一、 概述:
明御TMWEB应用防火墙(简称:WAF)是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内创新的全透明部署模式全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,为Web应用提供全方位的防护解决方案。该产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及WEB应用的各个行业。部署安恒的WAF产品,可以帮助用户解决目前所面临的各类网站安全问题,如:注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。
二、产品的功能
l 深度防御
明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等):
ü SQL注入
ü 命令注入
ü Cookie 注入
ü 跨站脚本(XSS)
ü 敏感信息泄露
ü 恶意代码
ü 错误配置
ü 隐藏字段
ü 会话劫持
ü 参数篡改
ü 缓冲区溢出
ü 应用层拒绝服务
ü 弱口令
ü 其他变形的应用攻击
l Web应用加速
系统内嵌应用加速模块,通过对各类静态页面及部分脚本的高速缓存,大大提高访问速度。
l 敏感信息泄露防护
系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。
l 策略配置
自定义策略配置
l 告警
实时告警,支持邮件、短信等多种方式告警。
l 系统报表
支持自定义报表,支持各类导出格式(WORD、EXCEL、PDF、HTML等)。
三、产品特点
- 专利级WEB入侵异常检测引擎
安恒独有WEB入侵异常检测引擎,能够有效分析和识别各类已知和变形的应用攻击,为防御的准确性和高效性提供了基础。
- 支持全透明部署
业界创新支持全透明部署,无需更改原有的DNS或IP配置,对原有应用不会造成任何影响。
- HTTPS支持
国内创新全面支持HTTPS,实现各类高安全要求WEB应用系统的深度实时防护(如网银、证券交易等)。
- 支持多保护对象
支持多台主机对象的保护,包括不同域名不同IP,不同域名相同IP的情况
- 支持用户自定义规则库
用户可以根据数据包的特征关键字等自定义安全策略规则,来实现安全检测及过滤
- 统一日志平台接口
- 支持阻断、告警、By-Pass等多种应用模式
四、客户案例
金融--某商业银行
客户面临的问题:
网上银行作为电子商务的基础应用随着互联网的普及而迅速发展,据相关报告显示2008年底个人网银用户覆盖数达6474.5万,随着网上银行业务的发展,各类网上银行事故越来越多,网上银行的安全问题日益突出,各类WEB应用攻击(如:SQL注入攻击、钓鱼攻击等)及盗号木马日益猖獗,网上银行交易过程中涉及的大量金融交易数据、用户个人隐私信息已经成为攻击者的首选目标。如何加强网上银行系统的安全防护能力,防止不法分子窃取银行客户的账号密码,减少网银业务的风险,是某商业银行迫切需要解决的问题。
安恒解决方案:
在某商业银行的网上银行服务器前端直连部署安恒的WEB应用防火墙(WAF-500AG),鉴于WAF-500AG全面支持https协议,因此,WAF-500AG的部署不仅能够实时识别、阻断来自互联网的各类WEB应用层攻击(如:SQL注入攻击、跨站脚本攻击(钓鱼攻击)、表单绕过、应用层DDOS攻击、敏感信息泄露等),同时可以通过强大的缓存技术和负载均衡技术提高某商业银行的网站访问速度。
系统部署图如下:
WEB应用防火墙与网络防火墙的区别:
传统的网络防火墙作为访问控制设备,工作在OSI1-4层,基于IP报文进行状态检测、地址转换、网络层访问控制等,对报文中的具体内容不具备检测能力。因此,对Web应用而言,传统的网络防火墙仅提供IP及端口防护,对各类WEB应用攻击缺乏防御能力。
Web应用防火墙主要致力于提供应用层保护,通过对HTTP/HTTPS及应用层数据的深度检测分析,识别及阻断各类传统防火墙无法识别的WEB应用攻击。
法律法规:
支付卡行业 (PCI)数据安全标准(DSS) 版本1.2 2008年10月
6.6 对于面向公众的 Web 应用程序,经常解决新的威胁和漏洞,并确保保护这些应用程序不受到以下任一方法的攻击:
?? 通过手动或自动应用程序漏洞安全评估工具或方法检查面向公众的 Web 应用
程序,至少每年一次并在所有更改后进行检查。
?? 在面向公众的 Web 应用程序前端安装Web 应用程序防火墙
