安恒信息明御WEB应用防火墙产品白皮书.docxVIP

下载本文档

1
0
约6.78千字
约 8页
2025-12-23 发布于山东
举报
版权申诉

安恒信息明御WEB应用防火墙产品白皮书.docx

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

PAGE/NUMPAGES

安息明御WEB应用防火墙

产品白皮书

概述

Web是企业和用户、合作伙伴与员工的快速、高效的交流平台。Web也容易成为黑客或恶意程序的攻击目标，造成数据损失，篡改或其他平安威胁。

根据国家计算机网络应急技术处理协调中心〔简称CNCERT/CC〕的工作报告显示：?1.目前中国的互联网平安实际状况仍不容乐观。各种网络平安事件与去年同期相比都有明显增加。

2.对政府类和平安管理相关类主要采用篡改网页的攻击形式，以到达泄愤和炫耀的目的，也不排除放置恶意代码的可能，导致政府类存在平安隐患。对中小企业，尤其是以网络为核心业务的企业，采用注入攻击、跨站攻击以与应用层拒绝效劳攻击〔DenialOfService〕等，影响业务的正常开展。

1.1.常见攻击手法

目前的应用层和网络层攻击方法很多，这些攻击被分为假设干类。下表列出了这些最常见的攻击技术，其中最后一列描述了安恒WAF如何对该攻击进展防护。

表1.1:对不同攻击的防御方法

攻击方式

描述

安恒WAF的防护方法

跨站脚本攻击

跨站脚本攻击利用漏洞攻击那些访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息。

通过检查应用流量，阻止各种恶意的脚本插入到URL,header与form中。

SQL?注入

攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。

通过检查应用流量，侦测是否有危险的数据库命令或查询语句被插入到URL,header与form中。

命令注入

攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端效劳器的控制权。

通过检查应用流量，检测并阻止危险的系统或软件平台命令被插入到URL,header与form中。

cookie/seesion劫持

Cookie/seesion通常用于用户身份认证，并且可能携带用户敏感的登陆信息。攻击者可能被修改Cookie/seesion提高访问权限，或伪装成他人的身份登陆。

通过检查应用流量，拒绝伪造身份登录的会话访问。

参数〔或表单〕篡改

通过修改对URL、header和form中对用户输入数据的平安性判断，并且提交到效劳器。

利用参数配置文档检测应用中的参数，仅允许合法的参数通过，防止参数篡改发生。

缓冲溢出攻击

由于缺乏数据输入的边界条件限制，攻击者通过向程序缓冲区写入超出其长度的容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令。如获取系统管理员的权限。

用户可以根据应用需求设定和限制数据边界条件，确保不危与脆弱的效劳器。

日志篡改

黑客篡改删除日志以掩盖其攻击痕迹或改变web处理日志。.

通过检查应用流量，防止带有日志篡改的应用访问。

应用平台漏洞攻击

黑客通过得悉应用平台后，可以利用该平台的漏洞进展攻击。当应用平台出现漏洞，且没有官方补丁时，同样面临被攻击的风险。

安恒WAF将阻止的攻击，并提供平安策略规那么升级效劳，用户可以按计划进展平安应用策略升级。同时，对于高级用户，安恒WAF提供自定义规那么库的添加，可以针对某些关键字，特殊应用做特殊平安处理。

DOS攻击

通过DOS攻击请求，以到达消耗应用平台资源异常消耗的一种攻击，最终造成应用平台拒绝效劳。

可以防护所有的网络层的DoS。包括防止?SYNcookie?，应用层DOS攻击和对客户端连接速率进展限制。

HTTPS类攻击

一些狡猾的黑客通过HTTPS进展HTTPS类的攻击，由于SSL加密数据包无法进展有效的检测，导致通用的网络防火墙和普通WEB应用防火墙无能为力。

支持用户上传HTTPS证书，在WAF进展第一轮认证，并对应用流量进展解密和侦测，对HTTPS类的所有攻击进展有效的拦截和防御。

现有的防御技术

目前，很多企业采用网络平安防御技术对Web应用进展防护，如综合采用网络防火墙、IDS、补丁平安管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。2.1.传统网络防火墙第一代网络防火墙可以控制对网络的访问，管理员可以创立网络访问控制列表〔ACLs〕允许或阻止来自某个源地址或发往某个目的地址与相关端口的访问流量。传统的防火墙无法阻止Web攻击，不管这些攻击来自防火墙部的还是外部，因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答容。为了保障对web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用，因此web与其应用效劳器事实上是无平安检测和防的。状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs根底上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进展比较，从而得到该数据包