明御WEB应用防火墙产品简介
明御WEB应用防火墙产品简介
12 WEB 负载均衡 因单台服务器可能存在单点故障的情况,从而实现了网站不
间断服务
对网站的访问情况进行统计分析呈现即时访问量趋势图、用
户最关注的网页、访问者最集中的地市区域等信息,便于分 13 站点访问审计
析网站的业务模块的访问情况,并为业务功能的价值提供评
价参考
3. 产品特点
序号 产品特点
描述
各行业针对 WEB 应用系统都有着明确的合规性要求,如国务院办
Paros proxy 、 WebScarab 、 WebInspect 、 Whisker 、
抗 WEB 扫描器扫
4
libwhisker 、 Burpsuite 、 Wikto 、 Pangolin 、 Watchfire
描
AppScan 、 N-Stealth 、 Acunetix Web Vulnerability
性
了常规 WEB 应用防火墙存在的这个问题。
多协议支 HTTP 0.9、 HTTP1.0 、HTTP1.1
11
持
WEB 2.0 应用、WAP 协议、 xml 应用、webdav 应用
领先的应用安全及数据库安全整体解决方案提供商
杭州安恒信息技术有限公司
第 6 页 共 12 页 杭州总部电话:+86-0571-28860999
【文档密级:完全公开】
明御®WEB 应用防火墙
(WEB Application Firewall) 产品简介
杭州安恒信息技术有限公司 二〇一二年五月
明御 WEB 应用防火墙产品简介
【文档密级:完全公开】
目录
1. 发展历程.................................................................................................................3 2. 产品功能.................................................................................................................3 3. 产品特点.................................................................................................................5 4. 产品规格.................................................................................................................7 5. 典型应用.................................................................................................................7
明御WAF产品介绍--技术篇.ppt
2008-2009
2009-2010
2011
V1
V2
V3
标准
发布国内首款 异常检测WAF
发布国内首款 透明代理WAF
发布多核高 协助起草公安部 性能WAF版本 WAF检测标准
协助起草认证中心 WAF检测标准
WEB应用安全和数据库安全的领航者
首批通过权威机构测评认证
WEB应用安全和数据库安全的领航者
安全隐患源于容器自身安全
平台隐患
Trs、动易、织梦 Joomla!、Ewebeditor
WEB应用安全和数据库安全的领航者
为此安全问题层出不穷
各种注入 各种跨站 会话劫持 各种绕过 扫描猜测后台 上传漏洞 文件包含 信息泄漏 apache ddos漏洞 CC攻击
公司致力于WEB应用安全整体解决方案的研发,是国内最早从事WEB 应用防火墙研发,经历4年的研发产品已经成熟并广泛应用于800余个政 府单位、60余家金融机构、400余家企事业单位。
目前已经成功应用于网上银行、网上营业厅、大型证券交易、电子商 务、省级电子政务、大型能源等重要WEB系统中。
2007-2008
WEB应用安全和数据库安全的领航者
16
使网站更安全
WEB应用安全和数据库安全的领航者
17
纵深WEB安全防御
70%
的 威 胁 来 自 应 用 层 30%
应用内容层
应用程序层
应用服务层 网络层 链路层
内容提交与响应检测
安全白名单技术 通过自学习生成网站定制化策略 对正常请求快速转发未知请求深入清洗
WEB应用安全和数据库安全的领航者
安全隐患源于程序设计
用户访问处理
安恒信息明御WEB应用防火墙产品白皮书
安恒信息明御WEB应用防火墙产品白皮书一、产品概述在当今数字化的时代,Web 应用已经成为企业和组织开展业务的重要窗口,但同时也面临着日益严峻的安全威胁。
为了有效保护 Web 应用的安全,安恒信息推出了明御 WEB 应用防火墙(以下简称“明御WAF”)。
这一强大的安全防护产品旨在为企业的Web 应用提供全面、精准和高效的安全防护,抵御各类网络攻击,保障业务的稳定运行。
明御 WAF 采用了先进的技术架构和智能的防护策略,能够实时监测和分析 Web 应用的流量,快速识别并拦截各种恶意攻击行为,如SQL 注入、跨站脚本攻击(XSS)、Web 应用扫描、恶意爬虫等。
同时,它还具备强大的 Web 应用漏洞防护能力,能够及时发现和修复应用中的安全漏洞,有效降低安全风险。
二、产品功能1、攻击防护明御 WAF 具备强大的入侵检测和防御功能,能够准确识别并拦截常见的Web 攻击,如SQL 注入、XSS 攻击、命令注入、文件包含等。
通过实时监测 Web 流量,对请求进行深度分析,及时发现和阻止恶意攻击行为。
针对 DDoS 攻击,明御 WAF 提供了有效的防护机制,能够识别和过滤异常流量,保障 Web 应用在遭受攻击时仍能正常运行。
对 Web 应用扫描行为进行检测和拦截,防止攻击者通过扫描获取应用的敏感信息和漏洞。
2、漏洞防护能够对 Web 应用中的常见漏洞进行检测和防护,如缓冲区溢出、目录遍历、权限提升等。
通过实时更新漏洞库,确保对最新漏洞的有效防护。
提供漏洞修复建议,帮助用户及时修复应用中的安全漏洞,提高应用的安全性。
3、访问控制支持基于 IP 地址、用户身份、访问时间等多种因素的访问控制策略,实现精细化的访问管理。
对 Web 应用的 URL 进行访问控制,限制未授权的访问和操作。
4、数据安全防护对敏感数据进行识别和加密,保障数据在传输和存储过程中的安全性。
防止数据泄露,对数据的输出进行严格的控制和过滤。
5、应用加速通过缓存、压缩等技术,提高 Web 应用的响应速度和性能,改善用户体验。
安恒信息明御WEB应用防火墙产品白皮书
精心整理安恒信息明御WEB应用防火墙产品白皮书摘要:本文档描述了杭州安恒信息技Web用防火的主要功能及特点⋯关:Web用防火,Web平安,安恒信息概述Web网站是企和用、合作伙伴及工的快速、高效的交流平台。
Web网站也容易成黑客或意程序的攻目,造成数据失,网站改或其他平安威。
根据国家算机网急技理中心〔称CNCERT/CC〕的工作告示:目前中国的互网平安状况仍不容。
各种网平安事件与去年同期相比都有明增加。
政府和平安管理相关网站主要采用改网的攻形式,以到达泄和炫耀的目的,也不排除放置意代的可能,致政府网站存在平安患。
中小企,尤其是以网核心的企,采用注入攻、跨站攻以及用拒服攻〔DenialOfService〕等,影响的正常开展。
2007年到2021年上半年,中国大被改网站的数量相比往年于明上升。
1.1.常见攻击手法目前的用和网攻方法很多,些攻被分假设干。
下表列出了些最常的攻技,其中最后一列描述了安恒WAF如何攻行防。
表1.1:对不同攻击的防御方法攻方式描述安恒WAF的防方法跨站脚本攻跨站脚本攻利用网站漏洞攻那通用流量,阻止些站点的用,常目的是窃各种意的脚本插入到取站点者相关的用登或URL,header及form中。
信息。
SQL注入攻者通入一段数据代通用流量,窃取或修改数据中的数据。
是否有危的数据命令或句被插入到URL,header及form中。
精心整理命令注入攻击者利用网页漏洞将含有操作系通过检查应用流量,检测统或软件平台命令注入到网页访问并阻止危险的系统或软件语句中以盗取数据或后端效劳器的平台命令被插入到控制权。
URL,header及form中。
cookie/seesion Cookie/seesion通常用于用户身份通过检查应用流量,拒绝劫持认证,并且可能携带用户敏感的登陆伪造身份登录的会话访信息。
攻击者可能被修改问。
Cookie/seesion提高访问权限,或伪装成他人的身份登陆。
参数〔或表单〕通过修改对URL、header和form利用参数配置文档检测应篡改中对用户输入数据的平安性判断,并用中的参数,仅允许合法且提交到效劳器。
明御WEB应用防火墙用户操作手册V26
明御WEB应用防火墙用户操作手册V26介绍明御WEB应用防火墙(以下简称WAF)是一种用于保护Web应用程序的网络安全设备。
它通过监控Web应用流量和阻止恶意请求来保护Web应用程序。
本手册旨在介绍如何使用明御WAF来保护您的Web应用程序。
安装和配置在安装和配置WAF之前,请确保您具有管理员权限,并已备份您的Web应用程序数据。
下载在明御官网下载最新版本的WAF软件,并按照提示进行安装。
配置安装完成后,打开WAF软件并按照以下步骤进行配置:1.登录WAF的控制台,输入用户名和密码。
2.在控制台中,单击“添加Web应用程序”按钮。
3.输入Web应用程序的名称以及Web应用程序的URL。
4.根据您的需求配置规则,例如阻止特定IP地址和URL的流量。
5.单击“保存”。
启用WAF在完成安装和配置后,您需要将WAF启用并开始保护Web应用程序:1.在WAF控制台中,选择需要保护的Web应用程序。
2.单击“启用WAF”按钮。
3.配置HTTPS代理,使WAF能够保护HTTPS流量。
4.测试Web应用程序是否正常工作,并确保WAF已经开始保护您的Web应用程序。
使用指南使用WAF保护Web应用程序时,您需要了解以下内容。
监控和日志WAF实时监控Web应用程序的流量,并记录每个请求的详细信息。
您可以通过以下方法查看流量信息和日志记录:1.在WAF控制台中,单击“流量监控”选项卡。
2.查看每个请求的详细信息,包括请求方法、URL、IP地址等。
3.在“日志”选项卡中查看日志记录,包括拦截事件、错误事件和安全事件等。
防护规则WAF使用一系列防护规则来保护Web应用程序免受恶意请求的攻击。
您可以根据您的需求配置防护规则:1.在WAF控制台中,选择需要保护的Web应用程序。
2.单击“防护规则”选项卡。
3.根据您的需求添加、编辑或删除防护规则。
访问控制除了防护规则,WAF还支持访问控制功能,以限制特定IP地址或用户对Web 应用程序的访问:1.在WAF控制台中,选择需要保护的Web应用程序。
安恒明御WAF防火墙配置管理功能指南
21
HTTPS证书链介绍
目前一般客户申请证书都是从根CA(位于证书层次结构顶部的CA)或者从属CA(中间 CA)机构申请证书。如果客户是从根CA申请的证书那么WAF不需要上传证书链。如果客 户是从中间CA申请的证书,WAF需要上传证书链,证书链中包括根CA和中间CA
接入的链路,举例需要保护的IP地址为192.168.25.139,端口为80,选择的策略规则组为“预 设规则”,接入的链路为“Protect1”,然后点击保存。
11
保护站点配置——域名支持
同一IP+PORT下可能会对应多个域名,WAF可以实现对这多个域名进行防护,同时也 可以针对不同的域名采用不同的策略规则组。
36
保护站点配置——HTTP响应头操作原理
• 一般用户在访问服务器时,服务器会在响应头带上自身信息,如服务器类型、 版本等,这些信息容易被黑客利用,WAF响应头操作模块通过删除头信息可实 现服务器隐藏,如删除Server字段,过滤WEB应用类型信息;
• 该功能默认未启用,需要自定义配置。 37
保护站点配置——HTTP响应头操作配置及验 证
5
全局配置——源IP解析原理
• WAF部署在代理设备(如SSL网关或CDN)后端,代理设备将实际请求转发到后端服务器 时源IP会转换为代理设备自身IP,代理设备在转发时一般会在HTTP头部带上源IP信息,如 X-Forwarded-For头,该头部记录了真实用户IP信息,WAF源IP解析模块可解析到真实IP 地址,并可对真实IP配置访问控制;
安恒明御WAF防火墙系统状态监控功能
3
1、地图区域访问控制
点击“配置”—“应用层访问控制”查看添加的区域访问控制
4
1、地图区域访问控制
点击“状态”—“风险趋势”,查看地图选择“区域访问控制”,查看阻断的信息
数据包的数目。
字节数。
错误的数据包个数,一般是硬件层面问题,比如网卡、网线等异 常;。
overruns dropped
超出的数据包个数,一般超出端口的最大速率会出现overruns。
丢弃的数据包个数,一般发生在软件层面,比如内存溢出、数据 包不识别被丢弃。
14
6、网络流量和WEB流量的区别
WEB流量仅仅统计经过WAF的所保护站点的HTTP和HTTPS流量
7
3、站点侦测功能介绍
站点侦测功能用于自动监测网络中的WEB服务器,方便用户对站点进行 配置,特别是在要保护的站点比较多时,通过WAF自动检测,可以减少用户 的输入,并提示用户进行保护以防止遗漏。
8
站点侦测——工作原理
• 开启站点侦测后WAF会对过往的流量进行自动学习,获取WEB服务器信息, 如服务器IP、TCP端口、域名等信息;
5
1、地图区域访问控制
取消地理区域访问控制,选择“状态”—“风险趋势”,查看地图选择“区域访问控制”, 在地图中选择需要需要取消访问控制的地理位置,然后双击地理位置
6
2、系统概况——硬件使用情况 检查CPU、内存、磁盘使用率
• CPU使用率在80%以下为正常 • 内存使用率在80%以下为正常 • 数据分区在80%以下为正常
安恒明御WAF防火墙配置管理功能指南
11
保护站点配置——域名支持
同一IP+PORT下可能会对应多个域名,WAF可以实现对这多个域名进行防护,同时也 可以针对不同的域名采用不同的策略规则组。
• WAF部署在SSL服务器前端,将服务器的公钥和私钥加载至WAF上,客户端访 问时WAF先使用私钥解密,查看数据包中报文信息是否存在安全问题,清洗后 再使用公钥重新加密转发给SSL服务器;
• 该功能一般用于SSL证书在服务器的环境。 18
HTTPS公钥介绍
证书公钥主要用于数据的加密,WAF上传公钥的主要的作用是检测完数据之后将数据进 行加密再发送给服务器和客户端。linux服务器下证书公钥的扩展名一般为crt而Windows 服务器下证书公钥的扩展名一般为cer
15
保护站点配置——访问审计配置
Step 1:选择”配置”—“保护站点”,编辑要开启访问审计功能的保护站点,将浏览器下拉至访 问审计功能模块,将状态选择为“启用”,并且选择是否忽略query string(如 /index.asp?id=1,如果选择忽略query string,则报表统计时只统计 index.asp,不会统计后面的参数id=1),填写默认页面,如index.asp、index.html,可根据选择 所要审计的文件类型,将配置保存后按右上角的应用更改生效。
3
全局配置——MAC地址透明
默认3.9版本及3.9以上版本,WAF运行在透明代理模式下,MAC地址透明默认是开启 的,也就是WAF不会更改转发给客户端/服务端的源MAC,不建议修改!
4
安恒明御WAF防火墙基本部署配置指南
26
5、WAF快速部署
27
谢谢!
28
返回流量时就会通过服务器网关直接返回给客户端而不返回给WAF,这样WAF代理 就会失败,为了保证WAF代理成功必须在交换机上面做策略路由将服务器返回的流 量牵引到WAF,这样WAF代理才能成功,因为选择透明比较麻烦因此正常情况下面 一般都是选择不透明 2. 客户端IP地址如果选择不透明,服务器看到的客户端IP地址为WAF的后端地址,这样 服务器返回的流量就会返回给WAF
88
方式一:配置管理口IP地址( console口配置)
Step 5 :输入IP地址、子网掩码、网关、DNS
99
方式二:配置管理口IP地址( web界面配置)
Step 1:用网线直连Admin口,将电脑 网卡地址设置为192.168.1.0/24网段任 意地址即可(排除192.168.1.100)
2. 桥模式不跟踪TCP会话,可支持路由不对称环境。 3. 桥模式下部分功能不支持,比如缓存压缩、智能防护、自学习建模、日志审计等功
能。 4. 对服务器响应包的内容不检测。 5. 防护能力不如透明代理,可能会存在漏报现象。
25
路由模式
部署特点:
1. 路由模式(无冗余结构)故障恢复慢,不支持bypass,恢复时需要重新修改静 态路由。
16
反向代理模式——代理模式
接入链路:WAF采用反向代理接入环境中一般用一个业务口就可以,也可以采用两个 接口,如果采用一个接口,那么前端和后端选择同一个接口
链路地址(前端):前端链路地址是客户访问的地址,通过访问前端地址可以访问 到服务器业务,前端地址可以和保护站点的IP地址在同一个网段也可以在不同的网段, 只要前端地址和保护站点地址的路由可通就可以
杭州安恒信息技术有限公司的安恒WEB应用防火墙简介
杭州安恒信息技术有限公司明御Web应用防火墙/products/products01.html国内首创全透明部署WEB应用安全网关•全透明直连部署•HTTPS站点全面防护•OWASP十大类Web攻击防护•Web静态页面加速产品概述:明御TM WEB应用防火墙(简称:WAF)是安恒信息结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明直连部署模式,全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速、敏感信息泄露防护及网页防篡改,为Web应用提供全方位的防护解决方案。
该产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“金融、运营商、政府、公安、教育、能源、税务、工商、社保、卫生、电子商务”等所有涉及WEB应用的各个行业。
部署安恒的WAF产品,可以帮助用户解决目前所面临的各类网站安全问题,如:注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。
主要功能:•深度防御明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI 扫描、目录遍历等):o SQL注入o命令注入o Cookie 注入o跨站脚本(XSS)o敏感信息泄露o恶意代码o错误配置•web应用加速系统内嵌应用加速模块,通过对各类静态页面及部分脚本的高速缓存,大大提高访问速度。
•敏感信息泄露防护系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。
•网页防篡改系统提供网页防篡改功能,通过实时检测和保护机制,确保被篡改内容不被访问者浏览到。
明御Web应用防火墙-信创解决方案模板
CHAPTER 07
总结与展望
项目成果总结
完成了与国产操作系统、数据库、中间件等信 创环境的深度兼容和优化,提升了系统整体性
能和稳定性。
建立了完善的技术支持和服务体系,为用户提供了及 时、专业的技术支持和解决方案定制服务。
注意事项与常见问题解答
问题1
系统部署后出现性能下降怎么办?
解答
首先检查系统硬件和软件环境是否满足部署要求,其次对系统进行优化和调整,如调整安全策略、优化数据库等 。
注意事项与常见问题解答
问题2
如何保证系统的安全性?
解答
采用多种安全技术进行防护,如访问控制、入侵检测、数据加密等;同时定期对系统进行安全漏洞扫 描和修复,确保系统安全。
拓展与更多信创产品和技术的 兼容性,满足用户多样化的信 创环境需求。
加强与云计算、大数据等技术 的融合,提升Web应用防火墙 在云环境中的部署和运维效率
。
积极探索和研究Web安全领域 的新技术、新趋势,为用户提 供更加智能、高效的Web安全
防护方案。
THANKS
[ 感谢观看 ]
02
信创场景涉及政府、金融、能源、教育等关键领域 ,对信息安全有严格要求。
03
在信创场景下,Web应用防火墙是保障网络安全的 重要组件之一。
明御Web应用防火墙在信创场景下的应用
01
明御Web应用防火墙能够全面防护Web应用层面的各类攻击,如SQL 注入、跨站脚本等。
02
通过集成多种安全技术,实现对Web应用漏洞的深度防御和实时监控 。
性能优化建议
配置优化 硬件升级 软件优化 负载均衡
明御WEB应用防火墙产品简介
z 支持用户自定义规则库
用户可以根据数据包的特征关键字等自定义安全策略规则,来实现安全检测及过滤
z 统一日志平台接口
z 支持阻断、告警、By-Pass 等多种应用模式
四、产品规格(参数)
型号
WAF-200AG
WAF-500AG
WAF-1000AG
规格
2U
吞吐量(Mb/sec)200Mbps
HTTP 最大并发数 10000
在 某 商 业 银 行 的 网 上 银 行 服 务 器 前 端 直 连 部 署 安 恒 的 WEB 应 用 防 火 墙 (WAF-500AG),鉴于 WAF-500AG 全面支持 https 协议,因此,WAF-500AG 的部署不仅能 够实时识别、阻断来自互联网的各类 WEB 应用层攻击(如:SQL 注入攻击、跨站脚本攻击 (钓鱼攻击)、表单绕过、应用层 DDOS 攻击、敏感信息泄露等),同时可以通过强大的缓 存技术和负载均衡技术提高某商业银行的网站访问速度。
明御 TMWEB 应用防火墙
国内首创全透明部署 WEB 应用安全网关
一、概述: 明御 TMWEB 应用防火墙(简称:WAF)是安恒结合多年应用安全的攻防理论和应急响
应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控 制规范等要求,以国内首创的全透明部署模式全面支持 HTTPS,在提供 WEB 应用实时深度 防御的同时实现 WEB 应用加速及敏感信息泄露防护,为 Web 应用提供全方位的防护解决方 案。该产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“政府、金融、运营商、 公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及 WEB 应用的 各个行业。部署安恒的 WAF 产品,可以帮助用户解决目前所面临的各类网站安全问题,如: 注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用 层 DOS/DDOS 攻击等等。
安恒明御WAF防火墙策略管理功能指南
如Content-Type: application/x-www-formurlencoded,指设置表单的格 式是URL编码
探索引擎在爬行网站时也会带 上自己的User-agent信息,如 Google的爬虫会带上 googlebot信息
指传输编码,如chunked
指post提交时的报文长度
14
黑名单技术——单条规则URL白名单配置
Step 2:在URL白名单中添加需要放行的URL
15
2、自定义规则
自定义规则是指明御WAF可根据用户对于安全的需求自行添加规则,可基于不同 条件组合,如HTTP头部各字段、URL地址、post内容、文件类型等字段,实现复杂 的规则需求,并设置阻断、放行、重定向等多种策略动作。 注:默认自定义规则的优先级是高于系统策略规则,不过优先级是可以调整的。
27
自定义规则配置及验证
Step 4:将浏览器下拉至“自定义选项”模块,告警信息(可以随便命名),动作选择 为阻断,将自定义规则应用到指定的规则组中,然后点击下一步,单击保存并点击右上 角的应用更改按钮。
28
自定义规则配置及验证
Step 5:指定客户端访问http://192.168.25.139/web/admin/Admin_Login.asp该URL, 查看返回的内容以及查看应用防护日志是否有告警生成。
Step 2:将浏览器下拉至“全局URL白名单”模块,添加需要放行的URL,然后点击保 存并点击右上角的应用更改按钮。
13
黑名单技术——单条规则URL白名单配置
Step 1:选择“策略”—“规则组”,选中需要添加URL白名单的规则组,比如预设规 则组,选择相应的策略规则组,如注入攻击中的SQL注入攻击,然后选中一条规则,点 击配置
明御WEB应用防火墙
应用安全防护产品
01 定义
03 产品功能 05 应用
目录
02 发展历史 04 国内产品
明御Web应用防火墙(简称:WAF)是杭州安恒信息技术股份有限公司旗下一款专注为站、APP等Web业务系统 提供安全防护的专业应用安全防护产品,对站及APP业务流量进行多维度、深层次的安全检测和防护;采用深度 机器学习及威胁情报技术,通过主动安全与被动安全相结合方式识别可疑、已知、未知安全威胁,有效保障站及 APP业务安全可靠运行。
感谢观看
(4)WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够 保护WEB应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。
同时WEB应用防火墙还具有多面性的特点。比如从络入侵检测的角度来看可以把WAF看成运行在HTTP层上的 IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度 检测防火墙通常工作在的络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支 持它。)
应用
核心业务系统
如图《明御WEB应用防火墙核心业务系统》所示WEB应用防火墙部署于上银行核心交易系统中,有效的防止敏 感信息泄露、防止各种应用攻击,并实现金融行业相关法规的合规性要求。明御WEB应用防火墙具备良好的应用 层解析功能,有很好的识别HTTPS环境下真实访问者信息,从而实现基于真实访问者的安全审计、安全防御措施, 提升上银行的安全防护能力。
产品功能
全面的安全防护能力 攻击行为跟踪与锁定 支持IPv4和IPv6双协议栈 页篡改监测 审计用户所有的访问行为 支持HTTPS站点的防护 应用加速与访问合规性 可靠性保障 支持多种告警方式 丰富多样的报表 规则库在线自动升级
安恒web应用防火墙介绍
安恒web应用防火墙介绍安恒web应用防火墙介绍一:结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如pci、等级保护、企业内部控制规范等要求以国内首创的全透明直连部署模式,全面支持https,在提供web应用实时深度防御的同时实现web应用加速敏感信息泄露防护及网页防篡改,为web应用提供全方位的防护解决方案。
安恒web应用防火墙介绍二:基于安恒专利级web入侵异检测技术web应用实施全面、深度防御能够效识别阻止益盛行web应用黑客攻击(sql注入、钓鱼攻击、表单绕、缓冲区溢、cgi扫描、目录遍历等)安恒web应用防火墙介绍三: 1.明御web应用防火墙2.明御数据库审计及风险控制系统3.明鉴web应用弱点扫描器4.明御网站卫士5.明鉴数据库弱点扫描器6.堡垒主机usm相关阅读:防火墙主要类型网络层防火墙网络层防火墙可视为一种 ip 封包过滤器,运作在底层的tcp/ip协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 ip地址、来源端口号、目的 ip 地址或端口号、服务类型(如http 或是 ftp)。
也能经由通信协议、ttl 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙应用层防火墙是在 tcp/ip 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 ftp 时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。
理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
安恒明御WAF防火墙系统管理功能指南
37
12、WAF后台抓包命令——举例
eth0为进口,eth1为出口,后台抓取eth0、eth1、lo口的数据包
tcpdump –i eth0 –w eth0dl.pcap –s 0 host x.x.x.x tcpdump –i eth1 –w eth1dl.pcap –s 0 host x.x.x.x tcpdump –i lo –w lodl.pcap –s host x.x.x.x
• 物理直通模式:设备网口处于短路状态,WAF的安全检测失效,设备无法统计到流 量、接口收发等信息,无法在设备上抓取数据包信息;
• 正常模式:设备处于安全检测状态,配置保护对象后,WAF会对去往保护对象的流 量进行过滤,该工作模式为正常工作模式;
• 注:物理直通模式只用于透明代理部署时存在,反向代理、旁路监听、网关等模式 均不支持。 7
协议过滤在filter输入框中输入tcp就只会显示tcp协议的流量在filter输入框中输入udp就只会显示udp协议的流量在filter输入框中输入icmp就只会显示icmpping包协议的流量4513wireshark常用功能显示过滤器过滤语法2ip过滤在filter输入框中输入ipaddrxxxx比如ipaddr19216811显示源戒目的ip为19216811的数据包在filter输入框中输入ipsrcxxxx比如ipsrc19216811显示源ip为19216811的数据包在filter输入框中输入ipdstxxxx比如ipdst19216811显示目的ip为19216811的数据包4613wireshark常用功能显示过滤器过滤语法3
系统维护——网络工具抓包功能
目前WAF可以支持多个接口多个抓包动作同时进行,对抓包的时间无限制,需要注意的 是抓包条件要进行控制,以免数据包过大影响分析
明御WEB应用防火墙产品白皮书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深度防御,能够有效识别、阻止日益盛行的 WEB 应用黑客攻击(如 SQL 注入、钓鱼攻击、 表单绕过、缓冲区溢出、CGI 扫描、目录遍历等):
9 SQL 注入 9 命令注入 9 Cookie 注入 9 跨站脚本(XSS) 9 敏感信息泄露 9 恶意代码 9 错误配置 9 隐藏字段 9 会话劫持
9 参数篡改 9 缓冲区溢出 9 应用层拒绝服务 9 弱口令 9 其他变形的应用攻击 z Web 应用加速 系统内嵌应用加速模块,通过对各类静态页面及部分脚本的高速缓存,大大提高访问 速度。 z 敏感信息泄露防护
系统内置安全防护策略,可以灵活定义 HTTP/HTTPS 错误返回的默认页面,避免 因为 WEB 服务异常,导致敏感信息(如:WEB 应用安装目录、WEB 服务器版本 信息等)的泄露。 z 策略配置 自定义策略配置 z 告警 实时告警,支持邮件、短信等多种方式告警。 z 系统报表 支持自定义报表,支持各类导出格式(WORD、EXCEL、PDF、HTML 等)。 三、产品特点 z 专利级 WEB 入侵异常检测引擎 安恒独有 WEB 入侵异常检测引擎,能够有效分析和识别各类已知和变形的应用攻击, 为防御的准确性和高效性提供了基础。 z 支持全透明部署 业界首创支持全透明部署,无需更改原有的 DNS 或 IP 配置,对原有应用不会造成 任何影响。 z HTTPS 支持 国内首创全面支持 HTTPS,实现各类高安全要求 WEB 应用系统的深度实时防护(如网 银、证券交易等)。 z 支持多保护对象 支持多台主机对象的保护,包括不同域名不同 IP,不同域名相同 IP 的情况
网上银行作为电子商务的基础应用随着互联网的普及而迅速发展,据相关报告显示
2008 年底个人网银用户覆盖数达 6474.5 万,随着网上银行业务的发展,各类网上银行事故
越来越多,网上银行的安全问题日益突出,各类 WEB 应用攻击(如:SQL 注入攻击、钓鱼
攻击等)及盗号木马日益猖獗,网上银行交易过程中涉及的大量金融交易数据、用户个人隐 私信息已经成为攻击者的首选目标。如何加强网上银行系统的安全防护能力,防止不法分子 窃取银行客户的账号密码,减少网银业务的风险,是某商业银行迫切需要解决的问题。 安恒解决方案:
平均无故障时间 大于 60000 小时 MTBF
管理方式
五、客户案例
金融--某商Mbps 30000 6 管理口*1 HA 口*1 工作口*4 电口
9 9 9 可选 9 可选 1+1 冗余电源 AC 100~240V 50~60Hz 350W 42cm*39cm*8.8cm 11kg
z 支持用户自定义规则库
用户可以根据数据包的特征关键字等自定义安全策略规则,来实现安全检测及过滤
z 统一日志平台接口
z 支持阻断、告警、By-Pass 等多种应用模式
四、产品规格(参数)
型号
WAF-200AG
WAF-500AG
WAF-1000AG
规格
2U
吞吐量(Mb/sec)200Mbps
HTTP 最大并发数 10000
系统部署图如下:
WEB 应用防火墙与网络防火墙的区别: 传统的网络防火墙作为访问控制设备,工作在 OSI1-4 层,基于 IP 报文进行状态
检测、地址转换、网络层访问控制等,对报文中的具体内容不具备检测能力。因此,对 Web 应用而言,传统的网络防火墙仅提供 IP 及端口防护,对各类 WEB 应用攻击缺乏防 御能力。
通过手动或自动应用程序漏洞安全评估工具或方法检查面向公众的 Web 应用 程序,至少每年一次并在所有更改后进行检查。
在面向公众的 Web 应用程序前端安装 Web 应用程序防火墙
Web 应用防火墙主要致力于提供应用层保护,通过对 HTTP/HTTPS 及应用层数据 的深度检测分析,识别及阻断各类传统防火墙无法识别的 WEB 应用攻击。 法律法规:
支付卡行业 (PCI)数据安全标准(DSS) 版本 1.2 2008 年 10 月 6.6 对于面向公众的 Web 应用程序,经常解决新的威胁和漏洞,并确保保护这些 应用程序不受到以下任一方法的攻击:
在 某 商 业 银 行 的 网 上 银 行 服 务 器 前 端 直 连 部 署 安 恒 的 WEB 应 用 防 火 墙 (WAF-500AG),鉴于 WAF-500AG 全面支持 https 协议,因此,WAF-500AG 的部署不仅能 够实时识别、阻断来自互联网的各类 WEB 应用层攻击(如:SQL 注入攻击、跨站脚本攻击 (钓鱼攻击)、表单绕过、应用层 DDOS 攻击、敏感信息泄露等),同时可以通过强大的缓 存技术和负载均衡技术提高某商业银行的网站访问速度。
2U 1000Mbps 50000 10 管理口*1 HA 口*1 工作口*8 电口/光口
9 9 9 可选 9 可选 1+1 冗余电源 AC 100~240V 50~60Hz 450W 42cm*56cm*8.8cm 16.5kg
大于 60000 小时
大于 75000 小时
WEB 配置、Console 命令行配置
网口数量
6
网口用途 (标配)
管理口*1 HA 口*1 工作口*4
网口类型
电口
安全操作系统
9
WEB 入侵防护
9
HTTPS 支持
9
SSL 硬件加速
WEB 应用加速
9
自定义规则库
电源
1+1 冗余电源
输入电压
AC 100~240V 50~60Hz
最大功率
350W
尺寸
42cm*39cm*8.8cm
净重
11kg
明御 TMWEB 应用防火墙
国内首创全透明部署 WEB 应用安全网关
一、概述: 明御 TMWEB 应用防火墙(简称:WAF)是安恒结合多年应用安全的攻防理论和应急响
应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控 制规范等要求,以国内首创的全透明部署模式全面支持 HTTPS,在提供 WEB 应用实时深度 防御的同时实现 WEB 应用加速及敏感信息泄露防护,为 Web 应用提供全方位的防护解决方 案。该产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“政府、金融、运营商、 公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及 WEB 应用的 各个行业。部署安恒的 WAF 产品,可以帮助用户解决目前所面临的各类网站安全问题,如: 注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用 层 DOS/DDOS 攻击等等。