WebGuard-WAF是自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品,作為網(wǎng)關(guān)設(shè)備,防護對象為Web服務(wù)器,其設(shè)計目標為:分別針對安全漏洞、攻擊手段及最終攻擊結(jié)果進行掃描、防護及診斷,提供綜合Web應(yīng)用安全解決方案。
事前,WebGuard-WAF提供Web應(yīng)用漏洞掃描功能,檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后,針對當前的安全熱點問題,網(wǎng)頁篡改及網(wǎng)頁掛馬,提供診斷功能,降低安全風險,維護網(wǎng)站的公信度。
WebGuard-WAF系統(tǒng)特性
集成領(lǐng)先WEB應(yīng)用漏洞檢測技術(shù)
Web應(yīng)用安全問題,成因在于Web應(yīng)用程序開發(fā)階段留下的安全隱患為攻擊者所利用。這主要由于Web發(fā)展過程前進過于迅速,更多考慮如何快速提供服務(wù),往往忽略了之前在傳統(tǒng)軟件工程開發(fā)中已經(jīng)面臨的安全問題。因此,Web上的很多應(yīng)用都沒有經(jīng)過傳統(tǒng)軟件開發(fā)所必需完成的細致檢查和完整處理過程。
針對這種情況,WebGuard-WAF集成了業(yè)界領(lǐng)先的Web應(yīng)用檢測技術(shù),檢測Web應(yīng)用自身的脆弱性,諸如SQL注入、跨站腳本(XSS)等頁面漏洞,為解決根本問題提供技術(shù)依據(jù)。
多維防護體系
WAF應(yīng)用了先進的多維防護體系,對Web應(yīng)用攻擊進行了廣泛且深入的研究,固化了一套針對Web應(yīng)用防護的專用特征規(guī)則庫,對當前國內(nèi)主要的Web應(yīng)用攻擊手段實現(xiàn)了有效的防護機制,應(yīng)對黑客傳統(tǒng)攻擊(緩沖區(qū)溢出、CGI掃描、遍歷目錄等)以及新興的SQL注入和跨站腳本等攻擊手段。
WebGuard-WAF應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法,可防護各類帶寬及資源耗盡型拒絕服務(wù)攻擊。尤其是針對HTTP Get Flood以及CC攻擊,基于智能關(guān)聯(lián)分析技術(shù)能夠有效識別,提供應(yīng)用層細粒度的防護。基于特征檢測和智能關(guān)聯(lián)分析技術(shù),WebGuard-WAF提供針對傳奇游戲的攻擊防護,如常見的假人攻擊、創(chuàng)建帳號攻擊、數(shù)據(jù)庫攻擊等。
對于蠕蟲變形,WebGuard-WAF基于關(guān)聯(lián)分析技術(shù)進行有效識別和阻斷告警。對于混合型攻擊,WebGuard-WAF提供多重檢查機制和智能分析,確保對高安全風險級別攻擊事件的準確識別率,同時也有效避免告警誤報率高為用戶帶來的告警風暴。對于不符合RFC標準的畸形包,采用協(xié)議異常檢測技術(shù),進行識別和過濾。
黑客攻擊技術(shù)是不斷發(fā)展的,安全產(chǎn)品面對的是充滿“智慧”的攻擊者,Web安全攻防是持續(xù)變化的過程。攻擊者可以調(diào)整攻擊力度、采用新的攻擊手段,突破攻擊防護設(shè)備的性能極值,能夠及時跟蹤、發(fā)現(xiàn)互聯(lián)網(wǎng)上新出現(xiàn)的Web應(yīng)用攻擊類型,并最優(yōu)化防護技術(shù),從而為客戶提供對抗最新攻擊的解決方案。
網(wǎng)頁篡改防護
針對目前猖獗的網(wǎng)頁篡改問題,WebGuard-WAF提供“安全-成本”的最佳平衡點,從“事前、事中以及事后進行綜合考慮。事前提供漏洞掃描,作為預(yù)防解決方案,為解決根本問題提供技術(shù)依據(jù)。事中,基于智能特征分析技術(shù),對網(wǎng)頁篡改所采用的主要攻擊手段(如SQL注入、XSS)進行檢測并做有效阻斷,且及時跟蹤、發(fā)現(xiàn)互聯(lián)網(wǎng)上新出現(xiàn)的SQL注入攻擊類型,并最優(yōu)化防護技術(shù),幫助用戶對抗最新攻擊。事后對WEB網(wǎng)頁篡改能進行檢測并做應(yīng)急保護,有效阻止非法頁面發(fā)布、為公眾瀏覽,極大降低網(wǎng)頁篡改引發(fā)重大影響的安全風險。
WebGuard-WAF產(chǎn)品優(yōu)勢體現(xiàn)在:
1. 從事前、事中及事后綜合考慮問題,提供最佳安全-成本平衡點,為用戶降低安全風險;
2. 采用網(wǎng)絡(luò)串聯(lián)方式對頁面進行實時防護;支持對動態(tài)、靜態(tài)網(wǎng)頁的檢測和防護;
3. 發(fā)生網(wǎng)頁篡改緊急事件時,WEBGUARD-WAF提供專業(yè)、謹慎的處理方式:不擅自做網(wǎng)頁自動恢復(fù),而是啟動應(yīng)急機制,對網(wǎng)絡(luò)流量進行控制,對期間新的用戶請求(HTTP Request)響應(yīng)為事先自定義好的合法頁面。另一方面提供短信和郵件告警,第一時間通知網(wǎng)站管理人員。不改變Web服務(wù)器當前的配置和頁面內(nèi)容,保留好犯罪現(xiàn)場,供事后溯源分析,杜絕期間頁面連續(xù)被篡改;
4. 網(wǎng)關(guān)設(shè)備,防護對象不受操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序限制。不介入網(wǎng)站正常業(yè)務(wù)流程,不占用Web服務(wù)器資源。接入網(wǎng)絡(luò)即插即用,安裝方便,配置簡單,用戶能夠遠程通過瀏覽器訪問系統(tǒng),后期的維護工作較少;
5. 系統(tǒng)內(nèi)核經(jīng)過優(yōu)化的安全操作系統(tǒng),自身安全性高。設(shè)備與設(shè)備自帶安全中心通信協(xié)議為SSL。
網(wǎng)頁掛馬主動診斷網(wǎng)頁掛馬,可以認為是一種比較隱蔽的網(wǎng)頁篡改方式,其最終目的為盜取客戶端的敏感信息,如各類帳號密碼,甚而可能導(dǎo)致客戶端主機淪為攻擊者的肉雞。Web服務(wù)器成為了傳播網(wǎng)頁木馬的“傀儡幫兇”,嚴重影響到網(wǎng)站的公眾信譽度。對于Web服務(wù)器而言,最大隱患在于,多數(shù)情況網(wǎng)站實質(zhì)已被入侵,只是攻擊者出于經(jīng)濟利益考慮,未采用更為直觀的篡改方式。
目前,網(wǎng)頁掛馬主要解決方案還是聚焦于終端安全。事實上,隨著一系列常見應(yīng)用軟件漏洞的曝光,之前達成的共識“打齊微軟補丁可以解決90%問題”已經(jīng)不復(fù)成立,微軟補丁所能提供的保護已經(jīng)變得非常有限。而解決各類應(yīng)用軟件的漏洞問題,還有待各方面的共同努力。
Web服務(wù)器在網(wǎng)頁掛馬中作為被利用者,各網(wǎng)站的公信度需要得到維護。基于此種考慮,WebGuard-WAF提供網(wǎng)頁掛馬檢測功能,全面檢查網(wǎng)站各級頁面中是否被植入惡意代碼,并及時提醒客戶。
HA(High Availability)
WebGuard-WAF支持雙機熱備,可根據(jù)網(wǎng)絡(luò)情況和用戶需求,部署Active/Active或Active/Standby的工作模式,提供load balance或者failover功能,避免傳統(tǒng)串聯(lián)設(shè)備存在單點故障的隱患,從而有力保障Web業(yè)務(wù)的高可用性。
