WEB应用防护系统
蓝盾信息安全技术股份有限责任公司
2014年7月3日
第 0 / 19
蓝盾信息安全技术股份有限公司
目录
1. 第一章 WAF ................................................................................................... 2
1.1 产生背景 ............................................................................................................................ 2 1.2 应用功能 ............................................................................................................................ 2
审计设备 ........................................................................................................................... 2 访问控制设备 ................................................................................................................... 3 架构/网络设计工具 .......................................................................................................... 3 WEB应用加固工具 ......................................................................................................... 3 1.3 特点 .................................................................................................................................... 3
异常检测协议 ................................................................................................................... 3 增强的输入验证 ............................................................................................................... 4 及时补丁 ........................................................................................................................... 4 基于规则的保护和基于异常的保护 ............................................................................... 5 状态管理 ........................................................................................................................... 5 其他防护技术 ................................................................................................................... 5
2. 第二章 BD-WAF ............................................................................................ 6
2.1蓝盾WEB应用防火墙简介 .............................................................................................. 6 2.2 BD-WAF 系统具备以下功能特性 ................................................................................... 6 2.3 BD-WAF 的详细参数 ....................................................................................................... 7
3. 第三章 绿盟WAF........................................................................................ 11
3.1 绿盟WAF简介 ............................................................................................................... 11 3.2 产品特点: ...................................................................................................................... 11 3.2 详细招标参数 .................................................................................................................. 12
4. 附录 ............................................................................................................... 17
附录1. WAF(WEB应用防火墙)技术比较表 .................................................................. 17 附录2. 在选择WAF产品时,建议参考以下步骤:......................................................... 18
第 1 / 19
蓝盾信息安全技术股份有限公司
第一章 WAF
Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
1.1 产生背景
当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。2007年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍。其中,中国大陆政府网站被篡改各月累计达4234个。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,由此产生了WAF(Web应用防护系统)。Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
1.2 应用功能
审计设备
对与系统自身安全相关的下列事件产生审计记录: (1)管理员登陆后进行的操作行为;
(2) 对安全策略进行添加、修改、删除等操作行为; 第 2 / 19
蓝盾信息安全技术股份有限公司
(3) 对管理角色进行增加、删除和属性修改等操作行为; (4) 对其他安全功能配置参数的设置或更新等行为。
访问控制设备
用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。 架构/网络设计工具
当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
WEB应用加固工具
这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能够保护WEB应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。 同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)
1.3 特点
异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项
第 3 / 19
蓝盾信息安全技术股份有限公司
增强的输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。
及时补丁
第 4 / 19
蓝盾信息安全技术股份有限公司
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。
(附注:及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信协议都具规范性。)
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。 状态管理
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。
其他防护技术
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。
第 5 / 19
蓝盾信息安全技术股份有限公司
第二章 BD-WAF
2.1蓝盾WEB应用防火墙简介
蓝盾Web应用防火墙,简称 BD-WAF,是蓝盾开发的新一代安全产品,作为网关设备, 防护对象为 Web、Webmail 服务器,其设计目标为:针对安全事件发生时序进行安全建模,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供 综合 Web 应用安全解决方案。 事前,BD-WAF 提供 Web 应用漏洞扫描功能,检测 Web 应用程序是否存在 SQL 注入、跨 站脚本漏洞。事中,对黑客入侵行为、SQL 注入/跨站脚本等各类 Web 应用攻击、DD.o.S 攻 击进行有效检测、阻断及防护。事后,针对当前的安全热点问题,网页篡改及网页挂马,提 供诊断功能,降低安全风险,维护网站的公信度。
2.2 BD-WAF 系统具备以下功能特性:
应用多维防护体系,有效应对 SQL 注入、跨站脚本及其变形攻击,提供细粒度应用层 DDoS 攻击防护;
网页防篡改系统支持-Linux、Windows、BSD 系统; Web 加速支持;
实时检测网页篡改,降低网站安全风险; 提供挂马主动诊断功能,维护网站公信度; 敏感信息扫描和过滤;
透明安全检测,不用改变网络拓扑; 提供多种负载均衡算法;
支持虚拟主机部署,适合 IDC 环境; 支持 WebMail 的安全检测; BD-WAF 监控新模式;
攻击、特征库在线平滑升级; ,
第 6 / 19
蓝盾信息安全技术股份有限公司
提供HA,有效避免网络单点故障;
2.3 BD-WAF 的详细参数
指标项 指标子项 吞吐能力 并发数 ★性能要求 HTTP请求速率 支持站点数 网口数量 技术要求 HTTP吞吐量 >=500Mbps 最大HTTP并发数 6万 HTTP事物速率(Transaction) 12000/秒 不限制 4*10/100/1000M电口 ★透明部署(基于透明网桥),需即插即用,无需做任何★部署模式 配置即可防护。支持旁路部署。 ★策略路由(支持流量牵引) 检测引擎 防护规则 部署能力 ★智能阻断 断黑客的攻击行为 ★自动学习并构建网站的URL模型,禁止违反现有模型★URL自学习 的尝试行为 ★支持更新、修正现有URL模型 HTTP RFC符合性 HTTP协议防护 HTTPS支持 SSL加密会话分析 提供高度灵活的自定义规则向导,适用于高级用户 基于智能用户行为识别的动态防护机制,识别并彻底阻高性能攻击特征检测引擎 系统提供完善的内置规则 ★WEB应用漏洞扫能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏安全特性 描 ★碎片组包 支持超长报文组包(最大30M) 编码还原 第 7 / 19
洞扫描 支持任意碎片组包 ASCII编码的还原 蓝盾信息安全技术股份有限公司
Unicode编码的还原 各种混淆编码的还原 ★WEB基础架构防★蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB护 通用攻击防护 SQL注入及XSS攻击防护 跨站请求伪造(CSRF)攻击防护 爬虫防护 防盗链 ★WEB应用安全防恶意扫描防护 护 Cookie安全 服务器信息伪装/过滤 缓冲区溢出 HTTP请求类型 Webshell行为拦截 自动恢复对文件、目录的篡改 支持FTP/SFTP连接方式 支持文件、目录排除 设置检测优先级 ★网页篡改防护 支持多个防篡改用户 多操作系统支持:Windows、Linux、Unix、Solaris、AIX等操作系统 支持基于时间的计划任务 ★数据库防篡改 ★支持数据库防篡改,无需安装任何数据库代理插件。 支持对虚拟机中的任意数量网站进行防护,使多个虚拟★支持虚拟化功能 机共用一个IP地址 恶意代码过滤 ★内容安全 ★敏感关键字自定义 ★弱密码记录 ★记录登陆过程中使用的弱密码 第 8 / 19
蓝盾信息安全技术股份有限公司
基于规则的ACL 来源IP的ACL ★访问控制 目的IP的ACL 目的URL的ACL 支持基于时间的计划任务 主动阻断方式 丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问 来源IP攻击防护 Rerferer攻击防护 ★防CC攻击防护 特定URL攻击防护 CC防护的访问控制(黑、白名单) ★TCP/UDP Flood防护,基于最大上限阀值设置,而非D★抗拒绝服务攻击 DOS特征库 ★802.1Q支持 网络自适应端口汇聚(Trunk) 支持端口汇聚(Trunk),显著提高设备间的吞吐能力 能力 路由配置 支持静态路由的配置 安全报表(入侵统计、按入侵类别统计、被攻击主机、★报表类型 攻击来源IP和地理位置、页面访问次数、网络接口流量趋势) 报表功能 ★webshell提示 警功能 报表查询 输出格式 按事件类型、统计目标或周期类型条件进行统计 支持将生成的报表以HTML、Word等通用格式输出 系统日志、审计日志和安全防护日志(入侵记录、攻击日志类型 日志系统 可基于时间、IP、端口、协议、动作、规则集、规则集日志查询 类别、危害等级、请求方法等条件进行日志查询。 日志管理 日志导出、清空、自动磁盘日志清理 源IP所处地理位置、页面统计、网络流量、防篡改日志、防CC日志) 报表提供对防护Web网站中已经存在Webshell文件的告支持VLAN解码,在Trunk线路上部署并提供防护 第 9 / 19
蓝盾信息安全技术股份有限公司
监控类型 系统监控 系统信息 安全事件监控、访问情况监控、设备负载监控 显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率 系统诊断和维护工具 抓包工具,可抓取的网络原始报文,用于分析网络状况 调试功能 配置备份与导入 支持系统配置的备份与导入功能 支持主从部署模式 HA双机 高可用性 支持双机配置自动同步 硬件BYPASS 联动功能 ★联动功能 必须同一品牌,提供原厂商联动证明原件。 公安部信息安全产品销售许可证 ★产品要求 ISCCC中国国家信息安全产品认证证书 产品要求 (出具加盖厂商公软件著作权登记证书 章的复印件) 国家保密局涉密认证 厂商资质 厂商具备省级或省级以上计算机信息系统安全服务备案证; 具备信息安全服务二级或以上风险评估服务资质; 具备信息安全服务二级或以上应急响应安全服务资质认证; 具备信息安全服务二级或以上信息系统安全集成服务资★厂商资质 质认证证书; (出具加盖厂商公为省或省级以上计算机信息网络安全协会的指定服务单章的复印件) 位; ISO20000信息技术服务管理认证证书; ISO27001信息安全管理体系认证证书; CMMI 3级或以上证书; 具备国家工业和信息化部颁发的计算机信息系统集成一级资质. 第 10 / 19
支持链路是否正常的监控 内置bypass模块,设备故障直接切换到bypass模式 为了建立统一安全管理联动平台,与XXX安全产品[U1] 蓝盾信息安全技术股份有限公司
第三章 绿盟WAF
3.1 绿盟WAF简介
绿盟科技Web应用防火墙(简称WAF)将客户资产作为组织Web安全解决方案的依
据,用黑、白名单机制相结合的完整防护体系,通过精细的配置将多种Web安全检测方法连结成一套完整(COMPLETE)的解决方案,并整合成熟的DDoS攻击抵御机制,能够在IPV4、IPV6及二者混合环境中抵御OWASP Top 10等各类Web安全威胁和拒绝服务攻击,并以较低的运营成本为各种机构提供透明在线部署、路由旁路部署和云部署,能方便快捷的部署上线,保卫您的Web应用免遭当前和未来的安全威胁。
作为中国市场领先的WAF产品,绿盟科技WAF已经被超过1000家机构选中,包括中国移动、中国电信、国家电网等。来自国外权威咨询机构Frost & Sullivan 2013年市场报告数据表明,绿盟科技WAF在2012年以25.6%占有率位列大中华区市场份额首位,连续3年(2010-2012)领跑大中华区市场。在国际市场,它已为美国、日本和东南亚的多家客户提供了帮助。
3.2 产品特点:
双向数据检测:支持网络层、Web Server/Application层双向数据检测和保护,可以
降低Web站点安全风险。
灵活的部署能力:支持透明串联、反向代理和基于路由的多种旁路部署方式,网络适应
性强,支持Fail-open机制和只对Web流量执行牵引/回注的处理机制,可以避免成为主干链路的单点故障。
紧急自动模式:支持网站缓存和紧急模式,在Web页面被篡改或访问中断时,可以代
第 11 / 19
蓝盾信息安全技术股份有限公司
替Web服务器将缓存的页面返回给客户端;可以在Web访问量超过阈值时自动切换成紧急模式,避免成为性能瓶颈。
虚拟补丁:\"WAF with Cloud\"的部署方案,定期自动获取专家级、个性化的《网站漏
洞扫描报告》,并转化为WAF可执行的、有针对性的Web安全防护策略。
3.3 详细招标参数
绿盟Web应用防火墙 指标项 系统架构 硬件架构 指标子项 技术要求 系统架构 产品应采用1U专用机架式硬件设备,系统硬件为全内置封闭式结构 基本网络接口 ★最大吞吐能力 电口*5,千兆电口Bypass 吞吐量≥200Mbps ★性能要求 ★并发TCP会话数 ≥50万 ★HTTP请求速率 ★网络延迟 ★可防护IP数量 ≥ 9000 次/秒 ≤ 0.1毫秒 ≥ 50个 第 12 / 19
蓝盾信息安全技术股份有限公司
★透明部署(基于透明网桥),需即插即用,无需做任何配置即可防护。★部署模式 支持旁路部署。 ★策略路由(支持流量牵引) 检测引擎 部署能力 ★智能阻断 为 ★自动学习并构建网站的URL模型,禁止违反现有模型的尝试行为(提★URL自学习 供界面截图) ★支持更新、修正现有URL模型(提供界面截图) HTTP RFC符合性 HTTPS支持 ★WEB应用漏洞扫能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏洞扫描 描 支持任意碎片组包 ★碎片组包 支持超长报文组包(最大30M) ASCII编码的还原 编码还原 安全特性 ★WEB基础架构防★蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB通用攻击防护 护 SQL注入及XSS攻击防护 跨站请求伪造(CSRF)攻击防护 爬虫防护 ★WEB应用安全防恶意扫描防护 护 Cookie安全 服务器信息伪装/过滤 缓冲区溢出 第 13 / 19
高性能攻击特征检测引擎 系统提供完善的内置规则 防护规则 提供高度灵活的自定义规则向导,适用于高级用户(提供界面截图) 基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行HTTP协议防护 SSL加密会话分析 Unicode编码的还原 各种混淆编码的还原 蓝盾信息安全技术股份有限公司
HTTP请求类型 Webshell行为拦截 自动恢复对文件、目录的篡改 支持FTP/SFTP连接方式 支持文件、目录排除 ★网页篡改防护 设置检测优先级 支持多个防篡改用户 多操作系统支持:Windows、Linux、Unix、Solaris、AIX等操作系统 支持基于时间的计划任务 ★数据库防篡改 ★支持虚拟化功能 址 恶意代码过滤 ★内容安全 ★敏感关键字自定义 ★弱密码记录 ★备案检查 (提供界面截图) 基于规则的ACL 来源IP的ACL ★访问控制 目的IP的ACL 目的URL的ACL 支持基于时间的计划任务 主动阻断方式 丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问 来源IP攻击防护 ★防CC攻击防护 Rerferer攻击防护 ★记录登陆过程中使用的弱密码(提供界面截图) ★检测网站的备案情况,对于通过备案网站放行,未通过备案禁止访问★支持数据库防篡改,无需安装任何数据库代理插件。(提供界面截图) 支持对虚拟机中的任意数量网站进行防护,使多个虚拟机共用一个IP地(提供界面截图) 特定URL攻击防护 CC防护的访问控制(黑、白名单) ★TCP/UDP Flood防护,基于最大上限阀值设置,而非DDOS特征库(提★抗拒绝服务攻击 供界面截图) 第 14 / 19
蓝盾信息安全技术股份有限公司
网络自适应能★802.1Q支持 支持VLAN解码,在Trunk线路上部署并提供防护(提供界面截图) 端口汇聚(Trunk) 支持端口汇聚(Trunk),显著提高设备间的吞吐能力(提供界面截图) 路由配置 支持静态路由的配置 安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地★报表类型 理位置、页面访问次数、网络接口流量趋势) 力 报表功能 ★webshell提示 报表提供对防护Web网站中已经存在Webshell文件的告警功能(提供界面截图) 报表查询 输出格式 日志类型 按事件类型、统计目标或周期类型条件进行统计 支持将生成的报表以HTML、Word等通用格式输出 系统日志、审计日志和安全防护日志(入侵记录、攻击源IP所处地理位日志系统 日志查询 日志管理 系统监控类型 置、页面统计、网络流量、防篡改日志、防CC日志) 可基于时间、IP、端口、协议、动作、规则集、规则集类别、危害等级、请求方法等条件进行日志查询。 日志导出、清空、自动磁盘日志清理 安全事件监控、访问情况监控、设备负载监控 显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率 抓包工具,可抓取的网络原始报文,用于分析网络状况 监控 系统信息 系统诊断和调试功能 配置备份与导入 维护工具 支持系统配置的备份与导入功能 支持主从部署模式 高可用性 硬件BYPASS 资质要求 (提供相第 15 / 19
HA双机 支持链路是否正常的监控 支持双机配置自动同步 内置bypass模块,设备故障直接切换到bypass模式 ★获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密★涉密资质 标准BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》的千兆《涉密信息系统产品检测证书》,并出具加盖厂商公章的复印件。 蓝盾信息安全技术股份有限公司
关资质复印件,生产厂商盖章) ★强制认证 ★获得国家保密局涉密信息系统安全保密测评中心的《检测报告》,性能测试部分:背景流量达到1000Mbps下的检测报告,并出具加盖厂商公章的复印件。 ★获得中国信息安全认证中心颁发的符合CNCA/CTS 0050-2007《信息技术 信息安全 网站恢复产品认证技术规范》增强级认证《中国国家信息安全产品认证证书》,并出具加盖厂商公章的复印件 获得公安部颁发的《计算机信息系统安全专用产品销售许可证》,并出具加盖厂商公章的复印件 ★获得公安部计算机信息系统安全产品质量监督检验中心颁发的《WEB★销售许可证 过滤防护》检测报告,并出具加盖厂商公章的复印件 ★设备生产厂商应具有漏洞发现能力,并获得国家相关部门认可,至少曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提交证明》,不低于3份。 售后服务支持 技术支持服务 ★上述硬件平台、所有软件功能模块提供三年原厂保修和升级服务。 ★为应对网络安全事件,投标方应成立WEB安全应急处置小组进行紧急响应,响应时间:7×24小时响应。
第 16 / 19
蓝盾信息安全技术股份有限公司
第四章 附录
附录1. WAF(WEB应用防火墙)技术比较表
部署模式 蓝盾 透明部署(基于透明网桥) 策略路由(支持流量牵引 Web加速 应用层DOS 注入式攻击 有 有 SQL注入 有 无 SQL注入 命令行注入 有 有 SQL注入 xpath注入 命令行注入 跨站脚本攻击 恶意及非法编码 隐藏字段攻击 会话劫持攻击 参数篡改攻击 缓冲区溢出攻击 Cookie更改攻击 密码字典攻击 弱密码攻击 第 17 / 19
梭子鱼 桥接模式,反向代理模式,单臂模式 安恒 反向代理模式,桥模式,单臂模式 绿盟 桥模式,单臂模式 无 有 SQL注入 有 有 有 无 有 有 有 无 无 有 有 有 有 有 有 有 有 有 有 有 无 无 无 有 有 有 有 无 有 有 有 无 有 有 无 无 蓝盾信息安全技术股份有限公司
钓鱼攻击 目录遍历 扫描模块 采用核心内钳技术,支持大规模连续篡改攻击防护 WEB入侵异常检测技术 实时检测及快速恢复 断线状态下检测 专长 无 有 有 有 无 无 无 无 有 有 专用扫描工具 有 无 有 极少部分漏洞 无 无 无 有 无 有 无 有 无 无 无 有 无 应用层垃圾邮件,间谍防篡改,防攻击,IPS,IDS等网络层安全设备 Dos/DDos攻击 欺骗,病毒阻断 WAF,WEB应用及数据库安全
附录2. 在选择WAF产品时,建议参考以下步骤:
结合业务需求明确安全策略目标,从而定义清楚WAF产品必须具备的控制能力 评估每一家厂商WAF产品可以覆盖的风险类型 测试产品功能、性能及可伸缩性 评估厂商的技术支持能力
评估内部维护团队是否具备维护、管理WAF产品的必需技能
权衡安全、产出以及总成本。“成本”不仅仅意味着购买安全产品/服务产生的直接支 出,还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销。
第 18 / 19
因篇幅问题不能全部显示,请点此查看更多更全内容