WAF增值产品介绍(20180209).pptVIP

* * * * IMPERVA WAF 增值产品功能介绍 * 1 3 CONTENTS WAF产品功能存在的不足之处 2 上海联阳的解决方案 产品功能简介 目录 * * 1 ＰＡＲＴ * WAF产品功能存在的不足之处 告警界面复杂，对运维人员要求高 整体告警界面复杂不友好，需要运维人员了解WAF中专业名词的含义、有WEB安全常识、熟悉HTTP报文首部字段含义、才能并看懂并理解策略的含义、才能有效的查找告警、添加例外做调优 * 告警界面复杂，对运维人员要求高（续） 有效的告警筛选，定制化的告警策略，攻击日志的细节查看等，都对运维工程师提出了较高的要求。 * 日志聚合后呈现的违规报文数量有限（30-50条） WAF可以对命中策略的报文做聚合，系统设计对聚合过后的详细违规报文只保存最初的30-50条，之后的报文详细内容是无法查看的。 * WAF系统日志保存功能无法满足客户的需求 WAF管理服务器中有2张表用于存储告警日志，共50万笔记录，即 可存储50万条违规（HTTP报文），当两张表格写满后，会根据日期自 动清除旧的的违规操作日志，没有界面呈现日志的存储状况，无法满足 中国目前大多数客户的日志审计存储的需求 * 报表种类较少，界面不友好 报表种类较少，可呈现的内容不丰富，可视化效果较差。例如左图： 导出TOP10的X轴违规名称和Y轴违规数量文字显示不友好，违规名称以及自定义名称无法从子集合中选取呈现 * 2 ＰＡＲＴ * 上海联阳的解决方案 品顿WAF日志分析监控软件 * 联阳公司技术团队有多位IT安全运维管理及安全优化方面的专家，对Imperva WAF产品有着丰富的实施和运维经验，自主研发了一款WAF日志分析软件，不但解决了Imperva WAF目前存在的一些运维方面的痛点，而且增加了多种安全运维功能。 品顿WAF日志分析监控软件 * WAF现状 运维痛点 以弈方案 告警界面比较复杂 只有手动设定告警阀值，告警界面不友好 对运维工程师专业技能要求高 精细化告警策略配置和筛查复杂 系统具备主动学习能力，可以依据历史资料自动分析安全事件出现Hit Count次数的突增，以报表型态呈现趋势图并自动告警帮助客户发现潜在的安全问题和漏洞 命中策略的报文聚合后，呈现30-50条最初的违规报文 呈现的重要违规报文太少 界面没有drill down，对重要的违规报文详细内容查看困难 系统对WAF聚合后违规报文做全量保存和实时查询 界面可以drill down，实时查看每一条重要的违规报文的详细内容 没有安全攻击事件的可视化实时监控功能 缺乏安全攻击事件可视化呈现 只有Imperva自身的信誉库，缺乏国内第三方权威的信誉库（威胁情报） 系统内建安全攻击可视化界面。 攻击态势地图按照地理位置有世界地图和中国地图，同时会有攻击的热力图 系统内嵌了第三方权威“威胁情报”，确保呈现完全真实的安全攻击(恶意URL，恶意IP，恶意host)。 WAF管理服务器中有2张表用于存储告警日志，可存储50万条违规（HTTP报文），当两张表格写满后，会根据日期自动清除旧的的违规操作日志 重要日志存储量不够，无法安全运维的事后的审计需求。 无法满足监管机构对日志审计的要求 系统可以对imperva WAF全量日志做保存，日志至少可以保存1年以上 完全满足安全运维和监管机构的日志审计需求 系统单机的系统处理能力（EPS）: 10000EPS 可以对日志关键字做简单查询 可制定的多个查询条件进行组合查询能力低，查询速度慢 日志查询速度无法满足安全运维的要求 支持可制定的多个查询条件进行组合查询 支持任意关键字对所有安全事件进行高性能全文检索 极高的日志查询性能，支持亿级的日志里根据任意的关键字及其他的查询条件，在秒级里返回查询结果 报表呈现内容简单 报表的种类单一，简单，无法满足安全运维的要求 报表呈现界面较差，精细度不够，报表内容不丰富 系统提供丰富的报表，对WAF多维度的日志数据做统计和呈现 主要的报表如下：基于应用的统计（Top URL）基于应用的统计（业务异常）、DLP统计、攻击分类排名、扫描主机攻击分类、SQL注入，xss攻击来源，攻击分类统计等 3 ＰＡＲＴ * 产品功能简介 主要功能 * 攻击态势图，基于信誉库匹配，过滤出真实攻击 安全攻击事件的分类统计 辅助业务监控 实时的全日志搜索引擎 自动告警 丰富的报表从多纬度对WAF的安全事件做统计和呈现 攻击态势图，基于信誉库匹配，过滤出真实攻击 * 攻击态势地图按照地理位置有世界地图和中国地图，同时会有攻击的热力图。系统除了Imperva自身的信誉库之外