WEB应用安全

风险分析

■网站代码程序设计存在隐患
■0day漏洞频发
■网站运维和管理人员安全意识淡薄
■黑客进入门槛越来越低

法律法规

网络安全法:对应用安全和数据安全提出明确要求

等报2.0:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为

行业规范要求:《网上银行系统信息安全通用规范》、[2017]47号文《政府网站发展指引》、《2017年教育信息化工作要点》、《卫生行业信息安全等级保护工作的指导意见》

HW行动:以公安部牵头，组织攻防两方，进攻方将对防守方发动网络攻击，检测出防守方存在的安全漏洞。护网行动每年举办一次，目前参与的机构众多，包括公安部、政府单位、事业单位、国企单位、名企单位等等

WEB应用防火墙介绍

产生背景

随着互联网技术的快速发展，它给人们带来了便利，创造了价值,提高了效率。不知不觉中，人们已经习.惯了离不开网络的工作生活，购物网站、视频网站、购票网站、股票交易系统等等,和我们每个人都有千丝万缕的利益联系。与此同时，Web网站也成为黑客攻击的主要目标，与网站相关的安全事件不断频发,企业数据和个人信息泄露屡见不鲜，给国家带来严重的经济损失，给社会造成了恶劣的影响。

产品概述

明御WEB应用防火墙(以下简称WAF)采用先进的双引擎工作模式对网站业务流量进行多维度、深层次的安全检测和防护;通过黑名单特征库可有效识别并拦截SQL注入、XSS. 命令注入、网页篡改等常见的OWAP TOP10攻击行为，结合深度机器学习智能识别已知恶意请求和防御未知威胁，有效保障网站安全可靠运行。

应用场景

WAF可以灵活部署，支持多种部署模式，适应复杂环境。支持透明代理、反向代理、旁路监控、桥模式这四种部署模式，针对用户网络环境的不同，可采用不同的部署模式，可适用于各种复杂的网络环境。同时WAF提供主备/主主/集群的部署方案，可有效解决WAF设备单点故障的问题。

产品部署模式

WAF常见部署方式介绍

部署方式 ————> 部署特点

透明代理部署 :无感知的代理部署方式，不改变原有访问方式，从原有的一条tcp链接变成两条tcp链接

桥模式部署 :真正意义上的透明，未进行代理，防护能力相较透明代理较弱

反向代理代理 :通过nat转换或域名解析方式，用前端链路ip替代真实服务器ip提供服务

反向代理迁移: 需通过网络设备进行流量牵引，确保流量来回路径都经过wf
旁路监控模式 :仅支持监控审计，无阻断拦截等防护作用

透明代理HA :支持HA主主和HA主备

反向代理VRRP :仅支持主备模式部署

透明代理模式
透明代理部署模式支持透明串接部署方式。串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。

部署特点:
1.不需要改变用户的网络结构，对于用户而言是透明的
2.安全防护能力强
3.故障恢复快,可支持Bypass

桥模式
透明桥模式是真正意义上的纯透明，不会改变更改数据包任何内容，比如源端口、TCP序列号，桥模式不跟踪TCP会话，可支持路由不对称环境，但是防护能力和上述透明代理模式相比较弱。

反向代理一代理模式
WAF采用反向代理模式以旁路的方式接入到网络环境中，需要更改网络防火墙的目的映射表，网络防火墙映射WAF的业务口地址，将服务器的IP地址进行隐藏。

部署特点:
1.可旁路部署，对于用户网络不透明，防护能力强
2.故障恢复时间慢,不支持Bypass,恢复时需要重新将域名或地址映射到原服务器
3.此模式应用于复杂环境中，如设备无法直接串接的环境
4.访问时需要先访问WAF配置的业务口地址
5.支持VRRP主备

反向代理一牵引模式
WAF采用反向代理模式以旁路的方式接入到网络环境中，需要在核心交换机上做策略路由PBR，将客户端访问服务器的流量牵引到WAF_上，策略路由的下一跳地址为WAF的业务口地址。

部署特点:
1.可旁路部署，对于用户网络不透明
2.故障恢复时间慢,不支持Bypass, 恢复时需要删除策略路由配置
3.此模式应用于复杂环境中，如设备无法直接串接的环境
4.访问时仍访问网站服务器
5.支持VRRP主备

产品功能及特性

机器学习

机器学习，指的是对保护站点HTTP访问流量的学习。WAF学习到的模型是基于HTTP数据参数的范畴上(URL级别)，对不同客户端访问网站的数据进行学习建模。
机器学习分为学习和检测两个阶段，发出告警/阻断动作建立在学习成功的基础上，即URL处于学习中的状态时不存在告警或被阻断动作(只涉及机器学习的动作，仍可由其他引擎触发阻断或者告警动作)，但可以被大数据模型检测发出放行动作。学习阶段时长基于配置的学习周期，学习时间达到学习周期后按照建模算法进行建模，建模成功后可进行检测。

透明代理”下的HA主备模式
双机HA模式下，WAF工作于ActiveStandby的模式，即其中一台WAF处于检测防护模式，另外一台WAF处于备用模式，当其中- -台WAF所连接的链路或者WAF自身出现故障时，备用的WAF将协商进入检查防护模式。

反向代理下的VRRP主备模式

WAF在反向代理”下通过VRRP协议来协商主备关系，正常情况”下只有主机工作，备机不工作，当WAF主机出现问题时，备机自动切换为主机进行工作。

旁路监控模式

采用旁路监听模式，在交换机做服务器端口镜像，将流量复制- -份到WAF.上，部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断

威胁情报

开启威胁情报订阅后，设备可以实时获取威胁情报信息，并应用威胁情报进行威胁检测，准确发现来自恶意地址对网站的访问，更快速进行攻击检测与响应，更高效进行事后攻击溯源。威胁情报- -经更新，将会一直有效;威胁情报的优先级比规则优先级高。

访问审计

在WEB应用攻击检测防护方面，除了对己知可防护的攻击类型实现全面的拦截以外，还具备对应用访问全审计的功能。全审计指对所有的WEB请求进行审计分析记录，不仅可以提供详细的访问日志分析，还可以图表的形势展现WEB服务的业务访问情况。通过对访问记录的深度分析，可以发掘出一些潜在的威胁情况，对于攻击防护遗漏的请求，仍然可以起到追根索源的目的。

访问审计提供用户查询历史访问日志信息，以方便用户对访问日志进行统计分析。在访问审计日志页面，选择所要查询的保护站点和月份，点击<显示>显示图/表统计信息，包括月访问、日访问、时访问、访问者IP、访问URL、访问错误代码、访问持续时间、访问文件类型等;点击<重新统计>可对当前的访问审计数据进行刷新以重新统计。

HTTPS站点保护

支持对HTTPS站点的防护，能对原有的HTTPS应用系统良好的适应，无需改变原有环境，对HTTPS应用系统仍可透明部署和全面防御。针对一个IP+PORT下有多个证书的情况，WAF支持- - 个站点上传多个证书，另外也可以选择使用SSL或者TLS协议。

启用本选项开启对HTTPS站点的防护。如果保护站点通过HTTPS对外提供Web服务，访问内容在传输过程中会加密，WAF无法直接读取到访问内容，必须启用该功能并上传公钥、私钥以及证书链后才能实现对HTTPS加密报文的检测。

可靠性保障

高可靠性(High Availability，简称HA)能够在通信线路或设备发生故障时提供备用方案，防止由于单个产品故障或链路故障导致网络中断，保证网络服务的连续性。实现HA功能需要部，署两台同一型号的设备，并且选择同样的接口作为HA接口。两台设备之间通过HA接口直连，透明代理模式下WAF主动不参与链路切换。HA功能以冷备形式提供WAF可靠性。支持两种HA工作模式:主备模式和主主模式。

主备模式是指实现HA功能的两台设备一台用作主设备，另一台用作备设备。主设备处理响应各类报文请求并转发流量，透明代理需要手工执行，配置文件同步。主主模式是指实现HA功能的两台设备同时运行，各自独立工作。

主备模式下，程序在功能上不区分主备机，“主机” 与”备机”只作为两台设备名称标识。由于交换机通过两条线路分别连接两台WAF，初始阶段两台WAF都有流量，经过1-2分钟后，交换机会通过STP机制停止向其中一台WAF发送流量，而只会发向另一台WAF。

支持多种告警方式

支持短信、邮件、Syslog多种告警方式，可以发送设备的系统日志和告警日志。

丰富多样的报表

支持自定义报表、组合报表、定时报表，用户可以通过客户端IP、服务器IP、时间范围、危险等级等多种组合条件查询。通过报表用户可以更好的了解一段时间内网站被攻击的情况，另外WAF可以将报表定期通过邮件的方式发送给管理员。

规则库在线自动升级

策略规则库支持在线自动更新和离线升级

云端威胁情报

云端威胁情报实时联动，主动发现扫描IP、僵尸IP、CC、代理IP等恶意IP对WEB业务的访问行为，针对恶意的访问行为记录告警日志并及时通知运维管理人员对恶意IP的访问行为进行拦截。

本地DDOS防护

■专业的应用层DDOS防护能力，已申请国家专利

■独创的检测算法，采用请求速率和请求集中度双重检测算法

■可基于URL、请求头字段、目标IP、请求方法等多种组合条件对CC攻击进行检测，针对短信接口、API接口、登录页面等精确CC攻击行为进行拦截

■CC攻击肉机比较分散，很多情况下是国外的肉机进行攻击，WAF可设置用户区域级检测算法，隔离海外或其他省市肉机攻击

■触发CC规则后可进行JS挑战，快速实现人机判别

■自学习用户流量模型，如新建、并发等参数，根据流量模型监控流量是否异常，按需开启CC防护策略

■支持CC慢攻击防护，如Slow Head、 Slow Body .

本地HTTPS加速卡

支持内置SSL加速卡，通过专业SSL加速卡解决WAF设备对于HTTPS流量性能处理不足问题，最高支持20G的SSL加速卡，其HTTPS性能至少提升5倍。

支持IPV4和IPV6双协议栈

■支持IPv4和IPv6双协议栈，可同时对IPv4和IPv6的WEB业务系统进行安全防护
■透明串接、反向代理、旁路镜像均支持IPv4和IPv6双协议栈
■已获得IPv6金牌认证产品资质

自动发现Web服务器

在透明部署的情况下可以自动发现用户网络环境中的Web服务器，可以记录服务器的IP地址、端口、域名信息，方便用户添加需要保护的站点。

地图态势分析

可以按照地理区域(世界地图+中国地图)对攻击次数、危险等级进行统计，同时在地图上可以针对某一地理区域进行访问限制，可以有效的控制肉鸡的攻击行为。

一键完成规则调整，避免规则误判

内置规则误判分析功能，可对海量的告警日志进行自动分析并生成分析结果，减少人工分析的成本。

内置敏感信息库

内置敏感信息特征库，包括身份证号、银行卡号、手机号、社保号等敏感信息，可以将服务器返回的敏感信息进行隐藏，防止敏感信息被泄露。

WAF——web安全及web应用防火墙相关推荐

web浏览器与网站服务器,web服务器和web浏览器
web服务器和web浏览器内容精选换一换当您需要实现网站HTTPS化,并监控HTTPS业务流量,识别并阻断SQL注入.CC攻击等攻击,保护Web服务安全稳定时,本文档指导您如何实现网站HTTPS ...
MyEclipse教程：Web开发——创建Web片段项目
MyEclipse 在线订购年终抄底促销!火爆开抢>> MyEclipse最新版下载本教程向用户展示了使用关联的Web项目创建Web片段项目的机制. 用户还可以获得要检查的示例项目. 在 ...
WEB 容器、WEB服务和应用服务器的区别与联系
[web 容器] 何为容器: 容器是一种服务调用规范框架,J2EE 大量运用了容器和组件技术来构建分层的企业级应用.在 J2EE 规范中,相应的有 WEB Container 和 EJB Contai ...
php和python哪个用了开发web好-php web与python web哪个好
php web与python web哪个好? (推荐学习:PHP视频教程) 从框架数量和成熟度看,PHP都优于Python: 从开发效率上看,Python又有绝对的优势: 以目前的情况下,PHP更具优 ...
【译文】Web Farm和Web Garden的区别？
在这篇博文中,我将确切剖析Web Farm和Web Garden的区别和原理,以及使用它们的利弊.进一步地,我将介绍如何在各个版本的IIS中创建Web Garden. 英文原文 | Abhijit J ...
用云服务器实现janus之web端与web通话！
一.前言: 大家周末好,今天给大家分享janus环境搭建以及如何实现web端与web端的实时通话!在写正式文章之前,首先要说明一下,本次环境的搭建,我没有在ubuntu本地去搭建,而是腾讯云服务器上搭 ...
VS2008 Web Application和Web Site的区别_转载
MSDN 原文(英文)地址:http://msdn.microsoft.com/en-us/library/aa730880(VS.80).aspx 以下是主要内容的中文翻译: Visual Stud ...
【web安全】Web应用隔离防护之Web弱口令爆破
背景近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全. 其中,黑客针对Web应用资产发起的弱口令攻击尤为常见. ...
Web Dynpro for ABAP 之 Web Dynpro Window Web Dynpro Application
Web Dynpro Window 上两节的简单的应用程序例子只包含了一个view在一个web dynpro 部件(component)中.本文中开始将介绍一个包含通过导航链接的2个view的程 ...
web 向java_Java web基础
Java web基础一.C\S架构 1.概念 C是英文单词"Client"的首字母,即客户端的意思,C/S就是"Client/Server"的缩写,即&quo ...

WAF——web安全及web应用防火墙