Web應(yīng)用防火墻是一款能夠深入理解Web應(yīng)用層數(shù)據(jù),真正運(yùn)行在OSI7層的應(yīng)用層防火墻,與其他主要查看網(wǎng)絡(luò)層、傳輸層信息,并簡(jiǎn)單匹配應(yīng)用層頭信息的穿湯尼蓋安全產(chǎn)品不同,Web應(yīng)用防火墻基于對(duì)HTTP應(yīng)用層數(shù)據(jù)的理解,采用積極主動(dòng)安全模型雙向深度防護(hù)Web流量對(duì)未知及已知的Web攻擊進(jìn)行徹底防護(hù),來(lái)達(dá)到保護(hù)企業(yè)關(guān)鍵Web應(yīng)用的目的。
Web應(yīng)用防火墻內(nèi)置高級(jí)應(yīng)用層狀態(tài)檢測(cè)(Advanced Application Stat eful Inspect ion)引擎,同時(shí)結(jié)合智能雙向自適應(yīng)安全模型學(xué)習(xí)引擎進(jìn)行立體防護(hù),包括自學(xué)習(xí)引擎、安全模型數(shù)據(jù)庫(kù)、安全模型檢測(cè)引擎,并進(jìn)行請(qǐng)求及響應(yīng)雙向?qū)W習(xí)。基于內(nèi)存循環(huán)技術(shù)、事件polling機(jī)制、動(dòng)態(tài)連接池技術(shù)為Web訪問(wèn)提速,同時(shí)支持基于硬件加速SSL通訊。
產(chǎn)品特點(diǎn)
1. 強(qiáng)大的Web應(yīng)用防護(hù)功能
Web服務(wù)器隱身:防止暴露Web服務(wù)器信息
敏感信息泄露:防止信用卡、身份證號(hào)碼、社保號(hào)碼等信息泄露
錯(cuò)誤頁(yè)面屏蔽:過(guò)濾和屏蔽HTTP返回錯(cuò)誤頁(yè)面中的敏感信息
HTTPS防護(hù):可以防護(hù)HTTPS加密通訊中的惡意流量
2. 靈活的策略設(shè)置功能
基于域名的個(gè)性化的策略設(shè)置
細(xì)粒度的應(yīng)用層訪問(wèn)控制規(guī)則
基于自學(xué)習(xí)功能的自動(dòng)規(guī)則設(shè)置
基于OWASP TOP10的攻擊防護(hù)策略
3. 方便的管理功能
系統(tǒng)監(jiān)控:CPU,內(nèi)存,磁盤使用率,網(wǎng)絡(luò)流量監(jiān)控
日志管理功能:靈活且詳盡的日志搜索及查詢功能
統(tǒng)計(jì)及報(bào)表功能:小時(shí)/日/周/月/年統(tǒng)計(jì)及報(bào)表
4. 細(xì)粒度的Web攻擊防護(hù)
各種編碼迂回攻擊
跨站腳本攻擊
SQL注入防護(hù)
命令注入防護(hù)
緩存溢出防護(hù)
惡意文件上傳防護(hù)
目錄遍歷攻擊防護(hù)
應(yīng)用程序漏洞攻擊防護(hù)
5. 自學(xué)習(xí)安全模型
通過(guò)在客戶端與服務(wù)器端應(yīng)用交互是通過(guò)自身內(nèi)置的自學(xué)習(xí)引擎雙向(客戶端請(qǐng)求及服務(wù)器端響應(yīng))策略來(lái)進(jìn)行主動(dòng)防御。
6. 用戶自定義應(yīng)用層規(guī)則
根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境,用戶可以自行定義符合自身應(yīng)用情況的自定義應(yīng)用層規(guī)則。
7. SSL加密檢測(cè)
在無(wú)需修改服務(wù)器端任何設(shè)置的前提下'為客戶端和服務(wù)器之間的SSL通訊提供了深層防護(hù)手段。
8. 防止敏感信息泄露
通過(guò)頁(yè)面內(nèi)容搜索和附件內(nèi)容搜索來(lái)嚴(yán)格控制信用卡及身份證信息通過(guò)Web途徑泄漏泄漏。
9. QoS功能
Web應(yīng)用防火墻提供了會(huì)話級(jí)QoS(Session Shaping)功能。所提供的方式為:每網(wǎng)關(guān)每秒連接數(shù)、每服務(wù)器每秒連接數(shù)、每客戶端每分鐘連接數(shù),通常根據(jù)實(shí)際情況三種組合使用。
系統(tǒng)創(chuàng)新點(diǎn)
Web流量規(guī)范化
包括對(duì)路徑的規(guī)范化和編解碼規(guī)范化。
對(duì)路徑的規(guī)范化
用于制定基于主機(jī)及路徑的個(gè)性化的安全策咯以及分析路徑中的可疑行為。例如當(dāng)客戶端企圖通過(guò)http://www.test.com/../../../../../../../../../etc/passwd繞過(guò)Web服務(wù)器根目錄獲取未授權(quán)系統(tǒng)目錄中的pas swd文件時(shí),WEB應(yīng)用防火墻將其處理為http://www.test.com/etc/passwd之后轉(zhuǎn)發(fā)給服務(wù)器。
編解碼規(guī)范化
WEB應(yīng)用防火墻對(duì)于編碼的請(qǐng)求進(jìn)行解碼,這準(zhǔn)確有效地判斷出一些可能會(huì)繞過(guò)安全防護(hù)產(chǎn)品的監(jiān)控和防護(hù)的包含惡意編碼的請(qǐng)求。
智能雙向自適應(yīng)安全模型學(xué)習(xí)
Web應(yīng)用防火墻內(nèi)置高級(jí)應(yīng)用層狀態(tài)檢測(cè)(Advanced Application Stat eful Inspect ion)引擎,同時(shí)結(jié)合智能雙向自適應(yīng)安全模型學(xué)習(xí)引擎進(jìn)行立體防護(hù),包括自學(xué)習(xí)引擎、安全模型數(shù)據(jù)庫(kù)、安全模型檢測(cè)引擎,并進(jìn)行請(qǐng)求及響應(yīng)雙向?qū)W習(xí)。
創(chuàng)新Web加速技術(shù)
基于內(nèi)存循環(huán)技術(shù)、事件polling機(jī)制、動(dòng)態(tài)連接池技術(shù)為Web訪問(wèn)提速,同時(shí)支持基于硬件加速SSL通訊。
實(shí)施保障業(yè)務(wù)的連續(xù)性
● 產(chǎn)品透明部署,不影響整個(gè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。
● 支持高可用性部署,提供雙機(jī)熱備功能。發(fā)生故障時(shí),提供Fail-Over功能。
● 支持BYPASS功能,當(dāng)系統(tǒng)或軟件等發(fā)生故障時(shí),提供Fail-Open功能。
產(chǎn)品特點(diǎn)
● 提供安全的Web業(yè)務(wù)環(huán)境;
● Web服務(wù)漏洞最小化;
● 減少Web服務(wù)成本;
● 全方位深層次保護(hù)用戶的Web應(yīng)用;
● 多層立體深度防護(hù)。
四、部署環(huán)境
Web應(yīng)用防火墻采用3-Tire構(gòu)架,主要由客戶服務(wù)端、管理服務(wù)器、網(wǎng)關(guān)組成。
