從安全角度考慮，針對目前泛濫的SQL注入、跨站腳本、應(yīng)用層DDoS等Web應(yīng)用攻擊，提供有效檢測、防護(hù)，降低攻擊的影響，最為理想情況，解決根本問題是對Web應(yīng)用代碼進(jìn)行整改，嚴(yán)格遵循安全編碼，確保網(wǎng)站安全。但通常，我們會發(fā)現(xiàn)為此付出的代價(jià)過大，對正常業(yè)務(wù)開展有很大影響。

    Web應(yīng)用防護(hù)系統(tǒng)以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢。基于對Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗(yàn)證，確保其安全性與合法性，對非法的請求予以實(shí)時(shí)阻斷，從而對各類網(wǎng)站站點(diǎn)        進(jìn)行有效防護(hù)。

一、產(chǎn)品介紹

    用戶網(wǎng)站資產(chǎn)為導(dǎo)向，梳理網(wǎng)站資產(chǎn)列表，以滿足Web應(yīng)用的各種防護(hù)需求。基于用戶網(wǎng)站資產(chǎn)為導(dǎo)向的Web防護(hù)是指以網(wǎng)站資產(chǎn)為防護(hù)核心，以保護(hù)網(wǎng)站資產(chǎn)價(jià)值為目標(biāo)的安全防護(hù)策略。這種策略旨在確保網(wǎng)站的安全性和穩(wěn)定性，防止未經(jīng)授權(quán)的訪問、篡改和攻擊。

    在透明和路由牽引模式下，可以自動發(fā)現(xiàn)網(wǎng)站資產(chǎn)并識別出HTTP和HTTPS流量，從而發(fā)現(xiàn)網(wǎng)站資產(chǎn)。所有站點(diǎn)發(fā)現(xiàn)無需直接配置每個(gè)網(wǎng)站。這大大減少了部署工作量，并提高了網(wǎng)絡(luò)管理員的效率。

二、產(chǎn)品功能

    2.1.多種Web應(yīng)用動態(tài)防護(hù)措施

    幻象防護(hù)技術(shù)，用戶可根據(jù)網(wǎng)站的自身情況，選擇開啟幻象防護(hù)功能，可實(shí)現(xiàn)對網(wǎng)站頁面的靜態(tài)保護(hù)，能夠使訪問者無法看到真實(shí)的網(wǎng)站內(nèi)容，始終對外展示某一時(shí)間點(diǎn)的網(wǎng)站幻象，保護(hù)網(wǎng)站內(nèi)容安全。

    行為防護(hù)技術(shù)，用戶可根據(jù)網(wǎng)站的自身情況，選擇開啟防目錄遍歷功能，可針對網(wǎng)站的目錄遍歷掃描進(jìn)行安全防護(hù)。防目錄遍歷開啟后可以防止攻擊者在一定時(shí)間內(nèi)惡意遍歷網(wǎng)站目錄的攻擊行為。

    數(shù)據(jù)防護(hù)技術(shù)，用戶可根據(jù)網(wǎng)站的自身情況，選擇開啟數(shù)據(jù)防護(hù)功能，可針對網(wǎng)站的內(nèi)容數(shù)據(jù)進(jìn)行安全防護(hù)。數(shù)據(jù)防護(hù)開啟后可以防止網(wǎng)站內(nèi)容中敏感信息的數(shù)據(jù)泄露，可針對身份證、手機(jī)號、銀行卡等信息做部分隱藏處理。

    2.2.智能防掃描識別掃描行為

    Web應(yīng)用防護(hù)系統(tǒng)能夠識別掃描行為和掃描器特征，阻止攻擊者或掃描器對網(wǎng)站進(jìn)行大規(guī)模掃描行為，可以幫助Web業(yè)務(wù)降低被入侵的風(fēng)險(xiǎn)并減少掃描帶來的垃圾流量。將短時(shí)間內(nèi)訪問當(dāng)前防護(hù)對象下大量無效目錄，自動拉入黑名單，在一段時(shí)間內(nèi)對該攻擊源的所有請求執(zhí)行攔截。

    2.3.專項(xiàng)API業(yè)務(wù)及登錄防護(hù)

    隨著Web應(yīng)用通過廣泛使用應(yīng)用編程接口 (API) 從互連擴(kuò)展到協(xié)作，讓已經(jīng)存在的安全問題變得更加復(fù)雜，API防護(hù)可以保護(hù)應(yīng)用免受通常可逃過傳統(tǒng)防火墻檢測的 API 攻擊。

    特殊的業(yè)務(wù)場景，如登錄頁面的安全防護(hù)，可以與雙因素身份驗(yàn)證機(jī)制結(jié)合使用，站點(diǎn)后臺管理員可綁定WAF提供的雙因子認(rèn)證，對后臺登錄行為增加安全認(rèn)證，提供額外的身份驗(yàn)證信息，以確保用戶的身份得到更嚴(yán)格的驗(yàn)證。

    Web應(yīng)用防護(hù)系統(tǒng)借助可通過速率限制、行為分析和防自動化來保護(hù) XML、JSON的獨(dú)特防御機(jī)制，可自動檢測應(yīng)用程序接口威脅，為API接口提供嚴(yán)格的策略規(guī)則，并阻止各類攻擊和特殊內(nèi)容類型，從而將應(yīng)用威脅拒之門外。

    2.4.國產(chǎn)化操作系統(tǒng)及硬件適配

    國產(chǎn)化操作系統(tǒng)和硬件適配是當(dāng)前信息技術(shù)領(lǐng)域的熱點(diǎn)話題。國產(chǎn)操作系統(tǒng)和硬件適配的崛起，一方面得益于國家政策的支持，另一方面也是由于國內(nèi)信息技術(shù)的不斷發(fā)展和進(jìn)步。在操作系統(tǒng)方面，WAF可以適配麒麟軟件和統(tǒng)信UOS的國產(chǎn)操作系統(tǒng)。在硬件適配方面，WAF可以適配國產(chǎn)X86和ARM架構(gòu)硬件，WAF全面適配國產(chǎn)操作系統(tǒng)和硬件適配的發(fā)展，符合國家信息安全戰(zhàn)略的需求。

    2.5.手動編排自定義Web規(guī)則

    針對有能力的高級用戶，還提供了自定義和編寫規(guī)則內(nèi)容的功能。用戶可以手動編寫自己的防護(hù)規(guī)則，支持字符串快速匹配與正則匹配。

    2.6.全面兼容IPv4/IPv6環(huán)境

    Web應(yīng)用防護(hù)系統(tǒng)能夠全面兼容并支持IPv6協(xié)議，可輕松融入IPv6的網(wǎng)絡(luò)，或者IPv4/IPv6混合網(wǎng)絡(luò)。能夠同時(shí)支持IPv4/IPv6環(huán)境下的攻擊檢測和訪問策略，確保IPv6時(shí)代的網(wǎng)絡(luò)通暢，為IPv6環(huán)境提供了完善的安全防護(hù)。

    2.7.HTTP/HTTPS協(xié)議防護(hù)

    SSL安全加密：提供SSL加密功能，Web服務(wù)器只需要開啟80端口，然后在WAF系統(tǒng)的代理中添加SSL證書，并指定Web服務(wù)器的80端口。用戶只要訪問WAF系統(tǒng)的443端口，就可以達(dá)到對原有HTTP數(shù)據(jù)流的加密，同時(shí)可以過濾在HTTPS會話中的攻擊行為，為Web服務(wù)器與數(shù)據(jù)庫服務(wù)器提供安全保障。

    2.8.安全加固錯(cuò)誤信息過濾

                很多情況下，服務(wù)器的報(bào)錯(cuò)信息會暴露網(wǎng)站的絕對或相對路徑、網(wǎng)站部分源碼、SQL語句信息等，自動對返回的錯(cuò)誤信息進(jìn)行過濾，禁止外界可以看到服務(wù)器報(bào)錯(cuò)信息，有效對數(shù)據(jù)庫內(nèi)部信息進(jìn)行防護(hù)。

    2.9.拒絕服務(wù)CC安全防護(hù)

    提供CC安全防護(hù)是為了防御CC攻擊，CC攻擊主要是用來消耗服務(wù)器資源的，攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對方服務(wù)器造成服務(wù)器資源耗盡，一直到宕機(jī)崩潰。Web應(yīng)用防護(hù)系統(tǒng)可以設(shè)置CC防護(hù)規(guī)則，攔截針對網(wǎng)站頁面請求的CC攻擊，并返回?cái)r截提示頁面，避免惡意入侵長時(shí)間占用消耗服務(wù)器的核心資源，造成服務(wù)器性能異常問題。確保網(wǎng)絡(luò)數(shù)據(jù)中心穩(wěn)定運(yùn)行，解決因惡意請求導(dǎo)致網(wǎng)站業(yè)務(wù)響應(yīng)緩慢或無法正常提供服務(wù)。

    2.10.靈活的應(yīng)用負(fù)載均衡

    負(fù)載均衡：自動將請求分發(fā)到不同的Web服務(wù)器

    支持動態(tài)網(wǎng)站：保持同一會話連接在同一服務(wù)器

    自動熱備：一臺或幾臺服務(wù)器宕機(jī)，自動將請求分配到其他服務(wù)器

    合理分配流量：根據(jù)服務(wù)器的性能，將請求分配到不同服務(wù)器

  2.11.多種部署模式融合

    Web應(yīng)用防護(hù)系統(tǒng)能應(yīng)用于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中，可以分別保護(hù)單臺或者多臺Web服務(wù)器。可以采用網(wǎng)橋模式，旁路反向代理模式，路由牽引模式，混合部署模式。可以方便、靈活的應(yīng)對客戶網(wǎng)絡(luò)環(huán)境的變化。

    透明網(wǎng)橋模式

    旁路反向代理模式

    路由牽引模式

    混合部署模式

 2.12.避免單點(diǎn)故障措施

    Web應(yīng)用防護(hù)系統(tǒng)在透明網(wǎng)橋和反向代理模式下，由于要轉(zhuǎn)發(fā)流量可能存在單點(diǎn)故障問題，為了避免單點(diǎn)故障不影響業(yè)務(wù)，可采用以下幾種措施。

            透明網(wǎng)橋模式

        單機(jī)WAF（物理），通過自身或外置Bypass設(shè)備，在突然斷電或者重啟時(shí)能夠自動直連。

        雙機(jī)WAF（物理），通過HA高可用功能，配置高可用HA主主模式或者主備模式，當(dāng)時(shí)一臺設(shè)備出現(xiàn)故障時(shí)，自動進(jìn)行雙機(jī)切換。

    反向代理模式

        LB負(fù)載均衡+多機(jī)WAF（虛機(jī)/物理）, 通過前端負(fù)載均衡進(jìn)行負(fù)載算法分配到后端多機(jī)WAF，多機(jī)WAF進(jìn)行配置自動同步，在負(fù)載均衡的調(diào)度下可實(shí)現(xiàn)自動切換，保證業(yè)務(wù)的連續(xù)性。

        雙機(jī)WAF（虛機(jī)/物理），通過HA高可用功能，配置HA主備模式，通過VRRP虛擬路由器冗余協(xié)議進(jìn)行雙機(jī)WAF主備切換，自動進(jìn)行雙機(jī)切換。

    路由牽引模式（策略路由）

                                單機(jī)WAF（物理），通過三層交換設(shè)備配合策略路由實(shí)現(xiàn)路由牽引，WAF工作在路由轉(zhuǎn)發(fā)模式，當(dāng)設(shè)備出現(xiàn)故障時(shí)，需手動進(jìn)行路由切換。

                                雙機(jī)WAF（物理），通過三層交換設(shè)備配合策略路由實(shí)現(xiàn)路由牽引，WAF工作在路由轉(zhuǎn)發(fā)模式，雙機(jī)WAF進(jìn)行HA配置自動同步，當(dāng)一臺WAF設(shè)備出現(xiàn)故障時(shí)，需手動修改路由切換至另一臺WAF設(shè)備。

2.13. 分布式集群管理

    具備分布式集群管理，可提供多節(jié)點(diǎn)WAF的集群管理，實(shí)現(xiàn)多節(jié)點(diǎn)WAF的配置同步，統(tǒng)一升級管理，能夠?qū)尤爰旱墓?jié)點(diǎn)設(shè)備進(jìn)行統(tǒng)一管理，在管理節(jié)點(diǎn)上傳升級包進(jìn)行固件或規(guī)則升級操作，提供集群內(nèi)所有設(shè)備升級管理。

三、部署模式

1.旁路反向代理部署

            旁路反向代理模式，將設(shè)備置于內(nèi)網(wǎng)的交換機(jī)下，訪問Web服務(wù)器的所有請求都通過設(shè)備代理流入流出。這種模式下，Web服務(wù)器無法獲取訪問者的真實(shí)IP地址，需要借助HTTP報(bào)文中設(shè)置相應(yīng)的字段來表示訪問者IP地址。反代部署的最大特點(diǎn)是快速、簡單、隱藏真實(shí)服務(wù)器，可按需配置。

            2.串聯(lián)透明網(wǎng)橋部署

        透明網(wǎng)橋模式指在兩臺運(yùn)行的網(wǎng)絡(luò)設(shè)備中間插入設(shè)備，但是對流量并不產(chǎn)生影響。在透明網(wǎng)橋模式下，可以阻斷、攔截來自Web應(yīng)用層攻擊，而讓其他正常的流量通過。透明網(wǎng)橋部署模式的最大特點(diǎn)是快速、簡便，先部署后配置。

        3.策略路由牽引部署

        通過配置策略路由，在路由器或交換機(jī)上配置策略路由，將需要保護(hù)的Web應(yīng)用流量引導(dǎo)到WAF上。可以根據(jù)源IP地址、目的IP地址、協(xié)議等條件來定義策略路由。策略路由部署，可以更好地保護(hù)Web應(yīng)用免受各種網(wǎng)絡(luò)攻擊，同時(shí)不影響正常的業(yè)務(wù)運(yùn)營。