[计算机]黑盾WEB应用防护抗攻击系统白皮书.docVIP

黑盾WEB应用防护抗攻击系统 技术白皮书 文档信息 文档文档编号 保密级别 制作日期2010-9 作者 LCM 版本号 版本号扩散范围 扩散批准人 版权说明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属有限公司所有，受到有关产权及版权法保护。任何个人、机构未经有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 随着计算及业务逐渐向数据中心高度集中发展，Web业务平台已经在各类政府、企业机构的核心业务区域，如电子政务、电子商务、运营商的增值业务等中得到广泛应用。 当Web应用越来越为丰富的同时，Web 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生。据CNCERT/CC的统计数据显示，2009年全年，我国大陆有4.2万个网站被黑客篡改，其中被篡改的政府网站2765个。 这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。各类网站客户已逐渐意识到Web 安全问题的重要性，但传统安全设备（防火墙/UTM/IPS）解决Web应用安全问题存在局限性，而整改网站代码需要付出较高代价从而变得较难实现. 防火墙，UTM，IPS能否解决问题？ 企业一般采用防火墙作为安全保障体系的第一道防线。但是，防火墙的不足主要体现在：防火墙作为访问控制设备，OSI模型三、四层，基于IP报文进行检测。它就无需理解Web应用程序语言如HTML及XML，也无需理解HTTP会话。因此，它也不可能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。 有一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，但局限于最初产品的定位以及对Web应用攻击的研究深度不够，只能提供非常有限的Web应用防护。 随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足。入侵检测系统IS/综合安全网关UTM是近几年来发展起来的一类安全产品它弥补了防火墙的某些缺陷，随着网络技术的发展，IS/UTM在WEB专用防护领域已经开始力不从心。 Web应用防火墙 Web应用防火墙（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。 产品概述 为了弥补目前安全设备，如防火墙对Web应用攻击防护能力的不足，我们需要一种新的工具用于保护重要信息系统不受Web应用攻击的影响。这种工具不仅仅能够检测目前复杂的Web应用攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品，必须具备更细粒度的攻击检测和分析机制。 黑盾WEB应用防护抗攻击系统，是福建省海峡信息技术有限公司自主知识产权的新一代安全产品，作为网关设备，防护对象为Web、Webmail服务器，其设计目标为：针对安全事件发生时序进行安全建模，分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。 事前，黑盾WEB应用防护抗攻击系统提供Web应用漏洞扫描功能，检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DD.o.S攻击进行有效检测、阻断及防护。事后，针对当前的安全热点问题，网页篡改及网页挂马，提供诊断功能，降低安全风险，维护网站的公信度。 黑盾WEB应用防护抗攻击系统提供了业界领先的Web应用攻击防护能力，通过多种机制的分析检测，黑盾WEB应用防护抗攻击系统的技术能够有效的阻断攻击，保证Web应用合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。同时，针对当前的热点问题，如SQL注入攻击、网页篡改、网页挂马等，按照安全事件发生的时序考虑问题，优化最佳安全-成本平衡点，有效降低安全风险。 黑盾WEB应用防护抗攻击系统，具备以下特性： 应用多维防护体系，有效应对SQL注入、跨站脚本及其变形攻击，提供细粒度应用层DD.o.S攻击防护 网页防篡改系统支持, 支持Linux、Windows、BSD系统 Web加速/HTTPS引擎加速支持 实时检测网页篡改，降低网站安全风险 提供挂马主动诊断功能，维护网站公信度 敏感信息扫描和过滤 透明安全检测 支持虚拟主机、负载均衡部署，适合IDC