LeadsecWAF产品介绍V3.0-20110518课件.ppt

网御Web应用安全防护系统(WAF) Web防火墙 产品培训 产品管理部 刘燕岭 Web应用的安全威胁 如何防范Web的安全威胁 如何选择Web防火墙产品 网御WAF的解决方案 第一章 第二章 第三章 第四章 目录 “专攻专守”-保护Web应用安全 让每一个人放心的使用互联网！. Web应用的安全威胁 如何防范Web的安全威胁 如何选择Web防火墙产品 网御WAF的解决方案 第一章 第二章 第三章 第四章 目录 “专攻专守”-保护Web应用安全 让每一个人放心的使用互联网！. 安全威胁事件频发 平均每天200左右网站被篡改 网站挂马（地下产业链） Web安全状况不容乐观 网络安全信息与动态周报 - 2010年11月1日~11月7日 短短1周内，中国境内英文域名以.结尾的网站被篡改数量为72个，环比增长31%，截止11月8日中午12时仍未恢复的网站为21个，被挂马网站5个。 2010年上半年中国互联网网络安全报告 - 2010年9月 中国互联网络发展状况统计报告 - 2010年7月 截至2010年6月，中国的网站数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）为279万个。 面对威胁，传统防护技术的局限性 （1） 防火墙主要工作在四层以下，主要是基于包检测技术，不能实现对HTTP协议的精细控制。 防病毒产品不仅对Web应用程序中的漏洞难以识别，而且对网页中存在的恶意代码（网页木马）更是束手无策。 IPS仅是对HTTP数据包有效负载的检测分析，并不能将所有的数据包还原组装成数据流或具体的内容进行基于关键字或具体内容的检测分析与特征提取。比如Cookie篡改、会话劫持，IPS都不能较好的进行防护。 网页防篡改软件 静态备份技术，不适用动态网站 无法应对SQL注入、XSS攻击等检测与拦截 面对威胁，传统防护技术的局限性 （2） Web应用的安全威胁 如何防范Web的安全威胁 如何选择Web防火墙产品 网御WAF的解决方案 第一章 第二章 第三章 第四章 目录 “专攻专守”-保护Web应用安全 让每一个人放心的使用互联网！. Web防火墙（WAF）定义 技术 起源 工作机制 范围 应用安全 传统网络防火墙 OSI网络模型，提供协议保护 网络端口阻断 UDP/TCP状态 网络协议 协议执行 传统IPS 提供基于规则的网络保护 基于规则的检测 阻断连接 UDP/TCP状态感知 网络协议 网络应用 增强的访问控制 URL检测 支持众多应用规则 WAF 提供HTTP/HTTPS 应用保护 URL 标准化 HTTP会话状态感知 上下文管理 HTTP/HTTPS 应用 基于上下文的安全模型 自适应规则（学习能力） 内容控制 防篡改、防盗链、防DoS WAF产品的技术路线 技术路线 2007. 01 异常检测协议 WAF对HTTP的请求可执行某种异常检测，拒绝不符合Http标准的请求。甚至， WAF还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。 增强的输入验证 很多WEB程序员用JavaScript在浏览器上实现输入验证。而浏览器只是一个用 户控制的简单工具，因此攻击者可以非常容易地绕过输入验证，直接将恶意代 码输入到WEB应用服务器。在服务端进行输入验证是解决上述问题的正确方 法。如果这个方法不能实现，还可以通过在客户和应用服务器之间增加代理， 让代理去执行Web页面上嵌入的JavaScript，实现输入验证。 Cookies保护 WAF通常会将cookies整个内容加密，或者是将整个cookies机制虚拟化。 抗入侵规避技术 基于网络的IDS对付WEB攻击的问题就是攻击规避技术。WAF每次可 以看到整个HTTP请求，所以能够将动态请求和静态请求分别对待避免 所有类型的HTTP请求分片的攻击。这样WAF可以有足够的计算能力 对付各种攻击规避技术。 响应监视和信息泄露保护 信息泄露防护是我们给监视HTTP输出数据的一个名称。从原理上来说 它和请求监视是一样的，目的是监视可疑的输出，并防止可疑的HTTP 输出数据到达用户。另外，这个技术的另一项应用是发现成功入侵的 迹象。在攻击者没有完全掌控服务器而仅仅尝试WEB应用的安全漏洞 的情况下，这项技术可以起到防护效果。 Web应用的安全威胁 如何防范Web的安全威胁 如何选择Web防火墙产品 网御WAF的解决方案 第一章 第二章 第三章 第四章 目录 “专攻专守”-保护Web应用安全 让每一个人放心的使用互联网！. WAF产品之功能选择篇 Web虚拟服务 通过部署WAF来管理多个独立的Web应用，各Web应用可采用不同的安全策略，可在不修改用户网络架构的