天融信Web应用防火墙-方案白皮书
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WAF产品支持硬件bypass功能,可以串行接入用户网络环境,在设备升级维护等需要重新启动过程中确保用户网络通畅。WAF产品来自百度文库持主主、主备方式的双机热备功能,可以实现链路的高可用性
2
2.1
配置说明
2U机架式结构;最大配置为26个接口;
4个10/100/1000BASE-T接口和4个SFP插槽,2个10/100/1000BASE-T接口(作为HA口和管理口);
远程文件包含攻击
本地文件包含攻击
目录遍历
信息泄漏
WebShell检测
HTTP协议异常
HTTP协议违规
其他类型的攻击
除了基于规则的检测方法,WAF产品还应具备基于自学习建模的主动防御引擎。对于URI和POST表单,WAF产品的主动防御引擎都可以学习到其参数的个数,以及每一个参数的类型和长度。在学习一段时间之后(通常是一到两周),WAF产品可以建立目标服务器所有动态页面的正向模型。在应用主动防御策略的条件下,所有不符合正向模型的参数都会被阻断,可有效的防御未知威胁和0day攻击。
全64位ipv6支持
WAF产品的管理平面和数据平面均为全64位系统,具备原生ipv4/ipv6双栈处理能力,不仅能够在纯ipv6网络环境中部署和检测攻击,还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率,所以WAF产品在ipv6网络环境中具有与在ipv4网络环境中一样的性能。
在线串接部署时,WAF产品提供了多种网络层的接入方式,比如虚拟线、交换、路由。虚拟线方式使WAF产品像一根虚拟的网线一样接入用户网络,是最简单最便捷的方式。交换模式同时支持access、trunk两种方式,路由模式支持静态路由和策略路由,也就是说在用户预算受限时WAF产品可以在检测攻击的同时,充当交换机或者路由器。
天融信Web应用防火墙
方案白皮书
1
1.1
1.1.1
借助互联网的发展,越来越多的医疗服务开始在互联网上提供入口,以提高就医体验和效率,如网上挂号预约、网上缴费等服务,可以大幅提高工作效率,并提高用户体验,节约用户排队等待的时间。医疗服务的部分内容放到互联网上,需要将相关业务应用的入口如web应用服务器放到互联网上,而WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。SQL注入、网页挂马等安全事件,频繁发生。传统防火墙针对WEB的防护能力已经不能满足日益丰富的WEB应用。
有效的缓解拒绝服务攻击
WAF产品整合了DDoS防御能力,采用分层的立体防御和业界领先的源信誉检测机制,可以有效的缓解synflood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。
WAF产品首先识别明显的攻击源,比如单个源流量明显异常,通过源限速模块把所有可能的攻击源的流量限制在某一个范围之内。第二步也是整个DDoS防御的核心:源信誉检测机制,该机制可以有效的把正常流量和攻击工具生成的攻击流量区分开来,阻断攻击流量,放行正常流量。最后一步,当所有的正常流量的总和仍然超过了目标服务器的处理能力,为了保证服务器正常工作,通过目的限速模块把放行到服务器的流量限制在服务器处理能力之内。通过这种分层的防御机制,使服务器不间断的对外提供服务,保障了业务的连续性。
1.1.2
全面的攻击防御能力
WAF产品提供传统的基于规则的检测和主动防御两个引擎。
基于规则的保护是信息安全产品最主流的防护方法,虽然对于未知攻击和0day攻击缺少防护能力,但是对于大量的已知攻击可以提供精确的、细致的防护。WAF产品提供了精细的防护规则包括:
跨站脚本攻击
扫描器防护
SQL注入攻击
操作系统命令注入
默认包括2个可插拨的扩展槽
双电源
性能描述
并发连接>200万
吞吐率>2000Mbps
硬件参数
尺寸:460 *426* 89mm(2U)
电源:100-240V, AC,(47-63HZ),4.5-2A,300W
平均无故障时间(MTBF):超过60,000小时
工作温度:0~45℃
平台净重:9.07KG
产品毛重:12.68KG
灵活的部署模式
WAF产品具有在线串接、旁路检测和服务器负载均衡三种工作模式。在线串接部署虽然对用户网络有一定的侵入性,但WAF产品的高可靠性设计极大的缓解了这一影响。在线串接的一个显著好处是可以实现非常可靠的攻击阻断能力。而旁路检测完全没有侵入性,对用户的网络环境不造成任何影响,但旁路检测没有提供攻击阻断的能力。在多个服务器对外提供相同服务的环境里面,WAF产品可以作为负载均衡器工作,并且提供了灵活的会话调度的能力和服务器状态检查能力。
WAF产品中处理的所有ip地址均支持ipv4和ipv6地址,所有应用层攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程,使得各种应用层攻击都无所遁形。WAF产品还支持配置ipv6地址的主机管理、ipv6 SNMP网管以及支持ipv6的日志服务器等增强功能。
高可用性
WAF产品应采用双引擎设计,主检测引擎和影子检测引擎不仅功能完全相同,且均处于运行态,即只要有数据报文传送就可以进行攻击检测。不同的是,正常情况下,数据流只上送到主检测引擎,影子检测引擎没有数据可以处理,相当于处于“待命”状态。一旦主检测引擎出现故障无法处理数据报文,平台底层负责数据流分发的模块会及时将数据流切换到影子检测引擎,由于影子检测引擎处于准工作的“待命”状态,此时会即刻开始数据报文的检测工作,从而确保整个检测引擎的不间断工作,大幅提高了检测业务的可靠性。
Web应用防护系统(Web Application Firewall,简称:WAF)代表了一类新兴的信息安全技术,专门用于解决Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
符合的标准规范
环境保护GB/T 9813-2000;
电磁辐射GB/T 17618-1998;GB 9254-2008
2
2.1
配置说明
2U机架式结构;最大配置为26个接口;
4个10/100/1000BASE-T接口和4个SFP插槽,2个10/100/1000BASE-T接口(作为HA口和管理口);
远程文件包含攻击
本地文件包含攻击
目录遍历
信息泄漏
WebShell检测
HTTP协议异常
HTTP协议违规
其他类型的攻击
除了基于规则的检测方法,WAF产品还应具备基于自学习建模的主动防御引擎。对于URI和POST表单,WAF产品的主动防御引擎都可以学习到其参数的个数,以及每一个参数的类型和长度。在学习一段时间之后(通常是一到两周),WAF产品可以建立目标服务器所有动态页面的正向模型。在应用主动防御策略的条件下,所有不符合正向模型的参数都会被阻断,可有效的防御未知威胁和0day攻击。
全64位ipv6支持
WAF产品的管理平面和数据平面均为全64位系统,具备原生ipv4/ipv6双栈处理能力,不仅能够在纯ipv6网络环境中部署和检测攻击,还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率,所以WAF产品在ipv6网络环境中具有与在ipv4网络环境中一样的性能。
在线串接部署时,WAF产品提供了多种网络层的接入方式,比如虚拟线、交换、路由。虚拟线方式使WAF产品像一根虚拟的网线一样接入用户网络,是最简单最便捷的方式。交换模式同时支持access、trunk两种方式,路由模式支持静态路由和策略路由,也就是说在用户预算受限时WAF产品可以在检测攻击的同时,充当交换机或者路由器。
天融信Web应用防火墙
方案白皮书
1
1.1
1.1.1
借助互联网的发展,越来越多的医疗服务开始在互联网上提供入口,以提高就医体验和效率,如网上挂号预约、网上缴费等服务,可以大幅提高工作效率,并提高用户体验,节约用户排队等待的时间。医疗服务的部分内容放到互联网上,需要将相关业务应用的入口如web应用服务器放到互联网上,而WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。SQL注入、网页挂马等安全事件,频繁发生。传统防火墙针对WEB的防护能力已经不能满足日益丰富的WEB应用。
有效的缓解拒绝服务攻击
WAF产品整合了DDoS防御能力,采用分层的立体防御和业界领先的源信誉检测机制,可以有效的缓解synflood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。
WAF产品首先识别明显的攻击源,比如单个源流量明显异常,通过源限速模块把所有可能的攻击源的流量限制在某一个范围之内。第二步也是整个DDoS防御的核心:源信誉检测机制,该机制可以有效的把正常流量和攻击工具生成的攻击流量区分开来,阻断攻击流量,放行正常流量。最后一步,当所有的正常流量的总和仍然超过了目标服务器的处理能力,为了保证服务器正常工作,通过目的限速模块把放行到服务器的流量限制在服务器处理能力之内。通过这种分层的防御机制,使服务器不间断的对外提供服务,保障了业务的连续性。
1.1.2
全面的攻击防御能力
WAF产品提供传统的基于规则的检测和主动防御两个引擎。
基于规则的保护是信息安全产品最主流的防护方法,虽然对于未知攻击和0day攻击缺少防护能力,但是对于大量的已知攻击可以提供精确的、细致的防护。WAF产品提供了精细的防护规则包括:
跨站脚本攻击
扫描器防护
SQL注入攻击
操作系统命令注入
默认包括2个可插拨的扩展槽
双电源
性能描述
并发连接>200万
吞吐率>2000Mbps
硬件参数
尺寸:460 *426* 89mm(2U)
电源:100-240V, AC,(47-63HZ),4.5-2A,300W
平均无故障时间(MTBF):超过60,000小时
工作温度:0~45℃
平台净重:9.07KG
产品毛重:12.68KG
灵活的部署模式
WAF产品具有在线串接、旁路检测和服务器负载均衡三种工作模式。在线串接部署虽然对用户网络有一定的侵入性,但WAF产品的高可靠性设计极大的缓解了这一影响。在线串接的一个显著好处是可以实现非常可靠的攻击阻断能力。而旁路检测完全没有侵入性,对用户的网络环境不造成任何影响,但旁路检测没有提供攻击阻断的能力。在多个服务器对外提供相同服务的环境里面,WAF产品可以作为负载均衡器工作,并且提供了灵活的会话调度的能力和服务器状态检查能力。
WAF产品中处理的所有ip地址均支持ipv4和ipv6地址,所有应用层攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程,使得各种应用层攻击都无所遁形。WAF产品还支持配置ipv6地址的主机管理、ipv6 SNMP网管以及支持ipv6的日志服务器等增强功能。
高可用性
WAF产品应采用双引擎设计,主检测引擎和影子检测引擎不仅功能完全相同,且均处于运行态,即只要有数据报文传送就可以进行攻击检测。不同的是,正常情况下,数据流只上送到主检测引擎,影子检测引擎没有数据可以处理,相当于处于“待命”状态。一旦主检测引擎出现故障无法处理数据报文,平台底层负责数据流分发的模块会及时将数据流切换到影子检测引擎,由于影子检测引擎处于准工作的“待命”状态,此时会即刻开始数据报文的检测工作,从而确保整个检测引擎的不间断工作,大幅提高了检测业务的可靠性。
Web应用防护系统(Web Application Firewall,简称:WAF)代表了一类新兴的信息安全技术,专门用于解决Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
符合的标准规范
环境保护GB/T 9813-2000;
电磁辐射GB/T 17618-1998;GB 9254-2008