课程6 WEB安全防护高级安全工程师 - 副本WEB安全防护

WEB安全防护,仅限渠道培训使用，不得外传,培训内容概览-WAF,培训内容概览-HWAF,目录,WAF产品背景介绍WAF优势功能介绍WAF市场优势介绍WAF购买驱动力,WAF,HWAF,5.网站防篡改背景介绍6.为什么需要绿盟HWAF7.绿盟HWAF功能特性及价值8.绿盟HWAF产品优势9.绿盟HWAF应用场景及相关方案,WAF产品背景介绍,01,WEB安全事件及其影响,华住酒店的数据泄露事件刚刚告一段落，11月底，万豪集团旗下酒店步华住集团后尘，其住客数据也惨遭泄露。据官方消息显示，万豪集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。其中有3.27亿客人的护照信息、生日、住址、电话号码和电子邮件地址可能全部泄露，另外还有不明数量的客人的信用卡信息遭窃。,万豪旗下酒店客户数据泄露,A站惨遭拖库，近千万用户数据外泄,2018年6月13日凌晨，AcFun(A站)发布公告称，A站受到黑客攻击，近千万条用户数据外泄，A站在公告中强调，2017年7月7日之后从未登陆过的用户以及密码强度低的用户需要立刻更改密码，而跟A站用户信息中密码保持一致的，也要一并更改。而在黑客成功攻击A站并窃取用户信息后，很快在暗网上发布售卖信息，900万条用户数据售价为40万人民币。,2018年，某省公安厅网络安全保卫总队对外发布消息，18年1月12日，新乡市封丘县图书馆网站遭到黑客攻击，致使网页被篡改。事件发生后，省公安厅网安总队立即指导新乡市公安局网安部门开展被攻击网站处置恢复工作，并启动调查程序。,新乡一图书馆网站遭黑客攻击,17年3月，中国足协官网疑似被黑客攻击，在官网首页最底端的各球队资料区域，球队链接跳转至不良网站。最后各支球队跳转链接均已不能打开。,足协官网疑似遭黑客攻击，球队链接跳转不良网站,常见WEB安全威胁,SQL注入攻击XSS攻击CSRF攻击文件上传漏洞XML外部实体应用层DDOS攻击（CC）网页防篡改爬虫防护信息防泄露,SQL注入攻击,所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。,概述：,SQL注入过程举例：,SELECT*FromTableWHEREName=XXandPassword=YYandCorp=ZZ,1,判断是否存在注入点,2,尝试SQL注入,SELECT*FromTableWHEREName=SQLinjectandPassword=andCorp=or1=1-,SQL注入攻击,常用防范手段：,分析SQL语句来看，前一半单引号被闭合，后一半单引号被“-”给注释掉，中间多了一个永远成立的条件“1=1”，这就造成任何字符都能成功登录的结果（可匿名登录管理员账号，对服务器数据进行窃取）。,攻击结果：,3,SELECT*FromTableWHEREName=SQLinjectandPassword=andCorp=or1=1-,1,对输入的数据类型进行严格要求,针对数字型SQL注入攻击：对输入的数据进行严格要求，如果有必要可以对数据类型进行转换,2,特殊字符转译,针对字符型SQL注入攻击：对输入的特殊字符进行转义，SQL查询语句针对字符串类型都会添加单引号，将单引号等特殊字符进行转义可以有效避免黑客利用特殊字符进行SQL注入攻击,XSS攻击,XSS攻击全称跨站脚本攻击，是为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中，通常是JavaScript编写的恶意代码，当用户用浏览器浏览被嵌入恶意代码的网页时，恶意代码将会在用户浏览器上执行。,概述：,XSS攻击过程举例：,1,2,http:/localhost:8080/helloController/search?name=alert(hey!),构造恶意Web的URL,当浏览被恶意植入代码的页面时，恶意代码就会被执行,常用防范手段：,1,XSS攻击,XSS攻击主要形成的原因还是因为对输入输出没有做严格过滤，下面做举例说明：,输出过滤：如“”在输出的时候要对其进行转换编码，这样做浏览器是不会对该标签进行解释执行的，同时也不影响显示效果。例如：对“”做编码如：用:来代替。,输入过滤：过滤用户输入的并检查用户输入的内容中是否有非法内容。如（尖括号）、”（引号）、（单引号）、%（百分比符号）、;（分号）、()（括号）、&（&符号）、+（加号）等。,2,CSRF攻击,CSRF（Cross-siterequestforgery）跨站请求伪造，也被称为“OneClickAttack”或者SessionRiding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。,概述：,XSS攻击过程举例：,1、用户A正常登录某网银账户2、验证和记录cookie值3、用户A再登录完网银后不久，不小心点击了一个黑客构造的连接4、当用户A点击恶意链接时，黑客构造的恶意URL从用户A的浏览器发向网银，而这个请求会附带用户A浏览器中的cookie一起发向银行服务器。5、结果黑客就会以合法身份盗取用户A的资产,CSRF攻击,常用防范手段：,1,2,二次确认,在调用某些功能时进行二次验证，如：转账操作要求用户输入两次密码，当使用二次验证后，即使用户不小心点击了恶意链接，也不会直接执行，而需要客户再次输出密码才能实现CSRF攻击，当用户第二次要求输入的时候，会提升用户警觉，降低中招风险。,Token认证,Token一般指的就是令牌，类似于一种“验证码”。具体步骤如下，首先服务器端可以随机产生一段字符串分配给访问用户，并且储存在Session中；当用户进入某些页面时，可直将token值传递在cookie中，当用户提交表单操作的时候，产生的token值也会一并提交，服务器会验证值是否与session中存储的一致，如果一致则认为是正常来源访问，反之可能是CSRF攻击,文件上传漏洞,文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷，而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的，“文件上传”本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。,概述：,文件上传漏洞利用过程举例：,1、首先构造一个含有一句话木马的PHP脚本2、通常上传的文件会使用一定的规则限制上传文件类型，这里将请求中content-type内容由application/octet-stream改为image/png3、修改后文件上传成功，并用菜刀工具进行连接，进而可以浏览服务器文件目录及相关操作。,文件上传漏洞,常用防范手段：,检查文件上传路径(避免0 x00截断、IIS6.0文件夹解析漏洞、目录遍历等)文件扩展名检测(例如避免服务器以非图片的文件格式解析文件)文件MIME验证(例如GIF图片MIME为image/gif,CSS文件的MIME为text/css等)文件内容检测(例如避免图片中插入webshell)上传文件重命名(如随机字符串或时间戳等方式,防止攻击者得到webshell的路径),1,3,4,5,2,XML外部实体,XML:可扩展标记语言，标准通用标记语言的子集，是一种用于标记电子文件使其具有结构性的标记语言。它被设计用来传输和存储数据(而不是储存数据),可扩展标记语言是一种很像超文本标记语言的标记语言。当XML允许引用外部实体，关键字“SYSTEM”会令XML解析器从URI中读取内容，并允许它在XML文档中被替换。因此，攻击者可以通过实体将他自定义的值发送给应用程序，然后让应用程序去呈现。借助XXE，攻击者可以实现任意文件读取，DDOS拒绝服务攻击以及代理扫描内网等,概述：,判断是否存在XXE攻击漏洞某些仅用JSON去访问服务的客户端，可以通过修改HTTP的请求或修改Content-Type头部字段等方法，看应用程序的响应，如果应用程序解析了发送的内容，就可能存在XXE攻击漏洞,XML外部实体攻击过程举例：,1,2,在有回显的情况下，可以直接读取“passwd”文件,检查所使用的底层XML解析库，默认禁止外部实体的解析若使用第三方应用代码需要及时升级补丁对用户提交的XML数据进行过滤，如关键词：!DOCTYPE和!ENTITY或者SYSTEM和PUBLIC等,XML外部实体,1,2,3,常用防范手段：,应用层DDOS攻击（CC）,概述：,CC攻击的原理非常简单，就是对一些消耗资源较大的应用页面不断发起正常的请求，以达到消耗服务端资源的目的。在Web应用中，查询数据库、读/写硬盘文件等操作，相对都会消耗比较多的资源。每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。,常用防范手段：,最常见的针对应用层DDOS攻击的防御措施，是在应用中针对每个“客户端”做一个请求频率的限制，通过IP地址与Cookie定位一个客户端，如果客户端的请求在一定时间内过于频繁，则对之后来自该客户端的所有请求进行封禁或者重定向,1,添加人机识别机制，通过对用户登录、查询等页面添加验证码、滑块拖动、短信验证等方式来进行人机识别，防止机器自动化的占用相关页面资源，保障正常的客户可以访问,2,服务器前端加CDN中转，通过CDN可以隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析,3,网页防篡改,常见解决办法：,市面常见防篡改软件使用技术：,合法用户：具有直接修改备份文件夹的权限，可修改备份路径的web网页文件备份web文件夹：可以被合法用户修改，存放的就是web网站的文件，合法用户只修改此文件夹下的文件发布web文件夹：存放web网站文件，将此文件夹下的网页文件发布到互联网上防篡改软件,1,2,3,4,轮询技术：以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复数字水印：将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复利用操作系统的文件系统或底层驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行阻断和告警,1,2,3,爬虫防护,概述：,爬虫是模拟人的浏览访问行为，进行数据的批量抓取。有些网站上的信息是不希望被一些人通过爬虫爬到的，例如某些重要的商业信息，竞争对手通过爬虫工具来窃取对方商业信息。另外当抓取数据量逐渐增大时，会被访问的服务器造成很大的压力，甚至有可能会导致网站崩溃。,通过User-Agent来控制访问,1,常用防范手段：,给网站建立user-agent白名单，只有属于正常范围的user-agent才能够正常访问,如果一个固定的ip在短暂的时间内，快速大量的访问一个网站，那有可能就是爬虫工具，并非真实客户，可以直接才去相应手段封掉IP,限制爬虫的源IP访问,2,通过JS脚本来防止爬虫,3,通常爬虫是使用工具来执行，所以只要区分是真实客户访问还是工具就可以了，常见的办法有通过如验证码，滑动解锁之类来进行人机识别，js代码生成一大段随机的数字，然后要求浏览器通过js的运算得出这一串数字的和，再返回给服务器，通过验证后才可以正常访问,敏感信息防泄露,概述：,服务器上的敏感信息覆盖面很广泛，包括但不限于：口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。,敏感信息防泄露常用办法：,尽可能多的封禁端口，仅保留业务必须端口，防止端口探测建议不要在代码中存储敏感数据：禁止在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据，这样容易导致泄密。用于加密密钥的密钥可以硬编码在代码中。建议密钥或帐号的口令不要以明文形式存储在数据库或者文件中：密钥或帐号的口令必须经过加密存储。例外情况，如果Web容器的配置文件中只能以明文方式配置连接数据库的用户名和口令，那么就不用强制遵循该规则，将该配置文件的属性改为只有属主可读写。禁止在cookie中以明文形式存储敏感数据：cookie信息容易被窃取，尽量不要在cookie中存储敏感数据；如果条件限制必须使用cookie存储敏感信息时，必须先对敏感信息加密再存储到cookie。禁止在日志中记录明文的敏感数据：禁止在日志中记录明文的敏感数据(如口令、会话标识jsessionid等)，防止敏感信息泄漏。,1,2,3,4,5,为什么需要WAF,WAF与传统防护设备的对比,WAF优势功能介绍,02,多引擎防护,XML防护,暴力破解防护特性,Web客户端,防火墙,端口80/443,WEB服务器群,WAF,WAF,配置灵活，用户可以配置检测周期和登录阈值，以适应不同流量的网站支持GET/POST两种请求方法检测支持Form/Ajax/JsonP三种验证方式支持验证码机制，可有效防止误报,慢速攻击防护特性,WAF,web集群,黑客,入方向：流量数据阈值算法防护,出方向：流量数据阈值算法防护,出入方向双重保险，防护强化流量算法防护，可有效区分客户正常访问与慢速攻击依靠流量检测的方式，可兼容各种HTTP请求方式配置灵活，可以配置检测周期和阈值，以适应不同流量的网站,基于资产的策略配置,用户配置向导，StepbyStep,站点组全局策略提供安全基线；虚拟站点根据业务特点提供细粒度（IP+PORT+HOST+URI）的安全防护客户价值：可扩展性好、贴合业务，满足企业多元化的运营需求,支持虚拟站点策略配置,例外策略以及风险级别自定义,典型运维场景：日志生成例外，快速响应误报,支持例外策略，降低误报,会话跟踪,WAF,web集群,黑客,通过客户端协议变量形成独有浏览器标识,根据服务器应答参数形成会话标识,通过浏览器标识和会话标识实现对会话的跟踪，记录完整的黑客攻击过程，做到场景复现。,GEOIP功能,基于GEOIP库自动识别源IP的地理归属地，针对识别出的源IP归属地提供地理IP访问控制，可根据已知业务访问地域，对某个地区进行IP访问的控制（放过/阻断）,页面压缩模块,gzip页面压缩支持,WAF,HTTP响应内容经过gzip压缩,未经过gzip压缩的响应页面内容,来自服务器端的响应内容，可经过WAF上默认提供的页面压缩模块对其进行压缩处理，通过压缩的页面内容，可以有效减少带宽资源消耗，提升页面响应速度,WAF集中管理,WAF集群解决方案,NSFOCUSNTI,IP信誉-可联动的自动化攻击防护方案,Botnet,Webattack,DDoS,Spam,WAF,WAF,Ddos攻击安全漏洞垃圾邮件Web攻击扫描源Botnet客户端,MaliciousScanners,通过与NTI（绿盟威胁情报中心）进行联动，实时获取最新的高危IP信誉库，在WAF上自动生成防护策略。通过启用IP信誉功能，可有效防止撞库、羊毛党（刷单、刷积分）的问题，同时有效减少疑似攻击行为的告警噪音，达到提升告警精度的效果。,智能补丁,WAF与WVSS自动联动，实现检测与防护安全闭环管理：WAF对WVSS下发扫描任务；WVSS自动将扫描结果上传给WAF；WAF自动生成和应用智能补丁防护策略；WAF根据“智能补丁策略”允许正常访问，阻拦黑客针对网站的攻击行为。,特色：1.提供小时级安全保障能力：WVSS生成检测报告及时传递给WAF，WAF自动生成“防护策略”；2.持续循环改善网站安全：WVSS对网站周期扫描，将最新漏洞信息传递给WAF更新“防护策略”。,“Web攻击+DDoS攻击”联合防护,3DDoS攻击防御系统,客户价值：与现网抗拒绝服务系统联动同时抑制DDoS和Web攻击,MssforWAF,MSSforWAF（ManagedsecurityserviceforWAF）即WAF可管理安全服务。可管理安全服务是一种远程的IT安全监测与管理服务，该类服务必须是通过运维中心（即SOC）提供的共享服务，而不是工程师在现场提供。绿盟的MSSforWAF服务是远程的进行WAF设备运维和安全运维支撑。,客户可获得：7*24小时全天候设备运维与监测。专业的运维工程师进行日志分析及策略调优。周期性的运维报告，站点整体安全情况一目了然。专业的策略调优报告，策略调整情况及时同步。基于绿盟威胁情报的威胁源分析。,WAF市场优势介绍,03,产品资质,计算机信息系统安全专用产品销售许可证计算机软件著作权登记证书国家信息安全测评信息技术产品安全测评证书（EAL3+）涉密信息系统产品检测证书军用信息安全产品认证证书OWASPWAF认证CNNVD兼容性认证IPv6金牌认证网络关键设备和网络安全专用产品安全认证ICSALabsWAF认证Veracode安全认证：借助Veracode提供的第三方独立安全审计服务确保产品的自身安全性，并获取theVeracodeLevel4VerAfiedCertification。,借助Veracode提供的第三方独立安全审计服务确保产品的自身安全性，并获取theVeracodeLevel4VerAfiedCertification。,Veracode认证,绿盟科技持续八年引领WAF国内市场，连续两年国内唯一一家进入亚太前三20102017（Frost&Sullivan）,Frost&Sullivan市场报告情况,国内WAF领导厂商,20142017，绿盟WAF连续4年入选Gartner魔力象限(2016，仅绿盟入选),国内WEB安全领域领导厂商,在IDC发布的中国Web应用安全市场看法，2018，绿盟WEB安全能力处于领导者象限首位,参与的标准化工作,公安部行标信息安全技术WEB应用防火墙安全技术要求GA/T1140-2014标准起草单位之一,国标信息安全技术WEB应用防火墙安全技术要求与测试评价方法GB/T32917-2016起草单位之一,WAF购买驱动力,04,现今国内安全市场，依然以合规性驱动为主；金融等行业威胁防御及安全治理方面的驱动明显增强；不同驱动力造成的用户采购要素也明显不同，不可能用一个产品满足所有市场需求,WAF购买驱动力,网站防篡改背景介绍,05,网站安全威胁形势网站篡改的危害性防篡改相关法政策,网站安全态势严峻,截止2017年12月底，中国网站数量为533万个，年增长10.6%,MassSQLInjection,S2-020/021,OpenSSLHeartbleed,75%,全球范围内，不同程度存在漏洞的网站比例,5.5万,2017年，我国境内被植入后门的网站数量,12.8万,2017年，我国境内被篡改的网站数量（内容篡改、后门、挂马、暗链等）,2018年，Web相关漏洞中，注入类漏洞与17年相比增长,237%,来源：CNCERT2017年互联网安全态势报告ImpervaTheStateofWebApplicationVulnerabilitiesin2018,S2-046/S2-052,CVE-2017-10271,3rdPartyis“NoParty”,网站被篡改的危害性,三种隐式篡改方式,网站篡改过程自动化,黑产为了实现利益最大化，会将的攻击工具和实施过程实现自动化，以求提高攻击效率，降低攻击成本，同时扩大影响范围。,自动化植入暗链过程,700多家被篡改网站行业占比,举例：绿盟科技在2019年初检测到国内近700多家网站被黑客批量篡改，植入恶意链接，涉及到政府、企业、教育、金融等各行业的网站,防篡改相关国家法律法规,2006,2008,2017,2019,公安部82号令第九条第三点：提供互联网服务的单位应落实如下安全保护措施：门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复”。,等级保护1.0技术要求-应用安全二级能够检测和鉴别信息和重要业务数据传输过程中完整性受到破坏；三级能够检测和鉴别信息和重要业务数据传输、存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；,网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。,等级保护2.0关键基础设施保等保2.0在等保1.0基础上提出了更高的要求。关键基础设施在等保制度基础上实现重点保护，等级不低于三级。,为什么需要绿盟HWAF,06,当前用户痛点客户采购驱动力防篡改技术对比传统防篡改产品面临的挑战,当前用户痛点,客户采购驱动力,合规性驱动,国家或行业法规要求在IT建设中考虑必要的技术措施（产品）等保、行规,业务风险驱动,网站业务重要性增加面临名誉和商业损失被通报、处罚的压力,对外提供安全增值服务需要整体安全解决方案，满足集约化防护和一体化管理,安全运营增值驱动,1,2,3,现今国内安全市场，依然以合规性驱动为主；政府、运营商、金融等行业业务风险方面的驱动明显增强；运营商、政务云、公有云运营公司对网站安全防篡改有安全运营增值需求。,主流防篡改技术对比3+1,外挂轮询网络侧爬虫缓存,服务器核心内嵌数字水印（用户态）,事件触发操作系统文件底层驱动（内核态）操作系统文件系统接口（用户态）,Web应用层防护SQL注入XSS注入Webshell扫描挂马和后门检测,并非真正防篡改技术，仅是辅助。随着规则库的增加，检测势必影响网站服务器性能，建议WAF等网络侧产品来做,主流防篡改技术优缺点总结,防篡改技术指标对比,传统防篡改产品当前面临的挑战,无法深度集中管理和展示多台服务器，无法统一管理、配置、授权、升级多台服务器和Agent状态无法集中监控、日志无法集中展示、分析,部署和维护复杂、效率低100+个点手工逐点安装，逐点授权，逐点配置,业务变更受限授权绑定业务服务器操作系统，业务系统变更受限授权绑定业务服务器硬件，服务器变更硬件HASH变更，需重新申请授权、流程漫长,云端本地混合场景统一管理受限网站在本地、管理端在云端网站在云端、管理端在本地为本地设计的防篡改，集中管理不支持NAT，所以云地混合场景管理受限,IPv6全面支持受限管理、通信、产品难全部同步适配安装包版本太多难全部覆盖,安全运营场景支持受限需统一安全管理平台接入、网站量大的情况对平台、产品均有挑战需要分权分域需要租户层的管理,安全运营、跨本地云端管理的需求,统一、高效集中管理的需求,合规的需求,自动、灵活扩展的需要,绿盟HWAF功能特性及价值,07,产品定位客户价值功能特性,绿盟HWAF产品定位,NSFOCUSHWAF是绿盟科技在充分研究网站安全发展趋势及安全运营特点的基础上，精心研发的一款具备更高的安全性，更好的适配性、易用性、易扩展性，同时支持本地、云端安全运营和高效运维的新一代平台级网站防篡改系统。,客户价值,绿盟HWAF系统架构,四易：易安装、易管理、易维护、易扩展四省：省时、省力、省心、更省钱,HWAF功能特性及价值,防篡改恢复双引擎网站安全稳固,第三代内核态系统驱动防篡改+增强型事件触发主辅双引擎实现网站纵深防篡改保护，结合自动备份与恢复，保证网站全面、安全、稳固运行,内核态底层驱动过滤技术网站纵深保护支持静态页面，各类格式的动态网页文件，图片、音频、视频、文件名（含后缀）、文件属性的文件保护，可基于整个目录、单个文件进行防护，也可排除个别目录或文件。,篡改实时阻断和恢复网站全面保障网站目录和文件完全保护技术；支持大规模连续防篡改攻击防护；支持实时篡改阻断，断线状态下仍可阻止篡改；支持事前自动备份，一旦被篡改可立即自动恢复。,服务器资源消耗低网站平稳运行内核级增强型事件触发机制，相比数字水印技术不需要嵌入Web服务器，不需要计算和对比水印值，不影响原业务形态，不增加网站响应时延，极大降低对系统的额外开支。,跨多平台自动适配环境全面支持,跨多平台和系统运行支持Windows/各类Linux等操作系统，支持KVM/Vmware/Openstack等虚拟化平台。,业务系统无缝适配支持主流的Web服务器和中间件，如IIS,Apache、Nginx、Tomcat、WebLogic等，无缝兼容各类网站发布系统，包括各种FTP、CMS等。,IPv6和IPv4双栈支持管理端和防护节点、通信、日志全面支持IPv6环境及双栈环境,批量安装部署升级安装包可自动识别和适配操作系统安装，防护节点可批量安装、卸载，在线批量升级。,本地云端灵活部署防护弹性扩展,灵活适配各种网站架构和接入各类管理平台，节点不绑定硬件服务器业务调整灵活、防护弹性可扩展,灵活适配各种网站架构支持网站集群、发布一对多等各类网站架构支持大规模虚拟机、双机热备网站系统部署架构本地、云端管理平台灵活接入具备标准API接口，可灵活对接本地和云端统一运维管控平台支持KVM、VMware、Openstack等各类虚拟化平台节点无绑定业务弹性扩展支持多网站防护节点服务的一键批量开通和关闭授权不绑定网站服务器硬件，不绑定操作系统，业务可灵活调整和弹性扩展,网站更新三种方式,方式3：一键批量启停防护,方式2：网站发布时间,方式1：信任进程,如何保障网站正常发布更新,方式1：信任进程,1、HWAF防护节点上添加信任进程。,2、管理员在网站发布系统上修改网站内容,3、更新程序调用网站服务器上sftp、ftp等进程同步更新网站内容,4、网站内容更新成功,适用场景客户处有自己的发布系统服务器节点要求需满足：1、windows服务器2、Linux服务器的内核态具体操作咨询客户发布系统更新机制将调用的进程加入到HWAF信任进程效果兼容各类发布系统，可实现网站自动发布不改变原有发布流程发布灵活，安全性高,如何保障网站正常发布更新,方式2：网站发布时间预定义,1、预定义网站发布时间,2、管理员在网站发布系统上按计划的时间对网站进行更新,3、网站内容更新成功,适用场景客户有自己的发布系统，网站更新有计划进行具体方法根据网站更新计划时间预定义网站允许更新时间。可定义周期性时间段可指定固定时间段效果兼容各类发布系统，可实现网站自动发布发布前需要制定计划,如何保障网站正常发布更新,方式3：手工批量启停防护,1、关停防护,2、管理员在网站发布系统上按计划的时间对网站进行更新,3、网站内容更新成功,4、开启防护,适用场景无发布系统，网站更新直接在服务器后台修改；有发布系统，以上两种场景不能满足的。具体方法服务器组批量一键启停防护安全性保证：设置登录管理端可信IP白名单通过管理账户控制只有指定服务器/组的启停权限。效果兼容各类发布系统，网站发布前需要手工启停发布时间灵活度大,集中化管控和展示运维省时高效,集中展示,高效运维,一键批量激活/集中取消激活分组配置、策略集中下发分组防护策略一键启停Web极简配置,多网站节点和Web服务器状态集中展示多网站节点防护和运行日志集中展示,批量安装批量卸载一键批量升级极大降低运维成本，提高效率,集中管控,分权分域服务增值安全有效运营,分权分域，灵活适配各种运营场景，实现有效运营的安全增值服务,支持将网站节点划分成服务器组、管理域进行多级分层管理；支持拥有不同管理域的账