WebGuard-WAF是自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品,作為網(wǎng)關(guān)設(shè)備,防護(hù)對象為Web服務(wù)器,其設(shè)計目標(biāo)為:分別針對安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描、防護(hù)及診斷,提供綜合Web應(yīng)用安全解決方案。
事前,WebGuard-WAF提供Web應(yīng)用漏洞掃描功能,檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進(jìn)行有效檢測、阻斷及防護(hù)。事后,針對當(dāng)前的安全熱點(diǎn)問題,網(wǎng)頁篡改及網(wǎng)頁掛馬,提供診斷功能,降低安全風(fēng)險,維護(hù)網(wǎng)站的公信度。
WebGuard-WAF系統(tǒng)特性
集成領(lǐng)先WEB應(yīng)用漏洞檢測技術(shù)
Web應(yīng)用安全問題,成因在于Web應(yīng)用程序開發(fā)階段留下的安全隱患為攻擊者所利用。這主要由于Web發(fā)展過程前進(jìn)過于迅速,更多考慮如何快速提供服務(wù),往往忽略了之前在傳統(tǒng)軟件工程開發(fā)中已經(jīng)面臨的安全問題。因此,Web上的很多應(yīng)用都沒有經(jīng)過傳統(tǒng)軟件開發(fā)所必需完成的細(xì)致檢查和完整處理過程。
針對這種情況,WebGuard-WAF集成了業(yè)界領(lǐng)先的Web應(yīng)用檢測技術(shù),檢測Web應(yīng)用自身的脆弱性,諸如SQL注入、跨站腳本(XSS)等頁面漏洞,為解決根本問題提供技術(shù)依據(jù)。
多維防護(hù)體系
WAF應(yīng)用了先進(jìn)的多維防護(hù)體系,對Web應(yīng)用攻擊進(jìn)行了廣泛且深入的研究,固化了一套針對Web應(yīng)用防護(hù)的專用特征規(guī)則庫,對當(dāng)前國內(nèi)主要的Web應(yīng)用攻擊手段實(shí)現(xiàn)了有效的防護(hù)機(jī)制,應(yīng)對黑客傳統(tǒng)攻擊(緩沖區(qū)溢出、CGI掃描、遍歷目錄等)以及新興的SQL注入和跨站腳本等攻擊手段。
WebGuard-WAF應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法,可防護(hù)各類帶寬及資源耗盡型拒絕服務(wù)攻擊。尤其是針對HTTP Get Flood以及CC攻擊,基于智能關(guān)聯(lián)分析技術(shù)能夠有效識別,提供應(yīng)用層細(xì)粒度的防護(hù)。基于特征檢測和智能關(guān)聯(lián)分析技術(shù),WebGuard-WAF提供針對傳奇游戲的攻擊防護(hù),如常見的假人攻擊、創(chuàng)建帳號攻擊、數(shù)據(jù)庫攻擊等。
對于蠕蟲變形,WebGuard-WAF基于關(guān)聯(lián)分析技術(shù)進(jìn)行有效識別和阻斷告警。對于混合型攻擊,WebGuard-WAF提供多重檢查機(jī)制和智能分析,確保對高安全風(fēng)險級別攻擊事件的準(zhǔn)確識別率,同時也有效避免告警誤報率高為用戶帶來的告警風(fēng)暴。對于不符合RFC標(biāo)準(zhǔn)的畸形包,采用協(xié)議異常檢測技術(shù),進(jìn)行識別和過濾。
黑客攻擊技術(shù)是不斷發(fā)展的,安全產(chǎn)品面對的是充滿“智慧”的攻擊者,Web安全攻防是持續(xù)變化的過程。攻擊者可以調(diào)整攻擊力度、采用新的攻擊手段,突破攻擊防護(hù)設(shè)備的性能極值,能夠及時跟蹤、發(fā)現(xiàn)互聯(lián)網(wǎng)上新出現(xiàn)的Web應(yīng)用攻擊類型,并最優(yōu)化防護(hù)技術(shù),從而為客戶提供對抗最新攻擊的解決方案。
網(wǎng)頁篡改防護(hù)
針對目前猖獗的網(wǎng)頁篡改問題,WebGuard-WAF提供“安全-成本”的最佳平衡點(diǎn),從“事前、事中以及事后進(jìn)行綜合考慮。事前提供漏洞掃描,作為預(yù)防解決方案,為解決根本問題提供技術(shù)依據(jù)。事中,基于智能特征分析技術(shù),對網(wǎng)頁篡改所采用的主要攻擊手段(如SQL注入、XSS)進(jìn)行檢測并做有效阻斷,且及時跟蹤、發(fā)現(xiàn)互聯(lián)網(wǎng)上新出現(xiàn)的SQL注入攻擊類型,并最優(yōu)化防護(hù)技術(shù),幫助用戶對抗最新攻擊。事后對WEB網(wǎng)頁篡改能進(jìn)行檢測并做應(yīng)急保護(hù),有效阻止非法頁面發(fā)布、為公眾瀏覽,極大降低網(wǎng)頁篡改引發(fā)重大影響的安全風(fēng)險。
WebGuard-WAF產(chǎn)品優(yōu)勢體現(xiàn)在:
1. 從事前、事中及事后綜合考慮問題,提供最佳安全-成本平衡點(diǎn),為用戶降低安全風(fēng)險;
2. 采用網(wǎng)絡(luò)串聯(lián)方式對頁面進(jìn)行實(shí)時防護(hù);支持對動態(tài)、靜態(tài)網(wǎng)頁的檢測和防護(hù);
3. 發(fā)生網(wǎng)頁篡改緊急事件時,WEBGUARD-WAF提供專業(yè)、謹(jǐn)慎的處理方式:不擅自做網(wǎng)頁自動恢復(fù),而是啟動應(yīng)急機(jī)制,對網(wǎng)絡(luò)流量進(jìn)行控制,對期間新的用戶請求(HTTP Request)響應(yīng)為事先自定義好的合法頁面。另一方面提供短信和郵件告警,第一時間通知網(wǎng)站管理人員。不改變Web服務(wù)器當(dāng)前的配置和頁面內(nèi)容,保留好犯罪現(xiàn)場,供事后溯源分析,杜絕期間頁面連續(xù)被篡改;
4. 網(wǎng)關(guān)設(shè)備,防護(hù)對象不受操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序限制。不介入網(wǎng)站正常業(yè)務(wù)流程,不占用Web服務(wù)器資源。接入網(wǎng)絡(luò)即插即用,安裝方便,配置簡單,用戶能夠遠(yuǎn)程通過瀏覽器訪問系統(tǒng),后期的維護(hù)工作較少;
5. 系統(tǒng)內(nèi)核經(jīng)過優(yōu)化的安全操作系統(tǒng),自身安全性高。設(shè)備與設(shè)備自帶安全中心通信協(xié)議為SSL。
網(wǎng)頁掛馬主動診斷網(wǎng)頁掛馬,可以認(rèn)為是一種比較隱蔽的網(wǎng)頁篡改方式,其最終目的為盜取客戶端的敏感信息,如各類帳號密碼,甚而可能導(dǎo)致客戶端主機(jī)淪為攻擊者的肉雞。Web服務(wù)器成為了傳播網(wǎng)頁木馬的“傀儡幫兇”,嚴(yán)重影響到網(wǎng)站的公眾信譽(yù)度。對于Web服務(wù)器而言,最大隱患在于,多數(shù)情況網(wǎng)站實(shí)質(zhì)已被入侵,只是攻擊者出于經(jīng)濟(jì)利益考慮,未采用更為直觀的篡改方式。
目前,網(wǎng)頁掛馬主要解決方案還是聚焦于終端安全。事實(shí)上,隨著一系列常見應(yīng)用軟件漏洞的曝光,之前達(dá)成的共識“打齊微軟補(bǔ)丁可以解決90%問題”已經(jīng)不復(fù)成立,微軟補(bǔ)丁所能提供的保護(hù)已經(jīng)變得非常有限。而解決各類應(yīng)用軟件的漏洞問題,還有待各方面的共同努力。
Web服務(wù)器在網(wǎng)頁掛馬中作為被利用者,各網(wǎng)站的公信度需要得到維護(hù)。基于此種考慮,WebGuard-WAF提供網(wǎng)頁掛馬檢測功能,全面檢查網(wǎng)站各級頁面中是否被植入惡意代碼,并及時提醒客戶。
HA(High Availability)
WebGuard-WAF支持雙機(jī)熱備,可根據(jù)網(wǎng)絡(luò)情況和用戶需求,部署Active/Active或Active/Standby的工作模式,提供load balance或者failover功能,避免傳統(tǒng)串聯(lián)設(shè)備存在單點(diǎn)故障的隱患,從而有力保障Web業(yè)務(wù)的高可用性。
