从安全角度考虑,针对目前泛滥的SQL注入、跨站脚本、应用层DDoS等Web应用攻击,提供有效检测、防护,降低攻击的影响,最为理想情况,解决根本问题是对Web应用代码进行整改,严格遵循安全编码,确保网站安全。但通常,我们会发现为此付出的代价过大,对正常业务开展有很大影响。
铱迅Web应用防火墙(Yxlink Web Application Firewall, 简称:Yxlink WAF)代表了全新的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
在各个级别上,安全引擎都可以立即阻止通信或连续监测特定 IP、应用程序用户和会话,以供将来阻止。安全引擎是负载检查和处理定向至受保护服务器的通信的模块。安全引擎包含多个安全层,大致与 OSI 模型对应,从较低级别的网络安全层(防范基于网络的攻击)开始,通过协议和基本应用功能(例如:HTTP 协议合规性和应用程序攻击特征码)一直到高级别的保护(例如:应用程序特征和关联攻击验证)。
防御黑客攻击,如SQL注入、代码执行、跨站脚本攻击等, 防御非法HTTP请求, 防御缓冲区溢出、攻击蜘蛛, HTTP加密数据过滤防护, 防御DDOS、CC攻击, 非法关键词过滤, URL自学习建模保护, 自动抓取网页结构并建立相关模型, 自动建立可信的URL数据模型与提交参数模型。
支持扫描SQL注入、XSS跨站、通用CGI漏洞等, 支持批量扫描任务。
Web负载均衡、自动热备, Web数据硬件压缩加速, HTTPSSSL硬件加密, 网页防篡改, 动态、静态网页防篡改, 网站自动恢复.
支持单个公网IP,对应多虚拟机的HTTP端口(一般为80端口), 支持根据主机头名,将HTTP请求分配到不同虚拟机中.
门户网站、新闻发布系统、运营商网厅等, OA系统、Web电子邮箱系统等, 电子政务系统、政务公开系统等, 高校教务系统、图书馆查询系统、学生选课系统等.
Yxlink WAF提供了灵活和丰富的内置规则库,以满足各种用户的需要。一个WAF安全策略由一系列的规则集组成,每一个规则集定义了对一个具体的攻击采用什么样的响应动作。Web管理界面提供了按照攻击的严重级别、攻击的分类、规则的使能状态、响应动作进行规则配置处理的手段,大大简化了用户的操作
通过规则库匹配,Yxlink WAF能够对攻击行为的防护:
传统的Webshell上传防护是通过特征库匹配方式来辨别木马、后门,但是特征库是有限的,如果特征库中没有该特征,或者对Webshell木马稍加改动,即可绕过防护设备。
铱迅Web应用防护系统的Webshell上传防护,并不是基于传统特征库匹配方式,而是采用独创的文件内容检测机制,通过智能算法进行数据挖掘,识别未知的Webshell木马上传行为,自动对系统Webshell木马,进行实时探测并拦截,从而大大降低被绕过的风险。同时提供用户对疑似木马的下载接口,便于用户下载人工分析文件内容。
通过流量学习或者主动页面抓取分析,对网站的动态提交参数进行建模。如提交参数为数字型时,WAF自动建立安全策略,限定提交参数仅允许是数字,提交非数字数据即视为非法攻击,提升网站的安全防护水平。
很多情况下,服务器的报错信息会暴露网站的绝对或相对路径、网站部分源码、SQL语句信息等,WAF自动对回显的错误信息进行过滤,禁止外界可以看到服务器报错信息,有效对数据库内部信息进行防护。
针对高端用户,还提供了自定义和编写规则内容的功能。用户可以编写自己的规则,支持字符串快速查找与PCRE正则查找。
铱迅Web应用防护系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。Yxlink WAF装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知WEB应用攻击,保证第一时间检测到攻击行为。
通过铱迅独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。而铱迅的Web应用防火墙可以准确的模拟TCP/IP栈进行完整重组数据包。
铱迅Web应用防护系统可以有效防止黑客利用大小写变换、ASCII编码、UNICODE编码、注释、混淆等方式绕过检测引擎。铱迅内置的解码模块可以将复杂编码后的数据还原为最基本的数据格式进行匹配。
铱迅Web应用防护系统可以通过人工智能的方式识别”注入攻击”中使用的SQL语句,识别SQL语法结构,而不是通过简单的select/insert/update等简单的SQL关键词的字符串匹配。在对攻击的识别和准确率上可以大大提升。
“铱迅Web应用防护系统”(下文称:“Yxlink WAF”)支持多种灵活的部署方式,如透明网桥模式、旁路反向代理模式、路由模式、混合部署模式、虚拟化部署模式。
其中,“铱迅Web应用防护系统”的透明网桥模式尤为出色,管理员在不需要修改原网络拓扑结构的情况下,“铱迅Web应用防护系统”相当于一根网线串入网络中,对Web攻击进行防御。而混合部署模式更是对较为复杂的网络应用环境提供了更加人性化的均衡部署能力。
透明网桥模式指在两台运行的设备中间插入“铱迅Web应用防护系统”,但是对流量并不产生影响。在透明网桥模式下,“铱迅Web应用防护系统”可以阻断、过滤来自Web应用层的攻击,而让其他正常的流量通过。透明网桥部署模式的最大特点是快速、简便,对于标准的Web应用(基于80/8080端口的Web应用),可做到即插即用,先部署后配置。
旁路反向代理模式,可以将铱迅Web应用防护系统与Web服务器置于内网的交换机下,访问Web服务器的所有请求都通过“Yxlink WAF”流入流出。然而,这种模式下,Web服务器无法获取访问者的真实IP地址,需要借助HTTP报文中设置相应的字段来表示访问者IP地址,这样需要修改原有的HTTP报文。同时这种模式下将无法开启Bypass功能,因此除非在迫不得已的情况下,请谨慎使用旁路反向代理模式部署,推荐使用透明网桥的部署方式。但为了与一些老式网络环境相兼容,可采用旁路方向代理模式进行部署,具体部署图如下:
通过配置策略路由,只将需要HTTP/S流量发送到“Yxlink WAF”进行过滤,再将过滤后的HTTP/S流量送入网络。
