需求分析

防火墙、防病毒等都是已经被广泛采用的传统Web系统安全措施,客户环境部署了这些产品,使得Web系统阻挡了一部分来自网络层的攻击,针对新形势下Web系统安全问题的考虑,需要变被动应对为主动关注,实施积极防御,这就需要以一个全面的视角看待Web系统安全问题,并依靠各个方面的相互配合,对Web系统安全做到心中有数、防护有方。


面对Web应用的攻击,最缺乏的就是有效的检测防护机制,因此,需要部署针对Web系统安全的Web应用安全网关类系列产品,加强Web系统的Web安全防护能力,能够对Web系统主流的应用层攻击(如SQL注入和XSS攻击)进行防护。并针对Web应用访问进行各方面优化,以提高Web或网络协议应用的可用性、性能和安全性,确保业务应用能够快速、安全、可靠地交付。


 

产品简介

产品简介


天清Web应用安全网关,是启明星辰公司自行研制开发的新一代 Web 安全防护与应用交付类应用安全产品,用于防御以 Web 应用程序漏洞为目标的攻击,并针对 Web 服务器进行 HTTP/HTTPS 流量分析,及针对 Web 应用访问各方面进行优化,以提高 Web 或网络协议应用的可用性、性能和安全性,确保 Web 业务应用安全、快速、可靠地交付。

 

功能特点

  • ​网站一键关停:

    在重要敏感时期,可以通过一键关停功能让网站切入到维护模式,避免黑客的攻击。用户对网站访问时,有良好的页面提示:网站在维护中。该功能支持灵活的时间设置,在特定时间和特定周期内,此功能生效。

  • ​网站锁防护:

    在重要敏感时期,网站为了保障安全,降低被攻击的可能性,通过网站锁功能,禁止一些可能存在威胁的提交操作,比如发表评论、上传文件等。

  • ​短信验证滥刷:

    越来越多的网站提供了短信验证码功能,一些网站虽然对获取短信码的时间间隔做了限制,但攻击者通过绕过前端的时间限制,结合一些工具,能够实现短信轰炸,会影响网站在客户中的形象,同时也消耗了网站的短信费用。通过WAF业务合规模块,检测客户端是否有验证码滥刷的行为,对异常行为进行阻断。

  • ​恶意注册攻击防护:

    某一个客户端正常情况不会频繁在一个网站上注册账户,WAF业务合规模块,结合了用户的注册业务,识别客户端的注册频率和注册成功率,判断为恶意注册时,进行阻断。

  • ​API防护:

    现在Web应用程序越来越广泛的使用富客户端(浏览器、移动客户端、桌面客户端等)访问后台API接口。API主要是提供给程序访问,但攻击者发现API后通常不遵守规范,API接口也面临着各种注入、访问控制、拒绝服务等攻击。

  • ​蜜罐检测:

    一些黑客在攻击服务器时,通常会先尝试探测服务器的敏感文件,正常用户一般不会访问这些文件。WAF通过蜜罐检测功能,设置诱惑性的敏感文件,当有攻击者来访问这些文件时,可以提前检测到潜在攻击者。

 

典型应用


☆ 桥模式部署


Web应用防火墙-Web应用安全网关-桥模式部署 


以桥模式接入,无需调整和更改用户网络的拓扑结构,无需更改用户原有网络配置,实现对Web服务器的保护。


☆ 代理模式部署


Web应用防火墙-Web应用安全网关-代理模式部署


在代理部署模式下,能够完全对访问用户隐藏Web服务器的真实IP地址,有效保障Web服务器安全。


☆ 单臂模式部署


Web应用防火墙-Web应用安全网关-单臂模式部署


在单臂部署模式下,只适用一个网络接口对内网流量进行过滤,无需改变现有网络结构及IP设置,配置速度快。


☆ BYPASS


Web应用防火墙-Web应用安全网关-BYPASS

作为串行安全防护设备,在桥模式部署条件下,产品提供软、硬双BYPASS 功能,保障业务的连续运行。


产品特色


★ Web应用防护


天清WAG能够精确识别并防护常见的Web攻击:

• 基于HTTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼攻击;

• SQL注入攻击、XSS攻击等Web攻击;

• 爬虫、CGI扫描、漏洞扫描等扫描攻击。

• 应用层Dos攻击。

• API攻击防护

• 网站锁防护

• 网站一键关停

• 源区域访问控制

• 暴力破解防护

• 弱口令防护

• 慢速攻击防护

• 防逃逸功能防护

 

1.png


- Web攻击防护:蠕虫攻击、木马后门、漏扫爬虫扫描防护、蜜罐检测、SQL和XSS注入攻击防护、慢速攻击防护、弱口令防护、应用层Dos防护等。

- Web非授权访问:网站锁定、CSRF攻击防护、cookie篡改防护、盗链防护、暴力破解防护、客户端访问控制等。

- web恶意代码防护:webshell防护、网页挂马防护、防逃逸、xmldos防护。

- web应用合规:业务合规、URL访问控制、源区域访问控制、HTTP协议合规控制、web关键字过滤、敏感信息保护、文件上传下载过滤等。

- web应用交付:网页防篡改、web应用智能识别、智能部署、流量控制、缓存加速、多服务器负载,https卸载/卸载加密、旁路https检测。


★ WAF的新特性

  

2.png


★ 算法特征双引擎防护


基于算法引擎和事件引擎的双引擎防护模式,全方位保护web网站。算法引擎根据启明自主研发的专利算法,对攻击行为进行智能高效的分析检测,从而实现动态化、智能化防护。事件引擎,由安全研究团队多年积累研究生成,对目前已知的攻击行为进行精准有效的防护。双防护引擎协同工作,高效、精准、智能。


★ 网站业务合规


传统的基于URL的访问频率限制已经无法满足细粒度化的业务需求,启明星辰WAF可根据自定义url、请求方法、参数名进行请求速率的防护,并可根据一定时间内的服务器响应的成功率(或响应内容)进行防护。有效检测并拦截客户端的异常访问行为(薅羊毛、暴力猜解、恶意注册等)


★ 网站安全锁


国家重要时期(两会、国庆、G20峰会)和用户敏感时期(例:某黑客组织声称要在某个时间段攻击某区域网站),可针对这些时间段对网站进行锁定,只能进行简单的浏览操作,防止网站在特殊时期被篡改造成严重的影响。


★ 应用层协议合规细化


HTTP协议合规模块,除了针对HTTP协议每个字段进行合规性限制之外,还增加了针对特定URL进行定制性防护。可针对特定URL只允许特定请求头,限制该URL下的参数长度及类型,并支持正则。


★ 防止逃逸型攻击


防止攻击者通过发送异常的报文形式,绕过设备检测的逃逸攻击行为。提供参数重复污染防逃逸、特殊字符防逃逸、多重编码防逃逸、文件上传防逃逸等逃逸型攻击防护。


★ 源区域访问控制


保障用户网站只向特定存在业务交互的地域提供服务,从而避免非法地域的恶意访问行为给用户网站造成潜在安全威胁。可配置不同省市和不同国家的访问限制。


★ 蜜罐检测模块


通过WAF布置一些作为诱饵的站点目录,诱使攻击方或者扫描器对它们实施攻击,从而可以对攻击行为进行捕获和分析,将攻击源进行阻断。


★ 慢速攻击防护


攻击者通过发送慢速报文,长期占用连接,大量这种行为会造成服务器拒绝服务。启明星辰WAF的慢速攻击防护模块可有效阻止此类攻击行为。


★ Web环境自动感知


客户在使用WAF时,有时不清楚如何优化策略,而技术人员在产品实施初期也无法深入了解客户应用环境,因此可基于Web应用识别功能感知Web环境并进行策略优化。


★ 旁路SSL检测


在旁路模式下,启明星辰WAF支持对镜像https流量进行解密并检测,增强了WAF在镜像模式下的检测能力。


产品功能列表


功能项

功能点

功能详细描述

Web攻击防护

SQL注入、XSS攻击防护

采用基于专攻击检测技术,采用攻击手法分析而非攻击代码特征分析的方法,可以准确而全面的检测和防御此类Web攻击行为。

Web恶意扫描防护

具备Web恶意扫描防护的检测与防御能力,支持Web漏洞扫描防护、网站爬虫防护、CGI扫描防护等。

HTTP应用防护

具备HTTPS应用防护能力,版本支持SSL3.0、TSL1.0/1.1/1.2,支持对于SSL加密数据的解析功能,支持国际及国密等多种算法检测; 

基于人机识别技术,通过算法与客户端进行信息交互式校验,能够有效识别出攻击行为和正常请求,在Web服务器受到HTTP Flood攻击时,过滤攻击行为,抑制异常用户对Web服务器的资源消耗,同时响应正常请求,确保Web业务的可用性及连续性。

具备XML DoS攻击、SQL注入攻击、XSS攻击、SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击、爬虫、CGI扫描、盗链、CSRF攻击、HTTP Flood攻击Web恶意扫描防护的检测与防御能力,支持恶意重定向防护功能;可针对Web服务器进行HTTP/HTTPS流量分析;

支持对于攻击事件HTTP请求头信息提取功能,以还原及追溯攻击数据信息;

具备HTTP协议详细字段分析能力同时支持自学习功能;

具备WebShell检测与防御能力

具备业务合规功能,可对业务进行恶意试探、恶意撞库、恶意登录等行为进行检测及拦截;

蜜罐检测

具备蜜罐检测功能,通过WAF布置一些作为诱饵的站点目录,诱使攻击方或者扫描器对它们实施攻击,从而可以对攻击行为进行捕获和分析,将攻击源进行阻断。

弱口令检测

支持网站弱口令检测功能,通过内置多种口令检测基线(包括:密码长度过短、全为数字、全为英文字母、全为大写/小写字母、没有包含字母数字以外的字符),对网站用户的登录密码进行检测,规范用户的口令设置;可以限制口令的强度,对过于简单的口令进行告警,防止因为弱口令导致的信息泄露。

Web非授权访问防护

CSRF攻击防御

通过设定“访问被保护URL来源URL”来实现CSRF攻击防护

Cookie安全防护

通过Cookie签名技术通过网站Cookie信息进行安全防护,避免Cookie在明文传输过程中被篡改

网站盗链防护

启明星辰WAF可针对被保护网站的资源访问请求进行检测,判断请求是否包含在允许的访问来源范围内,如果不属于站内提交或信任站点提交,则会被视作网站盗链行为。

网站锁定

支持网站锁功能,可针对特定时间段对网站进行锁定,可按照年月日或者周期设置时间进行锁定时间设置;支持网站一键关停功能,对于例外的IP和URL可以不受网站锁的限制;使所有用户只能进行简单的浏览操作,防止特殊时期网站被篡改造成严重的影响。

源访问区域控制

支持源访问区域控制功能,可以设定合法访问区域,非法区域禁止访问,可按照国家、省(国内的区域区分到省,国外的区域以国家区分)进行地址访问限制,防止区域性攻击对Web网站造成影响;

Web恶意代码防护

网页挂马防护

启明星辰WAF可对网页标签链接中嵌入的链接内容进行检测,采用黑名单和异型检测两种技术实现对网页挂马行为的检测与防护。

WebShell防护

启明星辰WAF内置主流WebShell样本库,可针对恶意WebShell上传行为进行拦截,同时基于Web文件上传控制功能,用户可定义禁止ASP或PHP页面文件上传,有效防护基于WebShell的恶意攻击。

XMLDos防护

对post体中的xml数据进行合规性检查,利用算法检测xml正文和DTD的递归次数,对异常的格式进行阻断。

防逃逸

防止攻击者通过发送异常的报文形式,绕过设备检测的逃逸攻击行为。提供参数重复污染防逃逸、特殊字符防逃逸、多重编码防逃逸、文件上传防逃逸等逃逸型攻击防护。

Web应用合规

业务合规

可根据自定义URL、请求方法、参数名进行请求速率的防护,并可根据一定时间内的服务器响应的成功率(或响应内容)进行防护。有效检测并拦截客户端的异常访问行为(暴力猜解、恶意注册等)

应用层访问控制

支持基于URL的应用层访问控制功能,可通过设定基于单一URL的源IP地址黑、白名单,来控制用户针对单一URL的访问权限。

HTTP协议合规

HTTP协议合规是对HTTP请求做合规性检查,如果不符合设置规定的请求将被丢弃,符合规定的请求按正常请求进行处理。

敏感信息泄露防护

内置敏感信息泄露防护策略,可以灵活定义HTTP错误时返回的默认页面,避免因为Web服务异常,而导致的敏感信息的泄露

文件上传下载控制

支持基于HTTP协议的文件上传、下载控制功能,可指定文件类型、文件名大小、文件大小,有效保护Web服务器资源与文件访问安全。

Web应用交付

网页防篡改

提供事中防护以及事后补偿的在线防护解决方案

Web应用智能识别

可针对HTTP流量进行Web环境自动分析,识别Web服务器操作系统、服务类型、中间件等信息,基于识别结果动态生成最优站点安全策略,已经配置的虚拟服务,可根据学习结果进行策略优化。

服务器负载均衡

支持服务器负载均衡功能,在代理模式下,可以定义多个为同一个IP地址服务的内部服务器之间的调度方式,以充分利用计算资源

接入模式

支持透明、代理模式、旁路部署、单臂部署、策略路由部署;

支持智能部署,上线WAF设备能够自动感知Web网站IP和端口;

支持安装向导式部署,按照该部署方式可直接部署完成;

支持NAT环境下的用户识别能力;

支持链路绑定功能;

支持对Web相关应用协议进行自定义,并提供详细协议分析变量。

系统管理

支持B/S管理方式Web管理界面;

具备设备集中管理功能,可实现设备分布式部署、集中式监控管理,适合大规模部署环境;

具备多设备拓扑显示功能,可以在界面上以图形化的方式显示当前的部署拓扑;

支持SNMP SYSLOG

高可用性

支持主主模式且主主模式配置、运行状态进行同步,支持主备模式,支持透明模式下HA配置,HA状态可因监测接口状态变化而改变;

设备之间联动

支持和业务审计系统联动,满足用户对Web应用安全防护和审计需求;

支持和入侵检测系统联动,满足用户对网络流量镜像给IDS检测需求。


产品规格


3.png

用户价值

☆ 客户购买Web应用防火墙可满足用户合规性的Web安全防护要求;


☆ 客户Web应用及Web网站通过Web应用防火墙进行安全加固,可放在Web应用及Web网站被攻击及篡改。


服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30