安恒信息明御WEB应用防火墙产品白皮书

安恒信息明御WEB应用防火墙产品白皮书一、产品概述在当今数字化的时代，Web 应用已经成为企业和组织开展业务的重要窗口，但同时也面临着日益严峻的安全威胁。

为了有效保护 Web 应用的安全，安恒信息推出了明御 WEB 应用防火墙（以下简称“明御WAF”）。

这一强大的安全防护产品旨在为企业的Web 应用提供全面、精准和高效的安全防护，抵御各类网络攻击，保障业务的稳定运行。

明御 WAF 采用了先进的技术架构和智能的防护策略，能够实时监测和分析 Web 应用的流量，快速识别并拦截各种恶意攻击行为，如SQL 注入、跨站脚本攻击（XSS）、Web 应用扫描、恶意爬虫等。

同时，它还具备强大的 Web 应用漏洞防护能力，能够及时发现和修复应用中的安全漏洞，有效降低安全风险。

二、产品功能1、攻击防护明御 WAF 具备强大的入侵检测和防御功能，能够准确识别并拦截常见的Web 攻击，如SQL 注入、XSS 攻击、命令注入、文件包含等。

通过实时监测 Web 流量，对请求进行深度分析，及时发现和阻止恶意攻击行为。

针对 DDoS 攻击，明御 WAF 提供了有效的防护机制，能够识别和过滤异常流量，保障 Web 应用在遭受攻击时仍能正常运行。

对 Web 应用扫描行为进行检测和拦截，防止攻击者通过扫描获取应用的敏感信息和漏洞。

2、漏洞防护能够对 Web 应用中的常见漏洞进行检测和防护，如缓冲区溢出、目录遍历、权限提升等。

通过实时更新漏洞库，确保对最新漏洞的有效防护。

提供漏洞修复建议，帮助用户及时修复应用中的安全漏洞，提高应用的安全性。

3、访问控制支持基于 IP 地址、用户身份、访问时间等多种因素的访问控制策略，实现精细化的访问管理。

对 Web 应用的 URL 进行访问控制，限制未授权的访问和操作。

4、数据安全防护对敏感数据进行识别和加密，保障数据在传输和存储过程中的安全性。

防止数据泄露，对数据的输出进行严格的控制和过滤。

5、应用加速通过缓存、压缩等技术，提高 Web 应用的响应速度和性能，改善用户体验。

明御WEB应用监控审计系统白皮书一、基于WEB的企业关键应用面临的安全挑战随着互联网技术的迅猛发展，许多企业的关键业务活动越来越多地依赖于WEB应用，在企业向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。

主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗。

然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击(如：针对WEB应用的SQL注入攻击、跨站脚本攻击、恶意文件包含等等)发生时，传统的网络防火墙、IDS/IPS等安全产品形同虚设。

在如此众多因素的综合影响下，使得Web应用潜在的隐患越来越频繁的暴露在互联网之下。

常见的Web攻击分为两类：一是利用Web服务器的漏洞进行攻击，如CGI 缓冲区溢出，目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击等。

据OWASP(开放式 WEB应用程序安全项目)2007年上半年发布的10大WEB应用脆弱性排名显示，“跨站脚本攻击、注入式攻击、不安全的远程文件包含”已经成为影响 WEB应用安全的首要问题。

而在国内，据国家计算机网络应急技术处理协调中心的统计数据显示，2007年上半年中国的互联网安全状况仍不容乐观，各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。

攻击者的目标明确、趋利化特点明显，针对不同网站所采用的攻击手段不同，对于政府类或安全管理相关网站，攻击者主要采用篡改网页、放置恶意代码等攻击形式，干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或企业形象，严重的导致网站被迫停止服务。

对于个人用户，攻击者更多的是通过用户身份窃取(如：利用间谍软件和木马程序等)手段，偷取用户游戏账号、银行账号、密码等，窃取用户的私有财产。

1. 概述Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。

Web网站也容易成为黑客或恶意程序的攻击目标，造成数据损失，网站篡改或其他安全威胁。

根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）的工作报告显示：目前中国的互联网安全实际状况仍不容乐观。

各种网络安全事件与去年同期相比都有明显增加。

对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放置恶意代码的可能，导致政府类网站存在安全隐患。

对中小企业，尤其是以网络为核心业务的企业，采用注入攻击、跨站攻击以及应用层拒绝服务攻击（Denial Of Service）等，影响业务的正常开展。

2007 年到2009年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。

1.1常见攻击手法目前已知的应用层和网络层攻击方法很多，这些攻击被分为若干类。

下表列出了这些最常见的攻击技术，其中最后一列描述了安恒WAF如何对该攻击进行防护。

表1.1:对不同攻击的防御方法2. 现有的防御技术目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。

2.1. 传统网络防火墙第一代网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。

传统的防火墙无法阻止Web攻击，不论这些攻击来自防火墙内部的还是外部，因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。

为了保障对web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用，因此web及其应用服务器事实上是无安全检测和防范的。

状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。

Web应用防火墙产品白皮书目录Web应用防火墙•需求分析•产品简介•功能特点•典型应用•用户价值需求分析防火墙、防病毒等都是已经被广泛采用的传统Web系统安全措施，客户环境部署了这些产品，使得Web系统阻挡了一部分来自网络层的攻击，针对新形势下Web系统安全问题的考虑，需要变被动应对为主动关注，实施积极防御，这就需要以一个全面的视角看待Web 系统安全问题，并依靠各个方面的相互配合，对Web系统安全做到心中有数、防护有方。

面对Web应用的攻击，最缺乏的就是有效的检测防护机制，因此，需要部署针对Web系统安全的Web应用安全网关类系列产品，加强Web系统的Web安全防护能力，能够对Web系统主流的应用层攻击（如SQL注入和XSS攻击）进行防护。

并针对Web应用访问进行各方面优化，以提高Web或网络协议应用的可用性、性能和安全性，确保业务应用能够快速、安全、可靠地交付。

产品简介产品简介天清Web应用安全网关，是启明星辰公司自行研制开发的新一代 Web 安全防护与应用交付类应用安全产品，用于防御以 Web 应用程序漏洞为目标的攻击，并针对 Web 服务器进行 HTTP/HTTPS 流量分析，及针对 Web 应用访问各方面进行优化，以提高 Web 或网络协议应用的可用性、性能和安全性，确保 Web 业务应用安全、快速、可靠地交付。

功能特点•网站一键关停：在重要敏感时期，可以通过一键关停功能让网站切入到维护模式，避免黑客的攻击。

用户对网站访问时，有良好的页面提示：网站在维护中。

该功能支持灵活的时间设置，在特定时间和特定周期内，此功能生效。

•网站锁防护：在重要敏感时期，网站为了保障安全，降低被攻击的可能性，通过网站锁功能，禁止一些可能存在威胁的提交操作，比如发表评论、上传文件等。

•短信验证滥刷：越来越多的网站提供了短信验证码功能，一些网站虽然对获取短信码的时间间隔做了限制，但攻击者通过绕过前端的时间限制，结合一些工具，能够实现短信轰炸，会影响网站在客户中的形象，同时也消耗了网站的短信费用。

目录第1章概述2第2章常见防护技术介绍32.1UTM与NGFW32.2入侵防御系统4第3章Web应用防火墙产品介绍53.1高效稳定的软硬件架构53.1.1分离平面设计53.1.2单次解析架构53.1.3多核并行处理技术63.1.4Sangfor Regex正则引擎和语义/语法分析技术73.2全面的安全防护功能73.2.1实时漏洞分析73.2.2未知威胁防御73.2.3敏感信息防泄漏83.2.4Web漏洞主动扫描83.2.5插件型网页防篡改83.2.6强化的Web应用防护93.3智能简单易用123.3.1云端威胁对抗123.3.2业务资产自动识别123.3.3防护模块智能联动133.3.4可视化安全展示13第1章概述随着互联网和移动互联网技术的快速发展，各类网站和Web应用近年呈现爆发式的增长，Web应用平台已经在电子政务、电子商务等领域得到广泛的应用，以实现协同办公和社会性网络服务等目的。

由于网络技术的日益成熟，黑客也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。

根据 Gartner 的调查报告显示，信息安全攻击有 70% 都是发生在 Web 应用层而非网络层面上，同时数据也显示2/3的Web站点都相当脆弱，易受攻击。

绝大多数企业将大量的投资花费在网络和服务器的安全上，通常在网络中会部署防火墙、IPS、防病毒等安全产品，但是这类产品对于Http和Https的Web应用层攻击往往无法检测，没有从真正意义上保证 Web 业务本身的安全，才给黑客可乘之机，导致Web应用成为黑客的主要攻击目标。

Web应用防火墙（简称WAF）专注于网站及Web应用系统的应用层专业安全防护，解决传统安全产品如网络防火墙、入侵防御系统等难以对应用层深度防御的问题。

通过部署 Web 应用防火墙可以有效地缓解网站及Web应用系统面临如0WASP TOP 10中定义的常见威胁，并且可以快速地应对恶意攻击者对Web业务带来的冲击，实现 Web 业务应用安全与可靠交付。

杭州安恒信息技术有限公司明御Web应用防火墙/products/products01.html国内首创全透明部署WEB应用安全网关•全透明直连部署•HTTPS站点全面防护•OWASP十大类Web攻击防护•Web静态页面加速产品概述：明御TM WEB应用防火墙（简称：WAF）是安恒信息结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内首创的全透明直连部署模式，全面支持HTTPS，在提供WEB应用实时深度防御的同时实现WEB应用加速、敏感信息泄露防护及网页防篡改，为Web应用提供全方位的防护解决方案。

该产品致力于解决应用及业务逻辑层面的安全问题，广泛适用于“金融、运营商、政府、公安、教育、能源、税务、工商、社保、卫生、电子商务”等所有涉及WEB应用的各个行业。

部署安恒的WAF产品，可以帮助用户解决目前所面临的各类网站安全问题，如：注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。

主要功能：•深度防御明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术，对WEB应用实施全面、深度防御，能够有效识别、阻止日益盛行的WEB应用黑客攻击（如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI 扫描、目录遍历等）：o SQL注入o命令注入o Cookie 注入o跨站脚本(XSS)o敏感信息泄露o恶意代码o错误配置•web应用加速系统内嵌应用加速模块，通过对各类静态页面及部分脚本的高速缓存，大大提高访问速度。

•敏感信息泄露防护系统内置安全防护策略，可以灵活定义HTTP/HTTPS错误返回的默认页面，避免因为WEB服务异常，导致敏感信息（如：WEB应用安装目录、WEB服务器版本信息等）的泄露。

•网页防篡改系统提供网页防篡改功能，通过实时检测和保护机制，确保被篡改内容不被访问者浏览到。

安恒web应用防火墙介绍安恒web应用防火墙介绍一：结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如pci、等级保护、企业内部控制规范等要求以国内首创的全透明直连部署模式，全面支持https，在提供web应用实时深度防御的同时实现web应用加速敏感信息泄露防护及网页防篡改，为web应用提供全方位的防护解决方案。

安恒web应用防火墙介绍二：基于安恒专利级web入侵异检测技术web应用实施全面、深度防御能够效识别阻止益盛行web应用黑客攻击(sql注入、钓鱼攻击、表单绕、缓冲区溢、cgi扫描、目录遍历等)安恒web应用防火墙介绍三： 1.明御web应用防火墙2.明御数据库审计及风险控制系统3.明鉴web应用弱点扫描器4.明御网站卫士5.明鉴数据库弱点扫描器6.堡垒主机usm相关阅读：防火墙主要类型网络层防火墙网络层防火墙可视为一种 ip 封包过滤器，运作在底层的tcp/ip协议堆栈上。

我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙(病毒除外，防火墙不能防止病毒侵入)。

这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。

操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 ip地址、来源端口号、目的 ip 地址或端口号、服务类型(如http 或是 ftp)。

也能经由通信协议、ttl 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙应用层防火墙是在 tcp/ip 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 ftp 时的数据流都是属于这一层。

应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。

理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

WebGuard应用保护系统技术白皮书目录1市场概述 (3)1.1需求分析 (3)1.1.1Web应用现状 (3)1.1.2产业发展趋势 (4)1.2市场竞争情况 (6)1.3客户需求分析 (6)2技术方案 (10)2.1RG-WG系列产品部署 (10)2.1.1政府行业 (10)2.1.2金融行业 (12)2.1.3高校行业 (13)2.2技术架构 (14)2.2.1总体架构 (14)2.2.2产品创新性 (15)2.2.3产品特色 (22)1市场概述1.1 需求分析1.1.1Web应用现状随着互联网的飞速发展，Web应用也日益增多。

现在各种商业交易、政务办公、金融理财的都正在向Web上转移，但每增加一种新的基于Web的应用方式，都会导致之前处于保护状态下的后端系统直接连接到互联网上，最后的结果就是将公司的关键数据置于外界攻击之下。

事实上，根据Gartner的调查，信息安全攻击有75%都是发生在Web应用层而非网络层面上，60%的Web站点都相当脆弱，易受攻击。

在08年网络安全全国巡展中，众多安全专家纷纷表示，网络仿冒、网页恶意代码、网站篡改等增长速度接近200%。

而随着Web2.0应用的推广，相关安全问题暴露得越发明显。

尤其是金融服务业、政府门户经常成为了众矢之的，而攻击者的主要目的就是直接获取经济利益或政治影响。

如今的信息系统的攻防搏弈已完全转移到使用最广泛、最易用的WEB应用上，越来越多的安全专家看好以HTTP过滤为主的Web安全产品。

2009年是国内WEB安全防护网关由概念到产品的一个转变期，众多网络厂商、安全厂商、及传统WEB防篡改厂商都陆续将推出了WEB安全防护产品。

根据IDC公布的报告，全球Web安全市场将会在2012年前达到65亿美元的规模。

事实上，这一市场容量已经超过了UTM所预期的40亿美元的规模。

但根据Gartner的统计数字，全球Web安全产品的使用程度相当低，仅有10%的企业部署了真正意义上的Web安全网关。