天清Web应用安全网关产品综述

天清Web应用安全网关产品综述

2.1 产品简介

天清Web应用安全网关（Web Application Gateway，以下简称：天清WAG），是启明星辰公司自行研制开发的新一代Web安全防护与应用交付类网络安全产品，主要针对Web 服务器进行第7层流量分析，防护以Web应用程序漏洞为目标的攻击，并针对Web应用访问进行各方面优化，以提高Web或网络协议应用的可用性、性能和安全性，确保业务应用能够快速、安全、可靠地交付。

天清WAG应用了一套HTTP会话规则集，这些规则涵盖诸如SQL注入、以及XSS等常见的Web攻击。同时通过自定义规则，识别并阻止更多攻击。解决诸如防火墙、UTM等传统设备束手无策的Web系统安全问题。

图1.天清WAG - 源自天清Web IPS

天清WAG在2007年面市的天清入侵防御系统Web IPS系列产品成熟的Web 入侵防御技术与大客户经验积累的基础上，更深层次聚焦Web安全防护与应用交付，提供了专业化的Web攻击防护能力。同时，针对Web系统安全热点问题，如SSL攻击检测、Web敏感信息防护、网页防篡改、多服务器负载均衡等，有着完善的解决方案。

天清WAG始终致力于提供Web安全与应用交付融合的解决方案，确保Web或网络协议应用的可用性、性能和安全性：

图2.天清WAG三大发展核心

•Web安全：依托多年安全检测积累、持续的安全研究投入，围绕《OWASP Top 10 Application Security Risks》，提供快速全面的Web安全解决方案。

•应用交付：依托全系列多核硬件、以及上市公司资源投入优势，以高速、高可用为目标，优化业务资源，改善访问体验。

•全产品应用安全解决方案：基于启明星辰面向应用安全的天阗、天清汉马、天清、天玥、天珣、天镜等全系列产品，提供完善的全产品应用安全解决方案。

2.2 产品系列简介

图3.天清WAG - 全系列MIPS64多核SoC（System on Chip）处理器

2.3 产品构成

天清WAG主要由以下两部分组成：硬件形态的WAG引擎、软件形态的天清集中控制中心。

WAG引擎串行接入到网络中，对所有穿透引擎的Web流量进行分析并做出响应。天清集中控制中心由应用监控、统计报表、系统维护、帮助4个模块组成。天清WAG引擎与天清集中控制中心均支持浏览器访问模式，可以远程登录进行如查看事件、管理引擎等工作。

2.4 硬件结构

随着Internet的迅速普及，一方面全球范围内的黑客攻击、操作系统漏洞等网络安全问题层出不穷，且变化越来越快，危害越来越大；另一方面，随着网络应用的增加，对网络带宽提出了更高的要求。天清WAG作为保障Web系统安全的重要防线，究竟何种硬件架构最适合？

图4.主流硬件平台分析比较

要满足未来信息安全产品适应信息高速膨胀的发展趋势，提升开放平台的硬件性能，即是必然趋势也是满足未来应用需求的关键要素。在这样一个开放性平台应用需求的驱动力下，多核技术应运而生。这里所说的多核并不是基于X86的2核、4核这样的CPU，而是在网络、安全设备上最新使用的基于MIPS64的多核SoC（System on Chip）处理器，此类多核SoC处理器目前可支持到16核，并随着安全计算需求的不断增加而继续提升。

相比X86、NP、ASIC硬件平台，SoC多核硬件平台的最大优势是保留了X86平台的高灵活性（这一点对于安全设备的应用层检测非常关键），同时具备与ASIC平台相当的高处理性能。同时，通过增加核数，使线性提升硬件计算能力成为了可能，更重要的是功耗也随之得到了控制。

图5.MIPS多核硬件架构

SoC多核硬件平台在支撑灵活性和高性能的同时，带来的另一个卓有成效的经济效益是低碳、节能。

对信息安全产品而言，减排、低功耗是实现“低碳经济”最主要的节能目标。多核架构的主要优势为一颗芯片上集成了多个核，核与核之间可以协同工作，同时在各个核周边还集成了丰富的安全协处理硬件，如硬件加密、正则匹配和应用加速等，高集成度的特点简化了整体硬件板卡的复杂度和能耗。同样的应用，对于X86通用硬件平台，需要1颗甚至多颗高频率CPU，同时需要南北桥芯片组、通过PCI扩展的硬件加速板卡或应用加速卡等，一系列配套芯片设计使能耗远远高于同档次多核SoC专用硬件平台。根据功耗对比测试，多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。

在高效能、低炭排放的同时，多核架构带给信息安全产业的另一个优势为高质量。高度集成的SoC处理器降低了硬件平台的整体复杂度，硬件的简化促使故障率可以降低到1％以下（X86平台故障率通常为5％以上），达到电信级标准。

为了满足云计算的安全趋势，天清WAG全系列产品型号均采用基于MIPS64的多核SoC 硬件架构，为用户网络提供更加安全、高效、可靠、环保和节能的WAG产品。