Web应用防火墙系统技术白皮书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
1.产品概述 (5)
1.1产品背景 (5)
1.2常见安全问题 (5)
1.2.1“拖库”事件 (5)
1.2.2网页篡改 (6)
1.2.3CMS漏洞 (6)
1.3网神SecWAF3600Web应用防火墙 (6)
2.产品特色 (6)
2.1态势感知展现 (6)
2.2智慧防御体系 (6)
2.3一键终端管控 (7)
3.技术优势 (7)
3.1串联透明部署 (7)
3.2自学习系统 (7)
3.3细粒度特征库 (8)
3.4旁路防御模式 (8)
3.5威胁情报中心 (8)
3.6网页恢复 (8)
3.7统计数据 (8)
3.8双机热备 (9)
3.9冗余螺旋系统 (9)
3.10bypass机制 (9)
4.典型应用 (9)
4.1拓扑图 (9)
4.2总结 (10)
1.产品概述
1.1产品背景
近些年,政府部门对于网站安全问题越来越重视,从2005年开始至今,公安部、国务院办公厅、中央网络安全和信息化领导小组都多次针对网站安全问题进行明确政策导向通知。
2015年7月1日,中华人民共和国国家安全法正式颁布并执行。2017月6月9日,由四部委联合起草的“网络关键设备和网络安全专用产品目录”正式发布,其中Web应用防火墙在产品目录中。
2018年4月国家互联网应急中心发布“2017年中国互联网网络安全态势综述”。其中,我国网站被篡改的网站数量有2万个,被植入后门程序的网站有2.9万个,网页仿冒的网站有4.9万个。网站安全事件频繁发生,主要以网页仿冒、网页篡改、植入后门程序三个方面的网站安全问题为主。
1.2常见安全问题
近几年,随着360补天漏洞响应平台、漏洞盒子等第三方漏洞平台媒体对安全问题的频繁曝光,这其中让大家最直观感觉是“拖库“、“网页篡改”、网站漏洞(CMS漏洞)等安全问题。
1.2.1“拖库”事件
“拖库”事件有专业名词就是SQL注入攻击。SQL注入的成因在于对用户提交CGI参数数据未做充分检查过滤,用户提交的数据可能会被用来构造访问后台数据库的SQL指令。如果这些数据过滤不严格就有可能被插入恶意的SQL代码,从而非授权操作后台的数据库,导致敏感信息泄露、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制服务器操作系统。利用SQL注入漏洞可以构成对Web服务器的直接攻击,还可能用于网页挂马。
几乎所有SQL数据库都是潜在易受攻击的,但需要注意的是,并不是数据库本身存在漏洞,而是互联网网站开发人员在开发页面时,没有遵循安全代码开发的要求所引起的。
1.2.2网页篡改
网页篡改是最频繁发生的网站安全事件,黑客为了达到政府目的或谋求经济回报往往会对政府网站、电商网站进行篡改攻击。从而达到自己的目的诉求。
网页篡改事件的发生主要来源于网页代码编写不规范、网站服务器植入后门程序(webshell等)。这些安全问题导致网页可以被第三方轻易入侵,篡改网站内容、替换网站图片、视频文件等。
1.2.3CMS漏洞
所有的网站维护都离不开CMS系统,很多网站开发商在开发时图时效性,往往会使用公有代码,导致安全问题频繁出现。CMS系统是一个网站维护、内容更新的重要组成部分,一旦CMS 系统出现安全问题,给网站会带来致命的安全问题。
1.3网神SecWAF3600Web应用防火墙
网神SecWAF3600Web应用防火墙是专注于网站及Web应用系统的应用层网关类防护产品,产品致力于解决应用层深度防御的问题,有效地缓解网站及Web应用系统面临如0WASP TOP10中定义的Web安全威胁并可以极速地应对恶意攻击者对Web业务的攻击行为。
2.产品特色
2.1态势感知展现
网神SecWAF3600Web应用防火墙的实时流量态势感知功能,根据流量提供分析攻击源、源地域、攻击类型、攻击趋势、目标服务器和流量趋势等实时态势分析展示功能。并提供攻击源与被攻击源的态势攻击展示效果。
所有态势展示效果来源于在线流量的实时分析展现效果,让客户通过实时大屏幕最直观的、最便捷的了解网站安全防护情况。
2.2智慧防御体系
对于网站安全的大数据来说,最有的价值主要是入站数据的分析情况,威胁情报中的入站数据有僵尸网络、网络攻击、扫描器、钓鱼网站等网站安全等相关安全情报。威胁情报中心与网神SecWAF3600Web应用防火墙实现数据共享后,可以根据情报来阻断访问网站的攻击行为。大大提高了网站的安全性,降低了网站的安全风险。
2.3一键终端管控
网站安全问题来势汹汹,每次攻击事件发生的都很突然,让大家防不胜防。针对突发事件,网神SecWAF3600Web应用防火墙响应时代号召,推出一键管控功能,不用按照APP或第三方插件,通过浏览器就可以登录设备,管理防护的网站的上线和下线功能。方便客户在攻击时第一时间下线网站的应急措施
3.技术优势
3.1串联透明部署
随着网神SecWAF3600Web应用防火墙的不断更新发展,从传统的透明代理模式已经转变为透明部署方式。网神SecWAF3600Web应用防火墙在第二层截获数据包并逐层拆包分析并对数据包进行特征库匹配,匹配上就是攻击行为,直接把数据包丢弃。如果数据是正常的,过滤引擎重新构造Web和SQL事务生产数据包发送给后端的Web服务器。
透明部署方式是串联在Web服务器的前端,在物理层面是Web服务器的前端多了一台硬件设备。在网络层面是Web服务器的前端没有任何硬件设备。透明部署方式不改变客户的网络拓扑结构。Web服务器看到的都是浏览者的源地址,也不会给审计类安全产品造成无法工作等现象的出现。
3.2自学习系统
传统的Web应用防火墙都是人工输入网站域名、网站服务器IP地址、服务器端口等相关详细信息。网神Web安全团队针对纯透明部署方式的特性开发了自动学习功能,针对数据流中包含的相关数据进行自动分析和摘取。可以自动学习到网站域名、网站服务器IP地址、服务器端口等相关信息,并自动生成防护列表。降低人工输入的繁琐配置,避免造成因人工输入错误