产品简介
新一代Web应用防火墙
──抵御来自应用层的威胁
铱迅Web应用防护系统(也称:铱迅网站应用级入侵防御系统,英文:Yxlink Web Application Firewall,简称:Yxlink WAF)是铱迅信息结合多年在应用安全理论与应急响应实践经验积累的基础上,自主研发的一款应用级防护系统。在提供Web应用实时深度防御的同时,实现Web应用加速与防止敏感信息泄露的功能,为Web应用提供全方位的防护解决方案。
产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及Web应用的各个行业。部署铱迅Web应用防护系统,可以帮助用户解决目前所面临的各类网站安全问题,如:注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、应用层CC攻击、DDoS攻击等常见及最新的安全问题。
特 色 功 能 简 介
高性能攻击特征检测引擎
铱迅自主知识产权的快速攻击特征检测引擎(英文:Yxlink Fast Attack Detect Engine,简称:Yxlink FADE),支持千万级别的并发连接、四十万级别的每秒新建HTTP连接,轻松应对电信级的Web应用处理首创“攻击混淆解码引擎”针对Web攻击的各种编码、特征变换进行迅速、准确的解码处理、防止被绕过再次攻击、十余年Web安全攻防研究经验,拥有超过万名用户验证的实战型规则库,抵御OWASP TOP 10攻击,解决0Day攻击,有效应对新型攻击
支持包过滤、阻断、入侵检测等防御手段,采用多检测引擎并发处理流量数据返回报文Gzip解码检测,支持chunked encoding
网站统计
交互式统计视图地域视图可按国家、省、市交互式体现
可以统计客户端访问的浏览器、操作系统信息
可以统计客户端访问来自于哪些搜索引擎、搜索词以及访客排行,以便用户更好的了解自己网站的访问信息
网络层即插即用
软硬件的即插即用式设计,无需管理员进行复杂的配置;对于标准的Web业务系统,可以达到接入即防御的能力
智能阻断
设备将根据设定的触发条件,动态识别频繁尝试入侵的来源IP地址,并在一段时间内拒绝该IP地址对网站的入侵行为和正常访问
BYPASS支持及高可用性
支持电口、光口(某些型号)软、硬件Bypass,在设备断电或者异常故障情况下,保证网络传输直连,保障业务系统的正常访问
支持双机热备部署(HA),自动检测网络是否正常,发生异常时可切换到备机继续运行,保证了无单点故障,使业务系统具有7×24小时的可用性
多功能报表
攻击类型、攻击次数、攻击来源的自定义统计
Webshell脚本木马统计
Webshell脚本木马与攻击事件关联统计
网站访问统计、流量统计
功能简介
Web应用安全防护
防御黑客Web攻击:如SQL注入、XSS跨站脚本、CSRF、远程包含漏洞利用、Cookie劫持
防御非法HTTP请求:如PUT、COPY、MOVE等危险HTTP请求
防御脚本木马上传:如上传ASP/PHP/JSP/ASP.NET脚本木马
防御目录遍历、源代码泄露:如目录结构、脚本代码
数据库信息泄露:SQL语句泄露
防御服务器漏洞:如IIS代码执行漏洞、Lotus缓冲区溢出漏洞等
防御网站挂马:如IE极光漏洞
防御扫描器扫描:如WVS、Appscan等扫描器的扫描
防御DDOS攻击:自动进行流量建模,自定义阈值,抵御SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood等
防御CC攻击: 如HTTP Flood、Referer Flood,抵御Web页面非法采集
URL自学习建模保护
自动网站结构抓取:自动抓取网页结构并建立相关模型
访问流量自学习:根据正常访问流量建立模型
自动建立URL模型:自动建立可信的URL数据模型与提交参数模型
URL模型自定义:支持模型自定义以及对自动建立模型的修改
网页防篡改
实时监控网页请求的合法性,拦截篡改攻击企图,保障网站公信度;防篡改模块运行在WAF中,不占用主机资源,隐藏自身,提高安全性
应用层ACL高级访问控制
设置精确到URL级别的目的、来源IP的访问控制
支持针对防御规则的高级访问控制:具有5种状态控制
内置50多种搜索引擎保护策略
可制定计划任务,根据时间段进行访问控制
网络虚拟化
支持使用单个公网IP地址,绑定多个主机头名。自动根据主机头名的不同,将HTTP流量分发到内网多台Web服务器中
网站加速与维护
内置Web应用漏洞扫描器:采用多并发,自动分析扫描引擎,超过5万多条的Web漏洞经验库,支持扫描SQL注入、XSS跨站脚本、CGI漏洞等
Web应用层负载均衡:可设置多台服务器进行Web业务流量的负荷分担,具有自动流量分配、会话保持、离线感知等功能
Web流量数据硬件压缩:Web流量数据硬件GZIP在线压缩,HTTP硬件加密
页面访问统计:精确统计Web应用多维度,多视角的智能统计分析,全面了解Web服务和应用,最大限度发挥信息化的价值,提升信息化建设的软技能;增值信息、服务决策、提高Web服务的效能
关键字过滤:采用WM算法的关键字过滤,反低俗、反暴力、反毒品、反色情、防敏感信息泄密是网站内容建设时要解决的重点问题;等级保护、分级保护、金融法规、扫黄打非等政策法规,都对此有明确严格的要求和约束,内容安全牵涉到网站的公信力和主管单位部门的执行力,影响重大。铱迅Web应用防护系统让网站符合国家政策法规,满足合规性要求
“铱迅Web应用防护系统”主要防包括:
1、黑客攻击防护
SQL注入攻击(包括URL、POST、Cookie等方式的注入)
SQL注入攻击(包括URL、POST、Cookie等方式的注入)
XSS攻击
Web常规攻击(包括远程包含、数据截断、远程数据写入等)
命令执行(执行Windows、Linux、Unix关键系统命令)
危险存储过程执行
缓冲区溢出攻击
恶意代码
“零日”攻击
2、违反策略防护
非法HTTP协议
URL-ACL匹配
3、BOT防护
攻击性爬虫(蜘蛛)行为
Web漏洞扫描器行为如Acunetix Web Vulnerability Scanner扫描。
黑客工具行为,如pangolin。
4、应用层洪水攻击
UDP Flood
ICMP Flood
5、网页防篡改
本设备的网页防篡改功能,对网站数据进行监控,发现对网页进行任何形式的非法添加、修改、删除等操作时,立即进行保护,恢复数据并进行告警,同时记录防篡改日志。
支持的操作系统:
Windows 2000、Windows 2003、windows 7、windows 2008 32bit/64bit
Linux(CentOS、Debian、Ubuntu)
Solaris、AIX、IRIX、HP、Sun ONE、iPanet
FreeBSD、MacOS
WebSphere
Tomcat、Resin
WebLogic
Apache
JRUN2
Borand AppServer
6、数据库防篡改
本设备�����的数据库防篡改功能�����,对数据库数据进行监控�����,发现对数据库进行任何形式�����的非法添加�����、修改�����、删除等操作时�����,立即进行保护�����,恢复数据并进
行告警���,同时记录防篡改日志���。
澳门快3官方下载
支持�������的数据库系统:
SQL Server 2000
澳门快3官方下载
SQL Server 2005
MySql
7、HTTP SSL安全加密、攻击过滤
HTTP SSL安全加密:提供硬件的SSL加密功能,Web服务器只需要开启80端口,然后在本设备的代理中添加SSL证书,并指定Web服务器的80端口。用户只要访问本设备的443端口,就可以达到对HTTP数据流的加密。
攻击过滤,可以过滤在HTTPS会话中的攻击行为,为Web服务器与数据库服务器提供安全保障。
8、防CC攻击
来源IP防CC
Referer防CC
特定URL防CC
设定阻止访问的时间
二.“铱迅Web应用防火墙”高度可配的防护规则
1、自定义规则
提供用户编写自己的规则;
支持字符串快速查找与PCRE正则查找。
2、访问控制
精确到IP,IP段,域名,特定URL,生效时间的访问控制设置
3、关键词过滤
双向、单向(可选)替换关键词为****
4、自动通知
在内置存储空间快接近最大容量时发送电子邮件提醒用户。
用户可以手工导出日志或者清空过去的部分日志。
(注:若用户不予清理,防火墙将执行自动清理过去的部分日志)
5、防火墙拦截方式设置
阻断——拦截尝试入侵的数据报文,并将入侵者的IP封掉一段时间。
包过滤——拦截尝试入侵的数据报文,不阻断入侵者的IP。
入侵检测——-仅记录入侵的数据报文,但不进行过滤和阻断
全部放行——停用本防火墙,对所有数据报文一律放行。
6、防火墙过滤端口设置
用户可以自己填写需要过滤的HTTP端口。
如需要过滤80端口以外,还可以选择过滤8080端口。
7、防火墙检测方式设置
用户可以选择检测双向的数据或者流入的数据。
8、阻断方式设置
用户可以设置检测到攻击后,对某个IP的阻断时间。
三.统计功能
1、入侵统计
2、网络流量统计
3、浏览页面统计
4、系统状态
三.“铱迅Web应用防火墙”的日志与报表功能
1、告警日志
对每次攻击记录包括攻击时间、攻击者的IP、物理地址等。
2、审计日志
对Web应用防火墙硬件的每次操作进行记录。
3、系统日志
记录硬件防火墙的运行状态。
4、报表
将系统的运行情况生成报表。
四.数据备份、导出
1.入侵日志导出
2.审计日志导出
3.系统日志导出
主要部署方式
1.透明网线模式
2.混合部署模式机模式
3.旁路反向代理模式
4.路由模式
5.混合加密部署模式
6.单IP虚拟化部署模式
“铱迅Web应用防护系统”(下文称:“Yxlink WAF”)支持多种灵活的部署方式,如透明网线模式、旁路反向代理模式、路由模式、混合部署模式、虚拟化部署模式。
其中,“铱迅Web应用防护系统”的透明网线模式尤为出色,管理员在不需要修改原网络拓扑结构的情况下,“铱迅Web应用防护系统”相当于一根网线串入网络中,对Web攻击进行防御。而混合部署模式更是对较为复杂的网络应用环境提供了更加人性化的均衡部署能力。
“铱迅Web应用防火墙”的透明网桥模式,与其他同类产品相比,有着先天的优势:
1.透明网线模式
透明网线模式指在两台运行的设备中间插入“铱迅Web应用防护系统”,但是对流量并不产生影响。在透明网线模式下,“铱迅Web应用防护系统”可以阻断、过滤来自Web应用层攻击,而让其他正常的流量通过。透明网线部署模式的最大特点是快速、简便,对于标准的Web应用(基于80/8080端口的Web应用),可做到即插即用,先部署后配置。
采用“铱迅Web应用防护系统”透明网线模式部署模式主要应用于如下五种场景:
1)单一混合型服务器(Web应用、DB在同一台服务器上)
2)单一分离式服务器(Web应用、DB采用不同的服务器部署,但Web服务器只有一台)
3)集群式Web服务器(多台集群型Web服务器)
4)半分散式Web服务(Web服务器分布在局域网的部分子网中)
5)全分散式Web服务(Web服务器几乎分布在局域网的任何子网中)
1)单一混合型Web服务部署模式
单一混合型Web服务主要体现在采用一台服务器提供Web服务,在该服务器同时存在数据库服务,这种情况主要适用于中小型企业的Web服务器模式。在这种网络结构下,可直接将“Yxlink WAF”串接在服务器的前端,如下图显示:
2)单一分离式Web服务部署模式
单一分离式Web服务主要体现在采用一台服务器提供Web服务,同时采用另一台服务器提供数据库服务,网站的Web服务和相关的数据库服务分布在不同的服务器上。这种情况主要适用于中小型企业的Web服务器模式。在这种网络结构下,可直接将“Yxlink WAF”串接在Web服务器和DB服务器所在的交换机前端,如下图显示:
3)集群式/集中式Web服务部署模式
集群式/集中式Web服务:集群式Web服务采用多台Web服务器负荷分担提供同一Web服务;集中式Web服务主要体现在不同的Web服务器放置在同一网段或者相邻的网段内,但不同的Web服务器可能提供多样的Web服务。这种情况多数应用于中大型企业的Web服务器模式,或者是IDC。在这种网络结构下,可直接将“Yxlink WAF”串接在Web服务器群所在子网交换机前端,如下图显示:
4)半分散式Web服务部署模式
半分散式Web服务:在局域网中存在各种不同的Web应用服务,并且这些Web应用服务器分散在不同的子网中;比如:公司有整体的Web服务集群,同时,各个部门还有各自的Web服务器,而这些服务器分布在不同的子网中,如果想对这些Web服务器进行保护,需要将“Yxlink WAF”部署在这些Web服务器所在网络的边缘,如下图显示:
5)全分散式Web服务部署模式
全分散式Web服务:在局域网中存在各种不同的Web应用服务,并且这些Web应用服务器分散在几乎全部的子网中;比较常见的案例:IDC机房,这时,需要将“Yxlink WAF”部署在局域网边缘,一般部署在主交换机同主路由器之间,如下图显示:
2.混合部署模式机模式
混合部署模式是透明网线模式和旁路反向代理模式混合的部署方式,这种方式具有部署简便,配置较为容易等特点,特别适用于具有中心机房,但同时在不同的地点分散着个别Web服务器的情况,设备部署位置一般同“集群式/集中式Web服务”,是半分散和全分散服务部署模式的替代部署模式,为管理员提供了更加人性化的管理方式。具体部署如图:
3.旁路反向代理模式
旁路反向代理模式,可以将铱迅Web应用防护系统与Web服务器置于内网的交换机下,访问Web服务器的所有请求都通过“Yxlink WAF”流入流出。然而,这种模式下,Web服务器无法获取访问者的真实IP地址,需要借助HTTP报文中设置相应的字段来表示访问者IP地址,这样需要修改原有的HTTP报文。同时这种模式下将无法开启Bypass功能,因此除非在迫不得已的情况下,请谨慎使用旁路反向代理模式部署,推荐使用透明网线的部署方式。但为了同一些老式Web应用防护系统相兼容,可采用旁路方向代理模式进行部署,具体部署图如下:
4.路由模式
通过配置策略路由,只将HTTP流量发送到“Yxlink WAF”。
5.混合加密部署模式
混合加密部署模式:混合部署模式的增强形式,支持HTTP/HTTPS。这种部署方式的特点与混合部署模式基本相同。它的工作原理是将原来由Web服务器完成的SSL加密、解密工作,现在交给“Yxlink WAF”来完成,即“Yxlink WAF”执行SSL加密、解密工作,因此需要将原来Web服务器上的SSL证书导入到“Yxlink WAF”中,同时将Web服务器上的HTTP服务端口开启,比如80端口。具体部署如图:
6.单IP虚拟化部署模式
为了网站安全考虑,需要在一台真实主机内安装多台虚拟机,每个虚拟机里面会有1台Web服务器。但是一般情况下,很难给每个虚拟机提供一个公网IP地址。“铱迅Web应用防护系统”可以在监听80端口请求时,根据不同的主机头名,将请求分配到不同的虚拟机的80端口上,从而解决了单公网IP对应多个虚拟机的问题。
