0618安信华Web应用防火墙产品介绍

安信华Web应用防火墙

产品介绍刘燕岭目录

Web应用的威胁与需求产品的技术架构

第一章第二章为客户提供更清洁的Internet内容产品功能及特点解决方案与案例

第三章第四章Web应用的威胁与需求中国互联网中心对公共互联网环境中的网络安全事件按13个小类进行统计，分别是计算机病毒事件、蠕虫事件、木马事件、僵尸程序事件、域名劫持事件、网页仿冒事件、网页篡改事件、网页挂马事件、拒绝服务攻击事件、后门漏洞事件、非授权访问事件、垃圾邮件事件和其他网络安全事件。

木马事件数量最多，占公共互联网环境事件总数的比例为36.6%；其他数量较多的事件类型还有：僵尸程序事件、蠕虫事件和垃圾邮件事件，分别占22.7%、18.7%和17.4%Web应用的威胁与需求散布虚假信息，危害社会秩序【黑客动机】第一类是出于政治、宗教目的，将常将境内政府部门网站作为重点攻击目标，攻击成功后通常会在网站留下宣扬其政治、宗教理念的文字或图片；第二类是出于技术炫耀目的，攻击者篡改网站成功后留下大名，并留有调侃风格的文字或图片；第三类则是在网站上留存后门页面，一是方便其以后再次进入，二则不排除其将该后门用于地下交易牟取非法利益的可能；Web应用的威胁与需求2007年6月22日，公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号)，确定了信息安全等级保护制度的基本内容及各项工作要求。2007年7月16日，四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)，就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。插件商木马病毒作者拿站黑客破译/盗取邮箱游戏工作室流量商Web应用的威胁与需求Web网站早期开发者安全意识薄弱第三方内容成风险源

SQL注入和XSS攻击

篡改Web系统数据

Cookie监听

安全威胁客户端网络带宽滥用

SQL注入和XSS攻击都是利用了Web页面的脚本编写的不完善，导致攻击者可以提交精心构造的URL、FORM表单或POST信息，绕过数据库的权限认证（SQL注入攻击），或者是提交发布一些含有恶意脚本的内容，当潜在受害者访问了这些内容后，将会泄露自己的私密信息（XSS攻击）。正是由于这类攻击所利用的并不是通用漏洞，而是每个页面自己的缺陷，所以变种和变形攻击数量非常多，如果还是以常用方法进行检测，漏报和误报率将会极高。恶意用户通过对Cookie监听破译用户证书，篡改从服务器传送到浏览器的cookie数据。网站常常将一些包括用户ID、口令、账号等的cookie存储到用户系统上，通过改变这些值，恶意的用户就可以访问不属于他们的账户。传统安全产品的局限性传统防火墙主要工作在四层以下，主要是基于包检测技术，不能实现对HTTP协议的精细控制；防病毒产品不仅对Web应用程序中的漏洞难以识别，而且对网页中存在的恶意代码（网页木马）更是束手无策；IPS仅是对HTTP数据包有效负载的检测分析，并不能将所有的数据包还原组装成数据流或具体的内容进行基于关键字或具体内容的检测分析与特征提取。比如Cookie篡改、会话劫持，IPS都不能较好的进行防护；

网页防篡改软件（1）静态备份技术，不适用动态网站（2）无法应对SQL注入、XSS攻击等检测与拦截；防火墙检测数据包包头信息进行访问控制

目录

Web应用的威胁与需求产品的技术架构

第一章第二章为客户提供更清洁的Internet内容产品功能及特点解决方案与案例

第三章第四章Web应用防火墙基本概念（WAF）

Web应用防火墙基于对HTTP/HTTPS流量内容的实时检测分析，专为Web应用系统提供实时的防护：具有HTTP应用代理，能够识别检测HTTP/HTTPS协议内容及具体数据的能力；具有检测变形攻击的能力，如检测SSL加密流量中混杂的攻击；检测数据表单输入的有效性，为web应用提供了一个外部输入的合规过滤机制，做到事前的检测过滤，安全性更为可靠；验证HTTP/HTTPS协议会话的可靠性，弥补HTTP协议会话管理机制的缺陷，防御基于会话的攻击类型，如Cookie篡改及会话劫持等攻击；WAF产品的基本技术路线技术路线异常检测协议WAF可严格限定HTTP协议中那些过于松散或未被完全制定的选项。

增强的输入验证很多WEB程序员用JavaScript在浏览器上实现输入验证。而浏览器只是一个用户控制的简单工具，因此攻击者可以非常容易地绕过输入验证，直接将恶意代码输入到WEB应用服务器。在服务端进行输入验证是解决上述问题的正确方法。如果这个方法不能实现，还可以通过在客户和应用服务器之间增加代理，让代理去执行Web页面上嵌入的JavaScript，实现输入验证。

Cookies保护WAF通常会将cookies整个内容加密，或者是将整个cookies机制虚拟化响应监视和信息泄露保护信息泄露防护是我们给监视HTTP输出数据的一个名称。从原理上来说它和请求监视是一样的，目的是监视可疑的输出，并防止可疑的HTTP输出数据到达用户。另外，这个技术的另一项应用是发现成功入侵的迹象。在攻击者没有完全掌控服务器而仅仅尝试WEB应用的安全漏洞的情况下，这项技术可以起到防护效果。

文件病毒扫描上传到WEB服务器和FTP服务器的文件能够根据特征库进行病毒扫描有效预防病毒攻击安信华WAF产品的技术架构扫描技术双向多重检测规则深度解码处理机制性能保障优化重写TCP协议栈技术扫描引擎性能优化技术安信华WAF产品的技术架构检测过滤HTTP/HTTPS双向交互流量数据，对其中的恶意成分进行实时在线清洗过滤;通过对HTTP/HTTPS协议进行深入的解析，精确的识别出协议中的各种要素，比如Cookie、Get参数、Post表单等;目前的入侵攻击通常采用加密或其他非正常编码进行处理，企图绕过检测过滤.深度解码预处理机制主要特点如下：区别于简单的字符串过滤，是在进行各种解码基础上进行攻击检测;检测URL参数、web表单输入、HTTPheader等web交互信息，在进行解码的基础上，对攻击的逻辑特点与行为进行分析过滤;双向多重深度解码【扫描技术】并行多核控制器将处理数据均衡分配安信华WAF产品的技术架构多核并不是简单的CPU叠加，需要Web应用防火墙从硬件到软件，从操作系统底层到上层应用进程去全方位支持多核硬件架构，并行多核控制器充分处理核内核间任务的分工与调度。来自网络层的数据包进入并行多核控制器后，并行多核控制器根据会话的状态和数据包的包头信息将流量数据均衡分配到各个不同的CPU，以便完成后续多颗CPU的并行事务处理。自主开发的底层操作系统AnchivaOS。在兼顾安全性的基础上，开发了横跨系统内核层和系统应用层的TCP协议栈，同时将TCP协议栈与应用进程并行结合，打破了通用操作系统基于内核的TCP协议栈共享锁的限制，应用安全网关的性能瓶颈由此被打破。Zero-copy（零拷贝）技术，一般来说,从网卡到用户空间的系统调用会经历两次或者两次半的copy过程.我们通过改写驱动程序，尽量消除这些copy过程.【性能保障】目录

Web应用的威胁与需求产品的技术架构

第一章第二章为客户提供更清洁的Internet内容产品功能及特点解决方案与案例

第三章第四章实时检查分析web内容：阻断WebShell的访问;阻断被挂马网页的访问，保护web访问者，保全web服务器信誉;阻断被篡改页面的访问;安信华WAF功能WebserversDatabaseWeb客户端实时检测过滤web安全威胁:防跨站脚本攻击;;防SQL注入;防缓冲区溢出攻击防网站挂马;防止网站被植入WebShell;防止命令行攻击;防弱口令攻击;防止利用WebShell发起的各种攻击：注入、文件下载、端口扫描、内容篡改等;……【重点防御OWASP总结的十大Web安全威胁！】启发式扫描技术与“零日保护”计划，确保用户网络随时处在最新技术的保护下！

安信华WAF功能WebserversDatabaseWeb客户端实时监测过滤WebShell攻击命令阻止利用WebShell发起的各种攻击：挂马、文件下载、端口扫描、内容篡改等；实时监测分析WebShell访问页面内容特征，阻止WebShell的访问；WebShell的危害WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的─种命令执行环境，也可以称为─种网页后门。黑客在入侵了网站后，通常会将这些asp、php、aspx、jsp后门文件与网站服务器WEB目录下正常的网页文件混在─起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站服务器的目的（可以上传下载文件、查看数据库、执行任意程序命令等）。【WebShell侦测与阻断】安信华WAF功能AnchivaWAF网站B网站A网站CWeb客户端网站B网站A网站C【功能点】支持多网站管理员独立的防护策略配置与管理；支持多用户独立的日志与报表；支持多用户独立的报警通知；支持网站资产信息的导入；【价值】符合等级保护中“明确网络、系统日常运行；维护的责任部门或责任人”的要求；符合等级保护系统运维管理对资产管理的要求；符合等级保护分级管理的要求；适用政府门户网站建设维护机制；【分级管理与资产管理】安信华WAF功能AnchivaWAF策略3：

网站隐身网站2网站1网站3策略1：SQL注入防护XSS防护上传文件的病毒扫描挂马监控启用URL白名单启用动态黑名单策略2：站点隐身危险文件下载SQL注入防护XSS防护网页防篡改上传内容的关键字过滤策略3：站点隐身危险文件下载SQL注入防护XSS防护网页防篡改上传内容的关键字过滤上传文件的病毒扫描挂马监控启用动态黑名单不同的服务器、域名、web应用采用不同的防护策略符合等级保护“统一规划、协同建设、分级管理、资源共享”的要求；适用政府门户网站建设维护机制；享受专业针对性的安全防护；方便运维与管理；投资回报率高；【虚拟服务、有针对的防护策略】安信华WAF特点【恶意文件上传病毒过滤】WebserversDatabaseWeb客户端扫描检测Web上传文件

安信华WAF设备内置实时更新的病毒特征库，对上传到WEB服务器和FTP服务器的文件能够根据特征库进行病毒扫描，有效预防病毒攻击。在WAF产品中服务器群配置的“安全服务器组”中“启用HTTP上传病毒扫描”或“启用FTP上传病毒扫描”，启用后WAF将对向服务器上传的文件查杀病毒，并根据“动作”的设定对病毒数据进行处理。安信华WAF特点【WebShell威胁多层次防御】人工加固对ftp进行权限设置，取消匿名访问；对目录进行权限设置，不同网站使用不同的用户权限；对系统盘的敏感目录及文件进行权限设置，提高系统安全性；定期更新服务器补丁，定期更新杀毒软件；Web应用防火墙可针对WebShell上传，进行控制、过滤与阻断；实时阻断入侵者利用SQL注入、XSS攻击、缓冲区溢出攻击等获得web站点的目录修改权限；支持对WebShell访问返回页面进行内容检测，切断入侵者企图调用访问WebShell的行为；支持实时检测过滤WebShell发起的各种攻击命令，阻断利用WebShell发起的挂马、文件下载、端口扫描、内容篡改等各种攻击和非法操作；WebShell工具绿色版本，无需安装；操作简单，不需要.net组件或者其他组件；支持检测系统畸形文件夹，比如文件夹名为test..\lpt8.asp支持检测aux、lpt8、con等等系统设备文件名的文件；扫描速度快；安信华WAF特点【Web应用漏洞扫描器】

安信华WAF内嵌扫描器可支持的扫描项目包括：SQL注入漏洞、XSS脚本漏洞、WEB后门、网页挂马、程序错误信息、内部目录泄露、邮箱地址泄露、无效链接、代码泄露、目录遍历、入侵广告、目录浏览、内部文件泄露、WEBDAV启用、典型登录页面、内部IP泄露。

制定扫描任务扫描任务为用户提供扫描配置入口，设定定时运行或手动运行，显示各任务执行的状态；查看扫描报告扫描报告列出任务执行生成的报告，提供查找、查看和下载的功能；安信华WAF特点【网络爬虫防护】1---【网络爬虫的定义】

网络爬虫（又被称为网页蜘蛛，网络机器人），是一种按照一定的规则，自动的抓取万维网信息的程序或者脚本。2---【实现效果】网络爬虫防护功能可通过识别爬虫的USER-AGENT信息来识别不同的爬虫，进而对爬虫程序进行控制，即可有效地防止服务器被恶意爬虫爬取大量的网站页面而影响性能。3---【自定义添加网络爬虫特征】安信华WAF特点【完备的日志信息】Web访问日志攻击统计报表攻击日志价值---1、协助完成访问审计与问题追查；价值---2、符合等级保护《信息系统安全等级保护监督检查记录》的要求；安信华WAF特点【1-----网站全方面扫描及评估服务

2-----网站不间断监控及应急服务】安信华互联网安全实验室从06年6月开始，WildList（流行病毒清单组织是全球三大权威独立评测机构之一）成员和主要贡献者；国家互联网应急中心合作单位；提供365天不间断持续更新服务；强大的防木马病毒上传能力，内置1000多万木马病毒特征；最新爆发，2小时之内响应；政府，高校网站监测，95%以上覆盖；【扫描及应急价值】符合等级保护中“分析与报告编制活动的基本工作流程及任务”中“单项测评结果判定”的要求。【网站监控价值】符合等级保护中“用户行为和业务应用监测和报警”的要求。安信华WAF特点事前，对各种敏感信息进行检测分析与屏蔽，如web程序代码漏洞、web服务器系统漏洞、web服务器配置漏洞、数据库漏洞等，从而防止黑客获得采取下一步攻击的有用信息；事中，安信华web应用防火墙将应用攻击、非授权篡改、恶意代码等众多因素结合在一起进行综合防范，从而做到对web服务器的多重保护，检测过滤SQL注入、跨站脚本攻击、命令行注入、弱口令攻击等攻击行为，防止网站被篡改、网站数据库内容泄露、系统管理员权限被窃取等破坏行为，防止网站被挂马、植入后门、间谍软件等恶意代码；事后，针对当前的安全热点问题，例如网页挂马、WebShell等，提供监控诊断功能，并及时报警，降低安全风险，维护企业的信誉度；并且安信华公司具有自己的网络安全试验室和专业的服务团队，能够为客户提供实时的网站监控服务；【预防、过滤、报警，全方位实施保护】目录

Web应用的威胁与需求产品的技术架构

第一章第二章为客户提供更清洁的Internet内容产品功能及特点解决方案与案例

第三章第四章安信华WAF解决方案威胁：网页挂马：将网页中植入恶意代码或链接，以便在用户打开网页时向用户的电脑安装木马软件；网站网页中存在恶意脚本，容易被跨站脚本（XSS）攻击；SQL注入攻击：未经授权状况下操作数据库中的数据、恶意篡改网页内容、私自添加系统帐号或者是数据库使用者帐号；内部目录泄露；弱口令攻击；效果：安信华WAF产品主要针对中华先锋网进行实时威胁检测与阻断保护。以下为主要攻击类型比例；安信华WAF产品协助用户完成访问审计与问题追查，符合等级保护《信息系统安全等级保护监督检查记录》的要求。安信华WAF产品的设备性能及稳定性。WAF支持Bypass，多方面保障web业务服务链路的通畅；安信华服务：专业的网站安全运营监测中心，符合“用户行为和业务应用监测和报警”的要求；【政府】党政网-------Web应用安全威胁全面防护，设备稳定、可靠；安信华WAF解决方案【金融】某银行-----针对恶意威胁的变化实时提供最新保护，设备的可靠性威胁：【门户站点】银行的门户站点都是通过internet直接或间接互联，那么由于互联网自身的广泛性、自由性等特点，像银行这样的金融行业自然会被恶意的入侵者列入其攻击目标的前列。【网银业务系统】1.攻击者对网站及网上银行系统的访问进行渗透取得管理员权限，滥用授权不正当地收集、修改或发送敏感的或对系统安全关键的数据；2.当截获了有效用户的标识和鉴别数据后，未授权用户在将来使用这些鉴别数据，访问系统提供的功能；3.攻击者欺骗用户使用户与伪造的系统服务交互；4.攻击者通过挂马攻击、注入攻击、钓鱼攻击等方式窃听网络用户数据；5.攻击者通过窃听通信线路获取用户数据；效果：“零日保护”计划，确保网络随时处在最新技术的保护下；漏洞扫描先进行Web系统漏洞分析，提供针对性安全保护；针对OWASP威胁进行专业防护；恶意文件上传过滤；产品规则与特征的相互协防安信华WAF解决方案【教育】大学-----设备性能满足教育行业要求，WebShell威胁防护全面；需求：北京某大学其内部Web站点域名多达1000多个，而且呈分散性部署，很多服务器分散在各个院系的网络中（如图所示），庞大的数量和分散部署性使得网站的安全运维与管理成了很头疼的问题，何况网站会不时遭受攻击。效果：设备性能与运行稳定性良好安信华WAF在同时保护着北大300多个核心网站正常运营的同时，其设备运行稳定，其CPU最大使用率13%，内存最大使用率30%。有效拦截SQL注入、XSS等攻击流量，加强了网站运营的安全性。4月7日为例，安信华WAF设备拦截的攻击事件接近18万，拦截攻击事件最少的是4月4日，7.2万多。WebShell检测过滤与侦测功能效果明显安信华WAF在1月24日、1月25日拦截的WebShell日志，攻击者企图上传扩展名为JSP的文件，经安信华WAF检测发现实际上是web后门部署位置安信华WAF解决方案【医疗】三甲医院------国家政策要求，安信华WAF独有恶意文件上传过滤；威胁：Ftp上传病例导致容易受到病毒攻击：网页挂马：将网页中植入恶意代码或链接，以便在用户打开网页时向