WAF-web防御系统.doc

蓝盾信息安全技术股份有限公司 第 0 / 19 WEBWEB应用防护系统应用防护系统 蓝盾信息安全技术股份有限责任公司蓝盾信息安全技术股份有限责任公司 2014 年年 7 月月 3 日日 蓝盾信息安全技术股份有限公司 第 1 / 19 目录目录 1.第一章第一章 WAF 2 1.1 产生背景.2 1.2 应用功能.2 审计设备2 访问控制设备3 架构/网络设计工具 3 WEB 应用加固工具3 1.3 特点.3 异常检测协议3 增强的输入验证4 及时补丁5 基于规则的保护和基于异常的保护5 状态管理5 其他防护技术5 2.第二章第二章 BD-WAF6 2.1 蓝盾 WEB 应用防火墙简介.6 2.2 BD-WAF 系统具备以下功能特性6 2.3 BD-WAF 的详细参数7 3.第三章第三章 绿盟绿盟 WAF .10 3.1 绿盟 WAF 简介10 3.2 产品特点：.10 3.2 详细招标参数.11 4.附录附录14 附录 1. WAF（WEB 应用防火墙）技术比较表14 附录 2. 在选择 WAF 产品时，建议参考以下步骤：.15 蓝盾信息安全技术股份有限公司 第 2 / 19 第一章第一章 WAF Web 应用防护系统（也称：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF） 。利用国际上公认的一种说法：Web 应用防火墙是通过执行一系 列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。 1.1 产生背景产生背景 当 WEB 应用越来越为丰富的同时，WEB 服务器以其强大的计算能力、处理性能及 蕴含的较高价值逐渐成为主要攻击目标。SQL 注入、网页篡改、网页挂马等安全事件，频 繁发生。2007年，国家计算机网络应急技术处理协调中心（简称 CNCERT/CC）监测到中 国大陆被篡改网站总数累积达61228个，比2006年增加了1.5倍。其中，中国大陆政府网站 被篡改各月累计达4234个。 企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是，在现实中，他们 存在这样那样的问题，由此产生了 WAF（Web 应用防护系统） 。Web 应用防护系统 （Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸 如防火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火墙不同，WAF 工作在 应用层，因此对 Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻 理解，WAF 对来自 Web 应用程序客户端的各类请求进行内容检测和验证，确保其安全性 与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。 1.2 应用功能应用功能 审计设备审计设备 对与系统自身安全相关的下列事件产生审计记录： （1）管理员登陆后进行的操作行为； （2） 对安全策略进行添加、修改、删除等操作行为； 蓝盾信息安全技术股份有限公司 第 3 / 19 （3） 对管理角色进行增加、删除和属性修改等操作行为； （4） 对其他安全功能配置参数的设置或更新等行为。 访问控制设备访问控制设备 用来控制对 Web 应用的访问，既包括主动安全模式也包括被动安全模式。 架构/网络设计工具 当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。 WEB 应用加固工具应用加固工具 这些功能增强被保护 Web 应用的安全性，它不仅能够屏蔽 WEB 应用固有弱点，而且 能够保护 WEB 应用编程错误导致的安全隐患。 需要指出的是，并非每种被称为 Web 应用防火墙的设备都同时具有以上四种功能。 同时 WEB 应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把 WAF 看成运行在 HTTP 层上的 IDS 设备;从防火墙角度来看，WAF 是一种防火墙的功能模 块;还有人把 WAF 看作“深度检测防火墙”的增强。 （深度检测防火墙通常工作在的网络的 第三层以及更高的层次，而 Web 应用防火墙则在第七层处理 HTTP 服务并且更好地支持 它。 ） 1.3 特点特点 异常检测协议异常检测协议 Web 应用防火墙会对 HTTP 的请求进行异常检测，拒绝不符合 HTTP 标准的请求。并 且，它也可以只允许 HTTP 协议的部分选项通过，从而减少攻击的影响范围。甚至，一些 Web 应用防火墙还可以严格限定 HTTP 协议中那些过于松散或未被完全制定的选项 蓝盾信息安全技术股份有限公司 第 4 / 19 增强的输入验证增强的输入验证 增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。 从而减小 Web 服务器被攻击的可能性。 蓝盾信息安全技术股份有限公司 第 5 / 19 及时补丁及时补丁 修补 Web 安全漏洞，是 Web 应用开发者最头痛的问题，没人会知道下一秒有什么样 的漏洞出现，会为 Web 应用带来什么样的危害。WAF 可以为我们做这项工作了只要 有全面的漏洞信息 WAF 能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉 漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在 没有选择的情况下，任何保护措施都比没有保护措施更好。 （附注：及时补丁的原理可以更好的适用于基于 XML 的应用中，因为这些应用的通 信协议都具规范性。 ） 基于规则的保护和基于异常的保护基于规则的保护和基于异常的保护 基于规则的保护可以提供各种 Web 应用的安全规则，WAF 生产商会维护这个规则库， 并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合 法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具 有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。 状态管理 WAF 能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。 通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事 件（比如登陆失败） ，并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有 利的。 其他防护技术其他防护技术 WAF 还有一些安全增强的功能，可以用来解决 WEB 程序员过分信任输入数据带来的 问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。 蓝盾信息安全技术股份有限公司 第 6 / 19 第二章第二章 BD-WAF 2.1 蓝盾蓝盾 WEB 应用防火墙简介应用防火墙简介 蓝盾 Web 应用防火墙，简称 BD-WAF，是蓝盾开发的新一代安全产品，作为 网关设备， 防护对象为 Web、Webmail 服务器，其设计目标为：针对安全事件 发生时序进行安全建模，分别针对安全漏洞、攻击手段及最终攻击结果进行扫 描、防护及诊断，提供 综合 Web 应用安全解决方案。 事前，BD-WAF 提供 We b 应用漏洞扫描功能，检测 Web 应用程序是否存在 SQL 注入、跨 站脚本漏洞 。事中，对黑客入侵行为、SQL 注入/跨站脚本等各类 Web 应用攻击、DD.o.S 攻 击进行有效检测、阻断及防护。事后，针对当前的安全热点问题，网页篡改 及网页挂马，提 供诊断功能，降低安全风险，维护网站的公信度。 2.2 BD-WAF 系统具备以下功能特性系统具备以下功能特性： 应用多维防护体系，有效应对 SQL 注入、跨站脚本及其变形攻击，提供细粒 度应用层 DDoS 攻击防护； 网页防篡改系统支持-Linux、Windows、BSD 系统； Web 加速支持； 实时检测网页篡改，降低网站安全风险； 提供挂马主动诊断功能，维护网站公信度； 敏感信息扫描和过滤； 透明安全检测，不用改变网络拓扑； 提供多种负载均衡算法； 支持虚拟主机部署，适合 IDC 环境； 支持 WebMail 的安全检测； BD-WAF 监控新模式； 攻击、特征库在线平滑升级； ， 蓝盾信息安全技术股份有限公司 第 7 / 19 提供 HA,有效避免网络单点故障； 2.3 BD-WAF 的详细参数的详细参数 指标项指标项指标子项指标子项技术要求技术要求 吞吐能力HTTP 吞吐量 =500Mbps 并发数最大 HTTP 并发数 6万 HTTP 请求速率HTTP 事物速率（Transaction） 12000/秒 支持站点数 不限制 性能要求 网口数量4*10/100/1000M 电口 透明部署（基于透明网桥） ，需即插即用，无需做任 何配置即可防护。支持旁路部署。部署模式 策略路由（支持流量牵引） 检测引擎高性能攻击特征检测引擎 系统提供完善的内置规则 防护规则 提供高度灵活的自定义规则向导，适用于高级用户 智能阻断 基于智能用户行为识别的动态防护机制，识别并彻底阻 断黑客的攻击行为 自动学习并构建网站的 URL 模型，禁止违反现有模型 的尝试行为 部署能力 URL 自学习 支持更新、修正现有 URL 模型 HTTP RFC 符合性HTTP 协议防护 HTTPS 支持SSL 加密会话分析 WEB 应用漏洞扫 描 能够对 SQL 注入、CGI、跨站脚本（XSS）进行应用层漏 洞扫描 支持任意碎片组包 碎片组包 支持超长报文组包（最大30M） 安全特性 编码还原ASCII 编码的还原 蓝盾信息安全技术股份有限公司 第 8 / 19 Unicode 编码的还原 各种混淆编码的还原 WEB 基础架构防 护 蠕虫、缓冲区溢出、CGI 信息扫描、目录遍历等 WEB 通用攻击防护 SQL 注入及 XSS 攻击防护 跨站请求伪造（CSRF）攻击防护 爬虫防护 防盗链 恶意扫描防护 Cookie 安全 服务器信息伪装/过滤 缓冲区溢出 HTTP 请求类型 WEB 应用安全防 护 Webshell 行为拦截 自动恢复对文件、目录的篡改 支持 FTP/SFTP 连接方式 支持文件、目录排除 设置检测优先级 支持多个防篡改用户 多操作系统支持：Windows、Linux、Unix、Solaris、A IX 等操作系统 网页篡改防护 支持基于时间的计划任务 数据库防篡改支持数据库防篡改，无需安装任何数据库代理插件。 支持虚拟化功能 支持对虚拟机中的任意数量网站进行防护，使多个虚拟 机共用一个 IP 地址 恶意代码过滤 内容安全 敏感关键字自定义 弱密码记录记录登陆过程中使用的弱密码 蓝盾信息安全技术股份有限公司 第 9 / 19 基于规则的 ACL 来源 IP 的 ACL 目的 IP 的 ACL 目的 URL 的 ACL 访问控制 支持基于时间的计划任务 主动阻断方式丢弃数据包、阻断 TCP 连接、禁止恶意 IP 的后续访问 来源 IP 攻击防护 Rerferer 攻击防护 特定 URL 攻击防护 防 CC 攻击防护 CC 防护的访问控制（黑、白名单） 抗拒绝服务攻击 TCP/UDP Flood 防护，基于最大上限阀值设置，而非 DDOS 特征库 802.1Q 支持支持 VLAN 解码，在 Trunk 线路上部署并提供防护 端口汇聚（Trunk ） 支持端口汇聚（Trunk） ，显著提高设备间的吞吐能力 网络自适应 能力 路由配置支持静态路由的配置 报表类型 安全报表（入侵统计、按入侵类别统计、被攻击主机、 攻击来源 IP 和地理位置、页面访问次数、网络接口流 量趋势） webshell 提示 报表提供对防护 Web 网站中已经存在 Webshell 文件的 告警功能 报表查询按事件类型、统计目标或周期类型条件进行统计 报表功能 输出格式支持将生成的报表以 HTML、Word 等通用格式输出 日志类型 系统日志、审计日志和安全防护日志（入侵记录、攻击 源 IP 所处地理位置、页面统计、网络流量、防篡改日 志、防 CC 日志） 日志查询 可基于时间、IP、端口、协议、动作、规则集、规则集 类别、危害等级、请求方法等条件进行日志查询。 日志系统 日志管理日志导出、清空、自动磁盘日志清理 蓝盾信息安全技术股份有限公司 第 10 / 19 监控类型安全事件监控、访问情况监控、设备负载监控 系统监控 系统信息 显示网络接口状态，引擎状态、系统 CPU、内存及磁盘 使用率 维护工具抓包工具，可抓取的网络原始报文，用于分析网络状况系统诊断和 调试功能配置备份与导入支持系统配置的备份与导入功能 支持主从部署模式 支持链路是否正常的监控HA 双机 支持双机配置自动同步 高可用性 硬件 BYPASS内置 bypass 模块，设备故障直接切换到 bypass 模式 联动功能联动功能 为了建立统一安全管理联动平台，与 XXX 安全产品U1 必须同一品牌，提供原厂商联动证明原件。 产品要求 产品要求 （出具加盖厂商公 章的复印件） 公安部信息安全产品销售许可证 ISCCC 中国国家信息安全产品认证证书 软件著作权登记证书 国家保密局涉密认证 厂商资质 厂商资质 （出具加盖厂商公 章的复印件） 厂商具备省级或省级以上计算机信息系统安全服务备案 证; 具备信息安全服务二级或以上风险评估服务资质; 具备信息安全服务二级或以上应急响应安全服务资质认 证; 具备信息安全服务二级或以上信息系统安全集成服务资 质认证证书; 为省或省级以上计算机信息网络安全协会的指定服务单 位; ISO20000信息技术服务管理认证证书; ISO27001信息安全管理体系认证证书; CMMI 3级或以上证书; 具备国家工业和信息化部颁发的计算机信息系统集成一 级资质. 蓝盾信息安全技术股份有限公司 第 11 / 19 第三章第三章 绿盟绿盟 WAF 3.1 绿盟绿盟 WAF 简介简介 绿盟科技 Web 应用防火墙（简称 WAF）将客户资产作为组织 Web 安全解决方案的依 据，用黑、白名单机制相结合的完整防护体系，通过精细的配置将多种 Web 安全检测方法 连结成一套完整（COMPLETE）的解决方案，并整合成熟的 DDoS 攻击抵御机制，能够在 IPV4、IPV6 及二者混合环境中抵御 OWASP Top 10 等各类 Web 安全威胁和拒绝服务攻击， 并以较低的运营成本为各种机构提供透明在线部署、路由旁路部署和云部署，能方便快捷 的部署上线，保卫您的 Web 应用免遭当前和未来的安全威胁。 作为中国市场领先的 WAF 产品，绿盟科技 WAF 已经被超过 1000 家机构选中，包括中国 移动、中国电信、国家电网等。来自国外权威咨询机构 Frost & Sullivan 2013 年市场报告数 据表明，绿盟科技 WAF 在 2012 年以 25.6%占有率位列大中华区市场份额首位，连续 3 年 （2010-2012）领跑大中华区市场。在国际市场，它已为美国、日本和东南亚的多家客户提 供了帮助。 3.2 产品特点：产品特点： 双向数据检测：支持网络层、Web Server/Application 层双向数据检测和保护，可 以降低 Web 站点安全风险。 灵活的部署能力：支持透明串联、反向代理和基于路由的多种旁路部署方式，网络适 应性强，支持 Fail-open 机制和只对 Web 流量执行牵引/回注的处理机制，可以避免成为 主干链路的单点故障。 紧急自动模式：支持网站缓存和紧急模式，在 Web 页面被篡改或访问中断时，可以 蓝盾信息安全技术股份有限公司 第 12 / 19 代替 Web 服务器将缓存的页面返回给客户端；可以在 Web 访问量超过阈值时自动切换成 紧急模式，避免成为性能瓶颈。 虚拟补丁：“WAF with Cloud“的部署方案，定期自动获取专家级、个性化的网站 漏洞扫描报告 ，并转化为 WAF 可执行的、有针对性的 Web 安全防护策略。 3.3 详细招标参数详细招标参数 绿盟 Web 应用防火墙 指标 项 指标子项 技术要求 系统 架构 系统架构产品应采用 1U 专用机架式硬件设备，系统硬件为全内置封闭式结构 硬件 架构 基本网络接口电口*5,千兆电口 Bypass 最大吞吐能力吞吐量200Mbps 并发 TCP 会话数50 万 HTTP 请求速率 9000 次/秒 网络延迟 0.1 毫秒 性 能要 求 可防护 IP 数量 50 个 蓝盾信息安全技术股份有限公司 第 13 / 19 透明部署（基于透明网桥） ，需即插即用，无需做任何配置即可防护。 支持旁路部署。部署模式 策略路由（支持流量牵引） 检测引擎高性能攻击特征检测引擎 系统提供完善的内置规则 防护规则 提供高度灵活的自定义规则向导，适用于高级用户（提供界面截图） 智能阻断 基于智能用户行为识别的动态防护机制，识别并彻底阻断黑客的攻击行 为 自动学习并构建网站的 URL 模型，禁止违反现有模型的尝试行为（提 供界面截图） 部署 能力 URL 自学习 支持更新、修正现有 URL 模型（提供界面截图） HTTP RFC 符合性HTTP 协议防护 HTTPS 支持SSL 加密会话分析 WEB 应用漏洞扫 描 能够对 SQL 注入、CGI、跨站脚本（XSS）进行应用层漏洞扫描 支持任意碎片组包 碎片组包 支持超长报文组包（最大 30M） ASCII 编码的还原 Unicode 编码的还原编码还原 各种混淆编码的还原 WEB 基础架构防 护 蠕虫、缓冲区溢出、CGI 信息扫描、目录遍历等 WEB 通用攻击防护 SQL 注入及 XSS 攻击防护 跨站请求伪造（CSRF）攻击防护 爬虫防护 恶意扫描防护 Cookie 安全 服务器信息伪装/过滤 安全 特性 WEB 应用安全防 护 缓冲区溢出 蓝盾信息安全技术股份有限公司 第 14 / 19 HTTP 请求类型 Webshell 行为拦截 自动恢复对文件、目录的篡改 支持 FTP/SFTP 连接方式 支持文件、目录排除 设置检测优先级 支持多个防篡改用户 多操作系统支持：Windows、Linux、Unix、Solaris、AIX 等操作系统 网页篡改防护 支持基于时间的计划任务 数据库防篡改 支持数据库防篡改，无需安装任何数据库代理插件。 （提供界面截图） 支持虚拟化功能 支持对虚拟机中的任意数量网站进行防护，使多个虚拟机共用一个 IP 地址 恶意代码过滤 内容安全 敏感关键字自定义 弱密码记录记录登陆过程中使用的弱密码（提供界面截图） 备案检查 检测网站的备案情况，对于通过备案网站放行，未通过备案禁止访问 （提供界面截图） 基于规则的 ACL 来源 IP 的 ACL 目的 IP 的 ACL 目的 URL 的 ACL 访问控制 支持基于时间的计划任务 主动阻断方式丢弃数据包、阻断 TCP 连接、禁止恶意 IP 的后续访问 来源 IP 攻击防护 Rerferer 攻击防护 特定 URL 攻击防护 防 CC 攻击防护 （提供界面截图） CC 防护的访问控制（黑、白名单） 抗拒绝服务攻击TCP/UDP Flood 防护，基于最大上限阀值设置，而非 DDOS 特征库（提 蓝盾信息安全技术股份有限公司 第 15 / 19 供界面截图） 802.1Q 支持支持 VLAN 解码，在 Trunk 线路上部署并提供防护（提供界面截图） 端口汇聚 （Trunk） 支持端口汇聚（Trunk） ，显著提高设备间的吞吐能力（提供界面截图） 网络 自适 应能 力路由配置支持静态路由的配置 报表类型 安全报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源 IP 和 地理位置、页面访问次数、网络接口流量趋势） webshell 提示 报表提供对防护 Web 网站中已经存在 Webshell 文件的告警功能（提供 界面截图） 报表查询按事件类型、统计目标或周期类型条件进行统计 报表 功能 输出格式支持将生成的报表以 HTML、Word 等通用格式输出 日志类型 系统日志、审计日志和安全防护日志（入侵记录、攻击源 IP 所处地理 位置、页面统计、网络流量、防篡改日志、防 CC 日志） 日志查询 可基于时间、IP、端口、协议、动作、规则集、规则集类别、危害等级、 请求方法等条件进行日志查询。 日志 系统 日志管理日志导出、清空、自动磁盘日志清理 监控类型安全事件监控、访问情况监控、设备负载监控 系统 监控 系统信息显示网络接口状态，引擎状态、系统 CPU、内存及磁盘使用率 维护工具抓包工具，可抓取的网络原始报文，用于分析网络状况 系统 诊断 和调 试功 能 配置备份与导入支持系统配置的备份与导入功能 支持主从部署模式 支持链路是否正常的监控HA 双机 支持双机配置自动同步 高可 用性 硬件 BYPASS内置 bypass 模块，设备故障直接切换到 bypass 模式 资质 要求 （提 涉密资质 获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密 标准 BMB132004涉及国家秘密的计算机信息系统入侵检测产品技术 要求的千兆涉密信息系统产品检测证书 ，并出具加盖厂商公章的 蓝盾信息安全技术股份有限公司 第 16 / 19 复印件。 获得国家保密局涉密信息系统安全保密测评中心的检测报告 ，性 能测试部分：背景流量达到 1000Mbps 下的检测报告，并出具加盖厂商 公章的复印件。 强制认证 获得中国信息安全认证中心颁发的符合 CNCA/CTS 0050-2007信息技 术 信息安全 网站恢复产品认证技术规范增强级认证中国国家信息 安全产品认证证书 ，并出具加盖厂商公章的复印件 获得公安部颁发的计算机信息系统安全专用产品销售许可证 ，并出 具加盖厂商公章的复印件 获得公安部计算机信息系统安全产品质量监督检验中心颁发的WEB 过滤防护检测报告，并出具加盖厂商公章的复印件 供相 关资 质复 印件， 生产 厂商 盖