Anchiva安全网关产品手册

ＲａｐｉｄＲＸ实验室优势 ＷｉｌｄＬｉｓｔ成员及积极贡献者 提供３６５天不间断持续更新服务 每天处理Ｍａｌｗａｒｅ样本数万条 Ｍａｌｗａｒｅ数据库每日常规更新６次 最新爆发，２小时之内响应 ５００多万　Ｍａｌｗａｒｅ特征库 １０００多万的Ｍａｌｗａｒｅ防范能力 领先的数据云ＵＲＬ过滤技术 专业的Ｉｎｔｅｒｎｅｔ应用识别技术 先进的ｗｅｂ应用攻击防御技术全球分布 中国杭州研究中心 亚太、北美、欧洲研究实验室 全球化样本采集网络　全球化Ｉｎｔｅｒｎｅｔ应用安全实验室
Ａｎｃｈｉｖａ　ＲａｐｉｄＲＸ安全实验室成立于２００５年，该实验室是Ａｎｃｈｉｖａ全球Ｉｎｔｅｒｎｅｔ应用安全研究网络和产品支持中心，也是Ａｎｃｈｉｖａ服务基础设施的中枢系统，在亚太、欧洲和北美等地都设有专门的威胁研究中心和样本采集网络，为全球客户提供持续的全天候Ｉｎｔｅｒｎｅｔ应用安全防范服务。

该实验室由经验丰富的分析家和研究员组成，他们战略性的分布在全球各个区域，负责采集恶意代码样本，跟踪、发现互联网上ｗｅｂ应用攻击类型及发展趋势，开发网络威胁防御技术和网络威胁监控技术，为Ａｎｃｈｉｖａ全球客户提供不间断的特征库与防护算法的更新，与用户一起应对各类Ｉｎｔｅｒｎｅｔ应用威胁与攻击。

多样化的服务包括如下内容： Ｍａｌｗａｒｅ特征库
ＵＲＬ分类数据库
Ｉｎｔｅｒｎｅｔ应用分类库
Ｗｅｂ应用防御特征库
Ｍａｌｗａｒｅ智能分析处理系统
为了防范日益增加的网络威胁，Ａｎｃｈｉｖａ　ＲａｐｉｄＲＸ安全实验室开发了先进的Ｍａｌｗａｒｅ自动化分析处理系统，可对绝大部分样本进行自动分析鉴定并采集合适的特征码，同时Ａｎｃｈｉｖａ　ＲａｐｉｄＲＸ的安全专家将对其中少部分复杂多变的样本进行专门的分析研究，并为其专门编写出更强大的特征程序；所有的Ｍａｌｗａｒｅ特征在经过自动测试系统的严格测试后，将通过Ａｎｃｈｉｖａ服务分发网络ＡＳＤＮ（Ａｎｃｈｉｖａ　Ｓｅｒｖｉｃｅ　Ｄｉｓｔｒｉｂｕｔｉｏｎ　Ｎｅｔｗｏｒｋ）自动分发给Ａｎｃｈｉｖａ的全球客户。

从采集到样本到特征发布给客户，整个过程只需２个小时。

目前，Ａｎｃｈｉｖａ　ＲａｐｉｄＲＸ安全实验室每天收集处理的样本数万条，每日提供Ｍａｌｗａｒｅ特征库常规更新６次。

为中国客户提供本地化的专业服务
Ａｎｃｈｉｖａ在中国杭州设立的威胁监控、分析与响应中心，能够快速的为中国客户提供本地化Ａｎｔｉ－ｍａｌｗａｒｅ与ｗｅｂ攻击防御服务，并配备一流的研究人员以监控、采集与分析恶意代码；无论是病毒、木马、后门、间谍软件、蠕虫还是ｗｅｂ应用攻击，Ａｎｃｈｉｖａ都能第一时间采集到，对于有重大危害的样本，可在两个小时内做出响应，对国内的客户提供及时的本地化服务与支持。

　
其实质为风险评估，是否阻挡取决于用户设置的安全访问风险级别，用于网关产品时，管理员难以设定安全级别，由于网关不便与终端用户进行交互，无法解决大量的误拦问题，鉴于其判断标准与病毒检测和恶意网站过滤不同，其相关日志不应用来衡量防病毒网关的病毒拦截率，也不能用防病毒的标准来衡量其误报率。

３、何为云安全，防病毒网关上采用云安全会面临哪些问题？■云安全的特点
●　特征库在服务器上，检查在服务器上进行
●　好处：降低客户端存储要求及计算压力
■防病毒网关采用云安全面临的问题
●　要求将所有ＵＲＬ发送到服务器查询
●　查询结果能否在延时期限内返回
●　大量的并发查询带来的压力
●　文件校验码查询的结果不可靠
●　发送文件到服务器扫描占用更多的带宽资源
●　仍然需要在本地启用非校验码特征再扫描
■防病毒网关可根据自己产品的特点合理的利用云计算 技术
■ＵＲＬ过滤可考虑使用云技术，网关病毒检测的云技术 应用还有较大困难
４、Ａｎｃｈｉｖａ病毒引擎与开源病毒引擎的区别是什么？
●　专注网络，并行扫描
●　支持各种具有潜在风险的文件格式的扫描ＨＴＭＬ／ ＥＸＥ／ＤＯＣ／ＰＤＦ／ＳＷＦ／ＪＰＧ／……
●　支持常用压缩格式ＺＩＰ／ＲＡＲ／ＣＡＢ／ＴＡＲ／ＧＺＩＰ／……
５、为什么ｍａｌｗａｒｅ过滤网关需要深度内容检测与病毒过 滤引擎？
病毒、木马、间谍软件等Ｍａｌｗａｒｅ具有很强的隐蔽特性和复杂的编码结构，单纯的通过ＵＲＬ过滤的方式，并不能完全对其进行识别，必须需要深度的内容检测与过滤才能全面的识别现如今的各类Ｍａｌｗａｒｅ。

６、上网安全网关为什么需要这么多功能？
网络成为应用平台、交流媒介和商业工具后，病毒、木马、间谍软件、网络钓鱼、灰色软件、后门程序等也随ｗｅｂ访问，电子邮件，ＦＴＰ下载，即时通讯软件ＱＱ、ＭＳＮ，员工的网上炒股等途径进入企业内部网络，为了给企业提供多层次复合式的威胁防御服务，Ａｎｃｈｉｖａ上网安全网关除了具有Ａｎｔｉ－ｍａｌｗａｒｅ功能外，还有Ｉｎｔｅｒｎｅｔ应用控制、带宽管理、Ｗｅｂ攻击防御等多种功能，最大程度的掌控Ｉｎｔｅｒｎｅｔ　应用威胁的各个环节，加强企业的网络信息安全。

７、Ａｎｃｈｉｖａ的扫描引擎是采用串流扫描技术吗？性能怎么样？
所谓串流扫描技术更多的是出于市场宣传的说法，串流扫描的主要思路就是不需要收齐整个文件就能进行Ｍａｌｗａｒｅ的扫描，但是实际上网络上传输的文件绝大部分都是经过编码处理的，没有收全的话就无法进行解码，没有解码就无法进行实际内容的扫描。

同样，大部分的Ｍａｌｗａｒｅ都是经过加壳的，不收全就无法进行脱壳处理，内容扫描更无从谈起。

Ａｎｃｈｉｖａ设备由于是定制的针对内容扫描的网络设备，加上基于ＡＳＩＣ的硬件扫描引擎和自有的专利加速扫描算法，ＨＴＴＰ扫描性能可以在毫秒级的延迟下做到高达９００Ｍｂｐｓ。

８、媒体对Ａｎｃｈｉｖａ产品的评价如何？
Ａｎｃｈｉｖａ产品在２０１０年４月获得美国ＳＣ　杂志的产品推荐，其中功能五星、易用性四星、性能五星、性价比四星，总体评价五星。

高性能的产品平台具有专利技术、优化重写ＴＣＰ协议栈且支持多核的ＡｎｃｈｉｖａＯＳ，是Ａｎｃｈｉｖａ高性能的技术保障，为客户提供了高性能的产品平台，并且随着硬件配置的提升，性能可近似线性增长。

完善的ｗｅｂ站点防篡改功能通常的网页被篡改是由于ｗｅｂ系统被通过ＳＱＬ注入或命令行注入攻击渗透了，获得了网站的权限，从而被修改。

Ａｎｃｈｉｖａ　ｗｅｂ应用安全网关提前积极主动地阻断针对ｗｅｂ服务系统的各种攻击，从而防止数据库、ｗｅｂ应用程序等被篡改；同时Ａｎｃｈｉｖａ　Ｗｅｂ应用安全网关还具有专门的静态页面防篡改功能，因此具备了完善的ｗｅｂ站点防篡改功能。

独有的恶意文件上传过滤功能Ａｎｃｈｉｖａ　Ｗｅｂ应用安全网关针对ＨＴＴＰ／ＨＴＴＰＳ应用交互中的上传附件进行病毒检测过滤，并内置强大的病毒特征库，防止感染病毒的文件上传到ｗｅｂ服务器后造成大范围的病毒扩散，致使服务器瘫痪；产品特点
更重要的是能阻断后门病毒上传到服务器，从而获取服务器的控制权限，达到攻击ｗｅｂ应用系统的目的。

挂马侦测与报警Ａｎｃｈｉｖａ　Ｗｅｂ应用安全网关不仅能防止网站被挂
马，还能够对在未部署ｗｅｂ应用防火墙之前已经被
挂马的网页进行侦测与报警，并且提供客户可定制的替换页面，直到网页恢复正常。

双向深度数据解码及内容级多重检测过滤Ａｎｃｈｉｖａ　Ｗｅｂ应用安全网关作为ｗｅｂ客户端与服务器端请求与响应的中间人，避免ｗｅｂ服务器直接暴露在互联网上，检测过滤ＨＴＴＰ／ＨＴＴＰＳ双向交互流量数据，对其中的恶意成分进行实时在线清洗
过滤。

通过对ＨＴＴＰ／ＨＴＴＰＳ协议进行深入的解析，
精确的识别出协议中的各种要素，比如　Ｃｏｏｋｉｅ、Ｇｅｔ参数、Ｐｏｓｔ表单等，并对这些数据进行必要的解码，以还原原始信息，根据这些解码后的原始信息，准确的识别检测是否包含攻击内容。

ｗｅｂ应用加速　
Ａｎｃｈｉｖａ　Ｗｅｂ应用安全网关具有应用加速功能，采用对象相关性对各类数据及模块进行高速缓存，提高用户的访问速度。

可有效应对零日未知攻击
Ａｎｃｈｉｖａ　Ｗｅｂ应用安全网关能实时对ＨＴＴＰ／ＨＴＴＰＳ的请求进行异常检测，目的是为了检测是否是一个正常的ＨＴＴＰ请求，检测请求中是否包含不合理内容、非法字符、未知请求、畸形构造等，这些都有可能造成攻击或危害，甚至是零日未知的攻击。

自动生成动态攻击黑名单　
Ａｎｃｈｉｖａ　Ｗｅｂ应用安全网关将被确认为攻击的源ＩＰ自动加入黑名单，并且提供自动解禁时间，不需要任何人工的操作，大大方便了管理员的维护与管理。

易于部署与管理纯透明式在线部署，能够即插即用，自动升级，无需更改网络和ｗｅｂ服务系统架构，且与网络中已有的防火墙、路由器、交换机等设备均能直接连通。

多级灵活防护针对不同的ｗｅｂ域、ｗｅｂ服务地址、ｗｅｂ目录、ＵＲＬ等提供不同的防护策略。

基本防护策略与高级防护策略配合使用，达到对ｗｅｂ应用交互内容的检测与合规性、安全性过滤。

高投资回报率
●　单一设备支持多对线路的同时防护。

●　根据ｗｅｂ交互内容定位攻击，与服务器本身并无关　联，可随意增加防护服务器。

●　部署在ＩＤＣ　ｗｅｂ服务器前端，可建立不同的防护
策略，为多个托管ｗｅｂ服务系统既可提供集中式的防护，也可提供个性化的防护。

１、什么是Ｗｅｂ应用防火墙？Ｗｅｂ应用防火墙是位于Ｗｅｂ客户端和Ｗｅｂ服务器端之间，根据安全策略解析来自ＯＳＩ模型中第七层应用层的攻击信息的一种中间设备，是一种可保护Ｗｅｂ服务器免受攻击的安全设备。

Ａｎｃｈｉｖａ　的Ｗｅｂ应用防火墙产品名称为ｗｅｂ应用安全网关。

２、目前，很多企业已经部署了防火墙、ＩＰＳ甚至传统的网页防篡改系统，但为何ｗｅｂ应用攻击事件仍然不断发生，且呈上升趋势？据Ｇａｒｔｎｅｒ统计，近几年所发生的黑客攻击等恶意网络行为的７５％以上为利用ｗｅｂ服务和内容的漏洞攻击，而现有的ＩＰＳ、防火墙等安全产品对其未能做到有效的防御。

防火墙主要通过分析检测ＩＰ数据包，基于ＴＣＰ／ＩＰ报文的头部信息以及ＴＣＰ会话的状态达到实现ＯＳＩ３－４层的访问控制，无法识别ＨＴＴＰ内容。

ＩＰＳ其工作原理是检测数据包有效载荷，提取特征，然后与设备加载的攻击特征码进行比对，设备加载的特征码都是从已知的协议或应用漏洞中提取出来的。

目前很多网页防篡改产品只是一个装在ｗｅｂ服务器上的被动备份恢复系统。

当发现网站内容被篡改则将备份的内容导入，并非一个安全防御产品，不能防御网站被攻击，只能做到事后的恢复，不能做到事前的防御，而且产品ＦＡＱ
不能完全保证网页被篡改后的完全恢复，例如对于一些动态页面，就无法恢复。

３、ｗｅｂ应用安全问题本质上源于什么？ｗｅｂ应用安全问题本质上源于代码质量。

但ｗｅｂ应用不同于其他的应用软件，例如Ｏｆｆｉｃｅ办公软件、Ａｄｏｂｅ图
象处理软件等，其往往具有某个企业机构独有的业务应
用，而且需要频繁的变动以满足业务发展的需要。

于是对于这类具有定制化特点的ｗｅｂ应用，没有通用的补丁可用，整改代码因代价过大变得较难实施或者需要较长时间的整改期。

４、ｗｅｂ应用防火墙区别于防火墙、ＩＰＳ、网页防篡改
等设备的明显特征是什么？
Ｗｅｂ应用防火墙与传统的防火墙、ＩＰＳ、网页防篡改产品具有本质的技术差异，具体差异如下：●　具有ＨＴＴＰ应用代理，具有识别检测ＨＴＴＰ／ＨＴＴＰＳ
协议内容及具体数据的能力，支持各种ｗｅｂ编码，例如ＡＳＰ、ＰＨＰ、ＪＳＰ等。

●　检测ＵＲＬ参数、ｗｅｂ表单输入、ＨＴＴＰ ｈｅａｄｅｒ等ｗｅｂ
交互信息，在进行解码的基础上，对攻击的形式逻辑进
行判断过滤。

●　验证ＨＴＴＰ／ＨＴＴＰＳ协议会话的可靠性，弥补ＨＴＴＰ协议会话管理机制的缺陷，防御基于会话的攻击类型，如Ｃｏｏｋｉｅ篡改及会话劫持等攻击。