产品说明-天融信WEB应用安全网关系统.doc

天融信WEB应用安全网关系统TopWAF产品说明天融信TOPSEC北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-400-610-5119+8610-800-810-5119http: /北京天融信公司 版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。 版权所有 不得翻印 1995-2012天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。TOPSEC 天融信公司信息反馈天融信WEB应用安全网关产品说明目录1.产品概述12.产品主要特性22.1先进的设计理念22.1.1“三高”设计理念22.1.2“一站式”解决方案22.1.3 “无故障运行时间提升”的核心原则22.2独有的核心技术22.2.1稳定、高效、安全的系统内核22.2.2领先的多维防护体系22.2.3“主动式”应用安全加固技术32.3丰富的数据展现32.3.1多角度的决策支撑数据32.3.2多角色视角的数据展示32.3.3清晰详尽的阶段性报表33.产品功能43.1产品核心功能43.1.1 WEB应用威胁防御43.1.2网页防篡改53.1.3抗拒绝服务攻击53.1.4 WEB应用漏洞扫描63.1.5 WEB应用加速63.1.6 业务智能分析63.2产品功能列表84.产品部署114.1透明串接部署114.2反向代理部署124.3单臂部署135.产品规格146.产品资质157.特别声明151. 产品概述天融信WEB应用安全网关系统（以下简称TopWAF）是天融信公司根据当前的互联网安全形势，并经过多年的技术积累，研制出品的专业级WEB安全防护类网络安全产品。TopWAF是天融信WEB安全专家团针对“网站型”服务器量身定制的产业化产品，汇聚了天融信公司长期对网站系统进行安全研究的成果。产品主要从网站系统可用性和信息可靠性的角度出发，满足用户对于WEB防护及加速、网页防篡改及网站业务分析等功能的核心需求。提供事前预警、事中防护、事后分析的全周期安全防护解决方案。图 11 TopWAF工作原理示意图事前，TopWAF对网站服务进行动态监视，实时监测系统的服务能力及服务质量，建立安全隐患预警机制。事中，TopWAF基于“无故障运行时间”原则，依托稳定、高效、安全的系统内核及先进的多维防护体系，通过WEB应用威胁防御、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能，保障网站应用服务系统的运行质量。事后，TopWAF提供多角度的决策支撑数据，为用户提供清晰详尽的阶段性报表，帮助网站管理者准确地了解网站的运行状况并进行有针对性的调整。2. 产品主要特性2.1先进的设计理念2.1.1“三高”设计理念TopWAF秉承了天融信公司对于信息安全产品应具有高可靠性、高安全性及高易用性的设计理念。该系统对网站的总体战略目标作深入理解，针对网站系统的可用性和内容可信任问题，提供全方位的安全解决方案。从网站如何提高业务效率，以及如何量化服务品质的角度出发，为网站业务的正常运行保驾护航。2.1.2“一站式”解决方案TopWAF为 “网站型”服务器的可用性问题、内容可信任问题提供“一站式”解决方案。用“一个帐号，一次登录，一套界面，三次点击”的高效设计解决网站安全问题。2.1.3 “无故障运行时间提升”的核心原则天融信深入理解用户对于网站服务质量的要求，首先提出网站“无故障运行时间”的产品核心原则。TopWAF产品设计综合考虑网站应用威胁防护、服务效率动态监视、服务带宽保护等方面，致力于提高网站系统的服务不间断时间，保障网站业务的服务质量。2.2独有的核心技术2.2.1稳定、高效、安全的系统内核天融信公司利用在安全操作系统开发以及硬件电路设计方面的多年技术积累，结合当前WEB应用数据的深度检测技术，研制出精简、稳定、安全、高效的TopWAF系统内核，为TopWAF系列产品的整体性能及稳定性提供了良好的保证。2.2.2领先的多维防护体系TopWAF通过“宏观判断，微观分析”的方式，对网站应用数据、实时流量及历史特征等多方面信息进行聚合，并将WEB应用威胁防御、网页防篡改及抗拒绝服务攻击等产品核心功能进行多元化组合，构建多维防护体系。2.2.3“主动式”应用安全加固技术TopWAF通过漏洞扫描、WEB威胁实时防护以及WEB应用架构协议规范化等多种手段，主动发现WEB安全漏洞并及时提供相应的解决方案进行修复。2.3丰富的数据展现2.3.1多角度的决策支撑数据TopWAF在安全防护的基础上，为网站管理者提供多角度的决策支撑数据，使其充分了解网站的整体运行情况。数据不仅包括网站安全统计、还包括网站业务及管理情况分析等。通过分析用户访问网站的行为数据，为管理员改进网站功能及合理分配服务器资源提供可靠的依据。2.3.2多角色视角的数据展示TopWAF从网站应用系统的服务类型、服务对象及服务价值三个方面，提供多视角的数据展示，同时支持展示界面自定义的功能。通过TOPWAF产品，用户可以： 按照业务视角，将当前各类业务的运行状态和安全威胁分等级列出； 按照行业视角，将网站应用系统对服务对象的服务情况列出； 根据自身的角色，选择查看不同范围、明细度及侧重点的数据报表； 根据自身操作习惯和业务需要，自定义多种展示界面。2.3.3清晰详尽的阶段性报表TopWAF可按照不同的统计周期为网站管理者提供清晰详尽的数据报表。统计内容丰富，展示效果直观。为网站管理者提供有针对性的决策依据。3. 产品功能3.1产品核心功能3.1.1WEB应用威胁防御TopWAF采用先进的多维防护体系，对HTTP数据流进行深度分析。通过对WEB应用安全的深入研究，固化了一套针对WEB攻击防护的专用特征规则库，规则涵盖诸如SQL注入、XSS（跨站脚本攻击）等OWASP TOP10中的WEB应用安全风险，及远程文件包含漏洞利用、目录遍历、OS命令注入等当今黑客常用的针对WEB基础架构的攻击手段。TopWAF对于HTTP数据包内容具有完全的访问控制权限，检查所有经过网络的HTTP 流量，回应请求并建立安全规则。一旦某个会话被控制，WAF就会对内外双向流量进行多重检查，以阻止内嵌的攻击，保证数据不被窃取。网站管理者也可以指定各种策略对URL、参数和格式等进行安全检查。 SQL注入攻击防护TopWAF致力于跟踪SQL注入技术的最新动态，防SQL注入策略不断更新，规则不断完善， 支持对GET、POST、COOKIE全部数据提交方式的过滤；实行过滤规则分离原则：不同方法（GET、POST、COOKIE）提交的数据，过滤的规则相互独立，最大限度的加强了对SQL注入的防御，同时，也从根本上杜绝了对正常访问的误拦；支持“模式匹配”，用户可以使用“正则表达式”构造具有超强防御效果的防御策略，使用“正则表达式”的规则，具有人工智能特性，一条防SQL注入规则，即可以阻止同一类的SQL注入，有效的杜绝了其它WEB应用防火墙产品很容易被高级黑客饶过的情况，从而从根本上杜绝SQL注入 ，进而防止网站数据泄漏或内容被篡改。 XSS攻击防护TopWAF基于特征分析，内置上百条从实际攻击行为中提炼的防护规则，并支持自定义规则。在实时攻击检测阶段，对所有可能实现XSS攻击的数据来源，如HTTP-Refere、URL、COOKIE、表单数据等进行检查过滤，全面、有效地阻止XSS攻击。 盗链攻击防护TopWAF通过实现URL级别的访问控制，对客户端请求进行检测，如果发现图片、视频等资源信息的HTTP请求来自于其它网站，则阻止盗链请求，节省因盗用资源链接而消耗的带宽和性能。 爬虫防护TopWAF将爬虫行为分为搜索引擎爬虫及扫描程序爬虫，可屏蔽特定的搜索引擎爬虫节省带宽和性能，也可屏蔽扫描程序爬虫，避免网站被恶意抓取页面。 恶意扫描防护TopWAF可以屏蔽Web扫描器的检测，如：Acunetix Web Vulnerability Scanner及IBM AppScan，有效阻止攻击者利用扫描器进行更换Web网站主页、盗取管理员密码、破坏整个网站数据等攻击。3.1.2网页防篡改TopWAF能够监控网页请求的合法性，实时拦截篡改攻击。同时，通过比对请求页面的哈希指纹，校验被请求的网页是否被篡改。一旦检测到页面被篡改，则将URL重定向到正常页面，使篡改攻击者的意图不能得逞。发生网页篡改紧急事件时，TopWAF防篡改功能会将用户请求重定向到默认页面或指定页面，视篡改的程度或网站特殊需求，启动专业的应急机制。对网络流量进行有效控制，及时阻止篡改攻击行为，保证网站形象。另一方面系统会提供多种形式的告警机制，通知网站管理者进行事件分析和历史追溯，从而完成WEB服务器的配置及数据恢复，杜绝网页内容连续被篡改。3.1.3抗拒绝服务攻击拒绝服务攻击是攻击者利用目标服务器的网络协议漏洞对系统及网络资源进行强行占用的行为，使得目标服务器业系统瘫痪，无法响应正常用户请求。近年来，随着互联网的高速发展，针对网站系统的拒绝服务攻击事件呈大规模上升趋势，如何有效的防范此类攻击便成了当今网站管理者需要考虑的重点安全问题。TopWAF集成了具有核心知识产权的抗拒绝服务攻击功能，能够防御迄今已知的所有种类DDoS攻击，如SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等。同时TopWAF对未知攻击也能进行有效防护。 攻击指纹识别TopWAF利用多种技术手段对网络数据包进行特征统计和发现，能够准确定位当前的攻击类型，并触发不同的防御机制，在提高效率的同时确保防护准确度。 异常流量识别TopWAF创造性地提出了一种全新的、基于数据挖掘的DDoS攻击盲检测技术。利用关联算法和聚类算法自适应的产生检测模型，任何偏离这些正常状态的流量特征都可以被捕获，从而可以实时、自动、有效地识别出异常流量。 攻击特征挖掘TopWAF具备高效的攻击特征挖掘能力。系统通过对网络流量的显微分析，挖掘出攻击特征，并将攻击特征移交给规则执行机进行高效执行。 攻击流量过滤TopWAF针对检测出的攻击流量，采用规则执行机技术，准确彻底地过滤攻击流量，放行正常流量，保证网站服务的正常进行。3.1.4 WEB应用漏洞扫描 TopWAF可提供对网站应用漏洞的扫描功能。该功能基于先进的漏洞扫描引擎及庞大漏洞信息库。扫描内容涵盖： SQL注入、跨站脚本编制及操作系统命令注入等WEB常见漏洞。扫描任务支持单任务及批量任务。执行方式可按时间周期进行灵活设置。扫描结束后，自动生成全中文网站漏洞分析报告。此功能可以使网站管理者在不需要安装任何漏洞扫描软件的情况下，直观地了解到网站存在的安全漏洞情况，以及时进行相关修补工作。3.1.5 WEB应用加速TopWAF在对网站进行全面的安全防护的同时，通过连接池、缓存等机制，实现应用加速，优化网站性能的功效。WEB应用加速功能通过高性能的硬件平台及软件加速算法，可以将用户的WEB请求响应速度提高数倍，大幅提升网站系统的可用性。3.1.6 业务智能分析TopWAF提供强大的网站业务智能分析功能。内容丰富，涵盖网站业务数据智能分析、网站安全数据智能分析以及网站管理数据智能分析三大模块。展现形式为数据表格搭配统计图示，效果清晰、直观。为网站管理者提供有针对性的决策依据。图 31 业务智能分析功能页面 网站业务数据智能分析传统安全产品的日志内容主要以安全防护及操作管理为主。TopWAF提供强大的网站业务统计分析功能。针对网站管理者希望了解到的网站业务参数指标，TopWAF按照不同时间段、不同地区及不同内容，分别对网站流量、网站访问者以及网站内容进行统计分析。统计内容专业、准确，完全可以替代市面上的网站业务监测软件。 网站安全数据智能分析TopWAF对来自于互联网的各种攻击行为进行详细记录。通过WEB攻击日志、DDOS攻击日志、网页防篡改日志及网页敏感关键字过滤日志，将网站的安全现状直观的展现给网站管理者。统计类型包括时间段、地址来源及攻击种类等，管理者可以通过分析相关数据对网站实施更有针对性的安全策略。 网站管理数据智能分析管理员操作记录是安全产品不可或缺的功能，TopWAF在此基础上增加了告警统计及监控统计报表功能。系统会自动记录所有的报警事件及监控状态，为网站管理者提供良好的管理凭证。3.2产品功能列表类别功能详细描述WEB安全性安全模式基于代理模式的防护引擎协议解析支持HTTP协议解码并对相关字段进行检查，包括URI、HTTP版本、请求方法、响应状态码、HTTP头部各字段和其他 HTTP 元素。HTTPS支持SSL加密会话分析WEB基础架构防护OS命令注入、远程文件包含、目录遍历等WEB通用攻击防护WEB攻击防护SQL注入、跨站脚本等常见WEB应用攻击爬虫防护盗链防护漏洞扫描器扫描防护HTTP请求限制，协议规范化支持黑白名单访问控制支持报警、断开连接、给客户端发送警告页面三种方式支持自定义警告页面支持自定义防护规则支持自定义策略和策略集，不同被保护服务可以应用不同的防护策略集支持对象自定义，可定义来源地址组、目的URL组、时间段DDoS攻击防护支持防护syn flood、tcp flood、udp flood、icmp flood等网络层拒绝服务攻击支持防护cc攻击等应用层拒绝服务攻击网站伪装支持代理方式工作模式，客户端不直接和服务器建立连接支持特定页面返回信息隐藏，可返回自定义警告页面支持网站管理后台隐藏，可定义允许访问网站后台的IP地址网页防篡改支持网站镜像功能，支持爬虫、ftp(支持篡改后恢复)两种镜像方式支持定时篡改检测，记录篡改日志并报警支持篡改页面重定向功能，客户端访问不到被篡改的页面支持篡改页面自动恢复功能支持多操作系统：Windows、Linux、Unix、Solaris、AIX等WEB应用扫描扫描网站的应用层漏洞信息，自动生成网站漏洞分析报告支持立即扫描、周期扫描、指定时间点扫描三种方式支持单个网站扫描和批量扫描两种方式全中文扫描结果报告敏感信息过滤支持检测网站中的敏感信息，防止泄漏支持敏感关键字自定义，支持敏感关键字组自定义支持定时检测，可自定义检测周期支持单个网站扫描和批量扫描两种方式服务器状态检测定时检测服务器访问情况，发生访问异常及时报警支持ping方式检查，支持访问特定URL方式检查支持访问URL自定义支持阀值设置，超过阀值即告警异常事件告警支持WEB攻击、DDoS攻击、网页被篡改、网关设备异常、被保护服务器状态异常、漏洞扫描结果、敏感关键字过滤等情况下告警告警条数多可设置归并条件，可设置告警发送间隔支持邮件、短信发送告警信息WEB优化Cache加速支持缓存页面方式加快访问速度，减轻服务器访问压力支持加速率记录和统计功能负载均衡支持负载均衡功能，把访问分担到多台WEB服务器上支持轮询，加权轮询，源地址散列三种负载均衡算法业务智能分析流量分析日志可记录带宽、访问量、访问响应时间等内容可分被保护服务、时间段查询，查询结果可生成报表访问分析日志可记录并分析统计网站的详细信息可按访问者的源地址、搜索引擎、操作系统、浏览器类型、国家地区、中国省区、中国地级市级别统计访问数据可根据访问次数、文件类型、死链、域名、搜索关键词等方面统计网站被访问情况可分被保护服务、时间段查询，查询结果可生成报表攻击分析日志可记录各种WEB攻击、DDoS攻击等日志可记录网页防篡改日志可记录网页敏感关键字过滤日志可分被保护服务、时间段查询，查询可生成报表管理分析日志可记录被保护服务器通断等异常状态日志可记录管理员操作日志可分时间段查询，查询结果可生成报表日志管理可设置日志保存时间、磁盘占用空间限额支持日志清空操作支持ftp方式自动备份日志和手动备份日志定期自动备份支持备份周期设置日志可打印，可导出成pdf、html格式系统管理系统部署支持透明代理，反向代理，旁路部署支持多路部署系统管理支持B/S管理提供标准SNMP trap和Syslog接口，可接受天融信管理平台的集中事件管理支持管理角色分级支持License控制系统升级支持界面导入升级包支持定期升级规则库；紧急事件第1时间升级系统监控安全事件监控、访问情况监控、及设备负载监控显示接口状态、系统CPU、内存及硬盘使用率，系统当前时间及系统运行时间系统诊断Ping工具；可查看实时ARP表、路由表和网卡信息等内容高可用性双机热备支持主从部署模式 支持链路是否正常的监控 硬件Bypass功能支持断电bypass模式，光口支持外置bypass模块4. 产品部署TopWAF支持多种部署方式，适应各种WEB网络结构，可以根据实际网络环境进行灵活部署。4.1透明串接部署透明模式是最为便捷的部署方式。在已经交付使用的系统中需要快速部署TopWAF时，推荐使用此种方式。选用透明模式时，网关工作在链路层，不需要对服务器和其他的网络设备作任何调整。图 41 透明串接部署示意图4.2反向代理部署反向代理模式是在大多数情况下推荐使用的部署方式，俗称为“替身模式”。此时，TopWAF位于网站服务器的前端，所有与网站应用系统交互的数据流量都必须经过TopWAF，该部署模式能够对应用数据进行全面细致的检查。图 42 反向代理部署示意图4.3单臂部署以单臂模式部署时，TopWAF将与网站服务器位于同一个子网或者任意路由可达子网。网站服务器的网络设置无需做任何更改。此种方式非常适合不能运行中断的系统。图 43 单臂部署示意图5. 产品规格型号TI-3304-WAFTI-3514-WAF外观硬件尺寸1U1U接口数标准配置为4个10/100 /1000BASE-T接口最大配置为12个接口，包括4个10/100/1000BASE-T接口,以及一个可扩展模块（支持电口和光口）运行环境电压：AC100240V 频率 50/60Hz 电流 2.0A(1002