铱迅Web应用防火墙产品白皮书(20100329)

铱迅Web应用防护系统

产品白皮书

南京铱迅信息技术有限公司Nanjing Yxlink Information Technologies Co.,Ltd.

注意

铱迅Web应用防护系统产品白皮书

●本手册没有任何形式的担保、立场表达或其他暗示。若有任何因

本手册或其所提到之产品信息，所引起直接或间接的数据流失、利益损失或事业终止，铱迅信息不承担任何责任。

●铱迅信息保留可随时更改手册内所记载之硬件及软件规格的权

利，而无须事先通知。

●本公司已竭尽全力来确保手册内载之信息的准确性和完善性。如

果您发现任何错误或遗漏，请向铱迅信息反映，对此，我们深表感谢。

商标信息

铱迅信息、铱迅Web应用防火墙的标志为南京铱迅信息技术有限公司的商标或注册商标。本手册或随铱迅信息产品所附的其他文件中所提及的所有其他商标名称，分别为其相关所有者所持有的商标或注册商标。

目录

一．前言 (5)

Web应用平台的应用范围有哪些？ (5)

Web应用带来的威胁有什么？ (5)

如何解决Web应用安全问题？ (5)

二．来自Web的安全威胁 (6)

三．部署方式 (7)

1．透明网线模式 (7)

2．混合部署模式机模式 (10)

3．旁路反向代理模式 (10)

四．软、硬件Bypass方式 (11)

1．硬件Bypass (11)

2．软件Bypass (11)

五．防护功能 (12)

1．黑客攻击防护 (12)

2．违反策略防护 (13)

3．BOT防护 (13)

4．应用层洪水攻击 (13)

六．高级功能 (14)

1．自定义规则 (14)

2．白名单 (14)

3．关键词过滤 (15)

4．自动通知 (15)

5．防火墙拦截方式设置 (16)

6．防火墙过滤端口设置 (16)

7．防火墙检测方向设置 (16)

8．阻断时间设置 (16)

七．统计功能 (17)

1．入侵统计 (17)

2．网络流量统计 (17)

3．浏览页面统计 (18)

4．系统状态 (18)

八．日志分析 (19)

1．告警日志 (19)

2．审计日志 (19)

3．系统日志 (19)

九．数据备份、导出 (20)

1．入侵日志导出 (20)

2．审计日志导出 (21)

3．系统日志导出 (21)

一．前言

Web应用平台的应用范围有哪些？

随着计算及业务逐渐向数据中心高度集中发展，Web业务平台已经在各类政府、企业机构的核心业务区域，如电子政务、电子商务、运营商的增值业务等中得到广泛应用，很多企业都将应用架设在Web平台上，Web成为一种普适平台。

Web应用带来的威胁有什么？

Web业务的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web 业务的攻击上。黑客利用网站操作系统的漏洞和Web程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

当前网络上75%的攻击是针对Web应用的。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。各类网站客户已逐渐意识到Web安全问题的重要性，但传统安全设备（防火墙/IPS）解决Web应用安全问题存在局限性，而整改网站代码需要付出较高代价从而变得较难实现。同时，很多关系国计民生的重要网站，面临监管机构安全合规的要求。

如何解决Web应用安全问题？

面对来势汹汹的Web安全威胁，政府、企业为了保护好自身的Web服务器绞尽脑汁。Web服务器在交互性增强的同时，也带来了更高的网络危险性、混乱性和复杂性。

●如何防止Web服务器、数据库服务器被窃取信息？

●如何验证用户提交数据的安全性？

●如何防止黑客上传木马、控制服务器？

Web应用防火墙的出现，给当前的安全市场打了一针兴奋剂，Web应用安全的问题迎刃而解。各政府、企业纷纷要求安装Web应用防火墙。

二．来自Web的安全威胁

根据Gartner 的调查，信息安全攻击有75% 都是发生在Web 应用层而非网络层面上，2/3的Web 站点都相当脆弱，易受攻击。另外，在今年4月国家计算机网络应急技术处理协调中心最新发布的报告中指出，“2007年度，网络仿冒、网页恶意代码、网站篡改等增长速度接近200%。”而随着Web2.0应用的推广，相关安全问题逐渐凸显，针对该类网站的攻击事件也在不断增多，常见来自Web的安全威胁有几下几种：

1．SQL注入

2．木马上传

3．远程溢出

4．XSS

5．本地、远程包含漏洞利用

6．重要信息窃取

7．验证、认证绕过

8．Cookie、Session劫持

9．网站挂马

10．应用层DOS攻击

三．部署方式

“铱迅Web应用防护系统”（下文称：“Yxlink W AF”）支持多种灵活的部署方式，如透明网线模式、旁路反向代理模式、混合部署模式。

其中，“铱迅Web应用防火墙”的透明网线模式尤为出色，管理员在不需要修改原网络拓扑结构的情况下，“铱迅Web应用防火墙”相当于一根网线串入网络中，对Web攻击进行防御。而混合部署模式更是对较为复杂的网络应用环境提供了更加人性化的均衡部署能力。

“铱迅Web应用防火墙”的透明网线模式，与其他同类产品相比，有着先天的优势：

1．透明网线模式

透明网线模式指在两台运行的设备中间插入“铱迅Web应用防火墙”，但是对流量并不产生影响。在透明网线模式下，“铱迅Web应用防火墙”可以阻断、过滤来自Web应用层攻击，而让其他正常的流量通过。透明网线部署模式的最大特点是快速、简便，对于标准的Web应用（基于80/8080端口的Web应用），可做到即插即用，先部署后配置。

采用“铱迅Web应用防火墙”透明网线模式部署模式主要应用于如下五种场景：

●单一混合型服务器（Web应用、DB在同一台服务器上）

●单一分离式服务器（Web应用、DB采用不同的服务器部署，但Web服务器只有一

台）

●集群式Web服务器（多台集群型Web服务器）

●半分散式Web服务（Web服务器分布在局域网的部分子网中）

●全分散式Web服务（Web服务器几乎分布在局域网的任何子网中）