态检测系统状态检测系统状态检测部署部署部署部署模式模式模式模式在透明代理模式下用户无需改动自己的网络拓扑webray能自动适应网络结构捕获web流量进行安全检测过滤防护等安全功能
完整网页防篡改解决方案， Linux、 SD，Windows 完整网页防篡改解决方案，支持 Linux、BSD， 系统
Web 防火墙集中管理控制各个网页防篡改端点， 并提供监控、 同步、发布功能。 基于文件夹驱动级保护技术，事件触发机制，确保系统资源 不被浪费。 与 WAF 联动：网页防篡改（端点技术）与 WAF 联动，阻断 Web 威胁。
远江盛邦（北京）信息技术有限公司
-2-
WebRay Web 防火墙技术白皮书
Web 应用防火墙
Web 应用防火墙（Web Application Firewall, 简称：WAF）代表了一 类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。 与传统防火墙不同， WAF 工作在应用层， 因此对 Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻理解， WAF 对来自 Web 应用程序客户端的各类请求进行内容检测和验证，确保 其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进 行有效防护。
远程技术支持
针对网络应用中的配置、管理问题，WebRay 提供了远程在 线支持体系，管理员只需根据向导配置，即可生成相关配置系统， 发送给相关技术人员进行在线协助。
可视化管理
远江盛邦（北京）信息技术有限公司 -9-
WebRay Web 防火墙技术白皮书
WebRay 强大的设备监控功能，管理员可以实时监控 WAF 的工作状态、攻击威胁等系统信息。目前监控信息分为 3 大类 （WebRay 系统软件、硬件状态信息，Web 安全攻击信息，网页 防篡改系统信息），共计 26 种状态信息，从而使管理员可以随时 对网络和防火墙的状态有详尽了解，及时发现并排除网络问题， 保障应用的稳定运行。
远江盛邦（北京）信息技术有限公司
-6-
WebRay Web 防火墙技术白皮书
HTTPS 卸载/加速 卸载/
如下图， 针对 SSL 加密应用， WAF 根据业务模型提供 HTTPS 卸载和 HTTPS 加速应用，从而保证服务器的安全性和可靠性。
输，因此面临较高的风险。WebRay 根据面向此种模型开发的 HTTPS 网守服务，能为客户提供无缝 HTTPS 服务，从而最大保 护客户数据安全性。如下图所示。
D.DoS 防护
4. 产品特性
Web 安全
SQL 注入、跨站攻击、Cookie 注入、恶意代码、缓冲区 溢出等 Web 机器变种攻击 防信息泄露 网站挂马防护及其检测 协议完整性检测
CSRF 防盗链 Web 扫描支持 HTTP RFC 协议完整性检查 关键字过滤 HTTP 协议合规性检查
应用交付
Web 应用加速 HTTPS 应用加速 HTTPS 的卸载和加壳 应用负载均衡，多种均衡算法
创新的基于树型的审计日志展示方式 创新的基于树 基于树型
WebRay 根据攻击威胁，将攻击信息树形进行展示，提Байду номын сангаас管 理的易用性，大大减轻管理员负担。
防火墙，UTM， 能否解决问题？ 防火墙，UTM，IPS 能否解决问题？
企业一般采用防火墙作为安全保障体系的第一道防线。但 是，在现实中，他们存在这样那样的问题。 防火墙的不足主要体现在： 防火墙的不足主要体现在： 1) 传统的防火墙作为访问控制设备，主要工作在 OSI 模型 三、四层，基于 IP 报文进行检测。它就无需理解 Web 应用程序 语言如 HTML 及 XML，也无需理解 HTTP 会话。因此，它也不可 能对 HTML 应用程序用户端的输入进行验证、或是检测到一个已 经被恶意修改过参数的 URL 请求。
WebRay Web 防火墙技术白皮书
敏感信息扫描和过滤 透明安全检测 支持虚拟主机、负载均衡部署，适合 IDC 环境 支持 WebMail 的安全检测 攻击、特征库在线平滑升级 双系统冗余及双击热备功能，有效避免系统/网络单点故障
3. 产品特色
精细化 Web 安全防护
WebRay 应用防火墙能防护 7 大类 Web 攻击威胁。精细化 的规则配置， 发挥最大的安全防护功能， 有效应对 OWASP Top10 定义的威胁及其变种。
专业 DDOS 防护引擎，让服务器更加安全 防护引擎，
WebRay 的防 D.DoS 攻击模块采用主动监测加被动跟踪相互 结合的防护技术，可辨识多种 D.DoS 攻击，并启用特有的阻断， 能够高效地完成对 D.DoS 攻击的过滤和防护。 针对互联网中常见 的 D.DoS 攻击手段，提供多种防护手段结合的方式，有效的阻断 攻击行为， 从而确保服务器可以正常提供服务。 能有效的防止 CC 和 SynFlood 攻击。
负载均衡、虚拟主机支持， Web 负载均衡、虚拟主机支持，满足 IDC 应用、大型 支持 应用、 网络需要 网络需要
网络访问就会急剧上升，从而造成网络瓶颈随着用户访问数 量的快速增加，需要对现有的服务器进行负载均衡。为了保证各 台服务器的负载均匀分布，合理地分流用户，需要一种服务器负 载均衡设备对 web 服务器进行负载均衡。负载均衡设备介于服务 器和用户端之间，扮演了一个智能的指挥者角色。根据当前各个 服务器的工作状态和能力来分配服务器负载，使整个系统能更高