WebGuard-WAF是自主知識(shí)產(chǎn)權(quán)的新一代安全產(chǎn)品，作為網(wǎng)關(guān)設(shè)備，防護(hù)對(duì)象為Web服務(wù)器，其設(shè)計(jì)目標(biāo)為：分別針對(duì)安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描、防護(hù)及診斷，提供綜合Web應(yīng)用安全解決方案。

事前，WebGuard-WAF提供Web應(yīng)用漏洞掃描功能，檢測(cè)Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中，對(duì)黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進(jìn)行有效檢測(cè)、阻斷及防護(hù)。事后，針對(duì)當(dāng)前的安全熱點(diǎn)問(wèn)題，網(wǎng)頁(yè)篡改及網(wǎng)頁(yè)掛馬，提供診斷功能，降低安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站的公信度。

WebGuard-WAF系統(tǒng)特性

集成領(lǐng)先WEB應(yīng)用漏洞檢測(cè)技術(shù)

Web應(yīng)用安全問(wèn)題，成因在于Web應(yīng)用程序開發(fā)階段留下的安全隱患為攻擊者所利用。這主要由于Web發(fā)展過(guò)程前進(jìn)過(guò)于迅速，更多考慮如何快速提供服務(wù)，往往忽略了之前在傳統(tǒng)軟件工程開發(fā)中已經(jīng)面臨的安全問(wèn)題。因此，Web上的很多應(yīng)用都沒有經(jīng)過(guò)傳統(tǒng)軟件開發(fā)所必需完成的細(xì)致檢查和完整處理過(guò)程。

針對(duì)這種情況，WebGuard-WAF集成了業(yè)界領(lǐng)先的Web應(yīng)用檢測(cè)技術(shù)，檢測(cè)Web應(yīng)用自身的脆弱性，諸如SQL注入、跨站腳本（XSS）等頁(yè)面漏洞，為解決根本問(wèn)題提供技術(shù)依據(jù)。

多維防護(hù)體系

WAF應(yīng)用了先進(jìn)的多維防護(hù)體系，對(duì)Web應(yīng)用攻擊進(jìn)行了廣泛且深入的研究，固化了一套針對(duì)Web應(yīng)用防護(hù)的專用特征規(guī)則庫(kù)，對(duì)當(dāng)前國(guó)內(nèi)主要的Web應(yīng)用攻擊手段實(shí)現(xiàn)了有效的防護(hù)機(jī)制，應(yīng)對(duì)黑客傳統(tǒng)攻擊（緩沖區(qū)溢出、CGI掃描、遍歷目錄等）以及新興的SQL注入和跨站腳本等攻擊手段。

WebGuard-WAF應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，可防護(hù)各類帶寬及資源耗盡型拒絕服務(wù)攻擊。尤其是針對(duì)HTTP Get Flood以及CC攻擊，基于智能關(guān)聯(lián)分析技術(shù)能夠有效識(shí)別，提供應(yīng)用層細(xì)粒度的防護(hù)。基于特征檢測(cè)和智能關(guān)聯(lián)分析技術(shù)，WebGuard-WAF提供針對(duì)傳奇游戲的攻擊防護(hù)，如常見的假人攻擊、創(chuàng)建帳號(hào)攻擊、數(shù)據(jù)庫(kù)攻擊等。

對(duì)于蠕蟲變形，WebGuard-WAF基于關(guān)聯(lián)分析技術(shù)進(jìn)行有效識(shí)別和阻斷告警。對(duì)于混合型攻擊，WebGuard-WAF提供多重檢查機(jī)制和智能分析，確保對(duì)高安全風(fēng)險(xiǎn)級(jí)別攻擊事件的準(zhǔn)確識(shí)別率，同時(shí)也有效避免告警誤報(bào)率高為用戶帶來(lái)的告警風(fēng)暴。對(duì)于不符合RFC標(biāo)準(zhǔn)的畸形包，采用協(xié)議異常檢測(cè)技術(shù)，進(jìn)行識(shí)別和過(guò)濾。

黑客攻擊技術(shù)是不斷發(fā)展的，安全產(chǎn)品面對(duì)的是充滿“智慧”的攻擊者，Web安全攻防是持續(xù)變化的過(guò)程。攻擊者可以調(diào)整攻擊力度、采用新的攻擊手段，突破攻擊防護(hù)設(shè)備的性能極值，能夠及時(shí)跟蹤、發(fā)現(xiàn)互聯(lián)網(wǎng)上新出現(xiàn)的Web應(yīng)用攻擊類型，并最優(yōu)化防護(hù)技術(shù)，從而為客戶提供對(duì)抗最新攻擊的解決方案。

網(wǎng)頁(yè)篡改防護(hù)

針對(duì)目前猖獗的網(wǎng)頁(yè)篡改問(wèn)題，WebGuard-WAF提供“安全-成本”的最佳平衡點(diǎn)，從“事前、事中以及事后進(jìn)行綜合考慮。事前提供漏洞掃描，作為預(yù)防解決方案，為解決根本問(wèn)題提供技術(shù)依據(jù)。事中，基于智能特征分析技術(shù)，對(duì)網(wǎng)頁(yè)篡改所采用的主要攻擊手段（如SQL注入、XSS）進(jìn)行檢測(cè)并做有效阻斷，且及時(shí)跟蹤、發(fā)現(xiàn)互聯(lián)網(wǎng)上新出現(xiàn)的SQL注入攻擊類型，并最優(yōu)化防護(hù)技術(shù)，幫助用戶對(duì)抗最新攻擊。事后對(duì)WEB網(wǎng)頁(yè)篡改能進(jìn)行檢測(cè)并做應(yīng)急保護(hù)，有效阻止非法頁(yè)面發(fā)布、為公眾瀏覽，極大降低網(wǎng)頁(yè)篡改引發(fā)重大影響的安全風(fēng)險(xiǎn)。

WebGuard-WAF產(chǎn)品優(yōu)勢(shì)體現(xiàn)在：

1. 從事前、事中及事后綜合考慮問(wèn)題，提供最佳安全-成本平衡點(diǎn)，為用戶降低安全風(fēng)險(xiǎn)；
2. 采用網(wǎng)絡(luò)串聯(lián)方式對(duì)頁(yè)面進(jìn)行實(shí)時(shí)防護(hù)；支持對(duì)動(dòng)態(tài)、靜態(tài)網(wǎng)頁(yè)的檢測(cè)和防護(hù)；
3. 發(fā)生網(wǎng)頁(yè)篡改緊急事件時(shí)，WEBGUARD-WAF提供專業(yè)、謹(jǐn)慎的處理方式：不擅自做網(wǎng)頁(yè)自動(dòng)恢復(fù)，而是啟動(dòng)應(yīng)急機(jī)制，對(duì)網(wǎng)絡(luò)流量進(jìn)行控制，對(duì)期間新的用戶請(qǐng)求（HTTP Request）響應(yīng)為事先自定義好的合法頁(yè)面。另一方面提供短信和郵件告警，第一時(shí)間通知網(wǎng)站管理人員。不改變Web服務(wù)器當(dāng)前的配置和頁(yè)面內(nèi)容，保留好犯罪現(xiàn)場(chǎng)，供事后溯源分析，杜絕期間頁(yè)面連續(xù)被篡改；

4. 網(wǎng)關(guān)設(shè)備，防護(hù)對(duì)象不受操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序限制。不介入網(wǎng)站正常業(yè)務(wù)流程，不占用Web服務(wù)器資源。接入網(wǎng)絡(luò)即插即用，安裝方便，配置簡(jiǎn)單，用戶能夠遠(yuǎn)程通過(guò)瀏覽器訪問(wèn)系統(tǒng)，后期的維護(hù)工作較少；
5. 系統(tǒng)內(nèi)核經(jīng)過(guò)優(yōu)化的安全操作系統(tǒng)，自身安全性高。設(shè)備與設(shè)備自帶安全中心通信協(xié)議為SSL。

網(wǎng)頁(yè)掛馬主動(dòng)診斷網(wǎng)頁(yè)掛馬，可以認(rèn)為是一種比較隱蔽的網(wǎng)頁(yè)篡改方式，其最終目的為盜取客戶端的敏感信息，如各類帳號(hào)密碼，甚而可能導(dǎo)致客戶端主機(jī)淪為攻擊者的肉雞。Web服務(wù)器成為了傳播網(wǎng)頁(yè)木馬的“傀儡幫兇”，嚴(yán)重影響到網(wǎng)站的公眾信譽(yù)度。對(duì)于Web服務(wù)器而言，最大隱患在于，多數(shù)情況網(wǎng)站實(shí)質(zhì)已被入侵，只是攻擊者出于經(jīng)濟(jì)利益考慮，未采用更為直觀的篡改方式。

目前，網(wǎng)頁(yè)掛馬主要解決方案還是聚焦于終端安全。事實(shí)上，隨著一系列常見應(yīng)用軟件漏洞的曝光，之前達(dá)成的共識(shí)“打齊微軟補(bǔ)丁可以解決90%問(wèn)題”已經(jīng)不復(fù)成立，微軟補(bǔ)丁所能提供的保護(hù)已經(jīng)變得非常有限。而解決各類應(yīng)用軟件的漏洞問(wèn)題，還有待各方面的共同努力。

Web服務(wù)器在網(wǎng)頁(yè)掛馬中作為被利用者，各網(wǎng)站的公信度需要得到維護(hù)。基于此種考慮，WebGuard-WAF提供網(wǎng)頁(yè)掛馬檢測(cè)功能，全面檢查網(wǎng)站各級(jí)頁(yè)面中是否被植入惡意代碼，并及時(shí)提醒客戶。

HA（High Availability）

WebGuard-WAF支持雙機(jī)熱備，可根據(jù)網(wǎng)絡(luò)情況和用戶需求，部署Active/Active或Active/Standby的工作模式，提供load balance或者failover功能，避免傳統(tǒng)串聯(lián)設(shè)備存在單點(diǎn)故障的隱患，從而有力保障Web業(yè)務(wù)的高可用性。