天融信WEB应用安全网关系统-产品白皮书.pdf

R e l i a b l e N e t w o r k . S a f e W o r l d . 天融信WEB应用防火墙TopWAF 产品概述 Product Introduction 随着互联网快速的发展，诸多相关业务逐渐向WEB应用平台迁移，如 电子政务、网上银行、电子商务、网上营业厅等WEB应用已经在政府、高 校、金融、能源、电信等行业得到了广泛应用。WEB应用技术的迅速发展 和广泛应用，使得针对WEB业务的攻击也愈发频繁，WEB安全问题也日益 严峻。TopWAF是天融信凭借在网络安全领域多年的技术积累，开发的 WEB应用防火墙产品。TopWAF可以提供WEB应用攻击防护、DDOS防御 、URL访问控制、网页防篡改、Web漏洞扫描等功能，能够有效抵御针对 WEB应用的各类威胁，为用户提供综合Web应用安全解决方案。 产品特点 Product Features 先进的全并行安全系统 TopWAF基于天融信NGTOS 64位安全操作系统，NGTOS安全操作系 统采用了先进的多路多核架构。NGTOS的各数据平面单独占用一个CPU核 精准的Web应用攻击防护 心，且各数据平面具有独立的协议栈，保证随着CPU数量的增加，业务性 TopWAF通过对Web应用流量双向深度检测，为Web应用提供精 能线性增长。为实现高性能的应用安全检测和防护需求，NGTOS使用了兼 准、细致的攻击防护能力，阻止如SQL注入、XSS、CSRF等攻击，有效 容TCP/IP特性的用户态的协议栈，且避免了传统内核态协议栈在业务处理 应对OWASP Top 10定义的威胁及其变种。在请求方向，Top WAF 在 过程中操作系统上下文切换和内核空间到用户空间的数据拷贝，将系统效 攻击数据到达Web服务器之前，对请求重组、规范、解码，检查其合法 率推向极致。通过该协议栈跟踪IPV4/IPV6的会话，TopWAF具备基于目 性及合规性，防止恶意请求或者内置了恶意代码的请求访问Web应用。 标服务器操作系统的强大的报文重组能力，即使攻击报文是逐个字节发送 TopWAF对输入的各种编码和字符集进行的全面标准化和归一化，有效防 给目标服务器，TopWAF依然可以可靠的阻断攻击。 御各种编码及字符变形的攻击绕过。对于响应方向，TopWAF隐藏Web站 点源信息，如HTTP头信息、URL返回码等，以延缓黑客攻击进展。除反向 防护模型外，TopWAF通过自学习双向数据（请求/响应）功能可以建立正 向防护模型 ，智能应对未知威胁。此外，Top WAF支持敏感信息防泄露， 可对身份证、电话、银行卡及关键字等类型响应信息进行拦截，保护用户 隐私和机密数据。 归一化的防护引擎 TopWAF支持流模式引擎解析，重组HTTP协议，并不需要终结HTTP连 接。在不更改用户网络拓扑条件下，TopWAF提供了一个对于应用程序和 网络完全透明的Web安全防护解决方案。同时该方案相对于代理模式吞吐 能力更强，延时更低，更适合对处理性能要求高、时延敏感的场景。此外 ，TopWAF防护引擎采用了精准的算法，实现攻击指纹库以及响应数据