需求分析
随着互联网技术的迅猛发展,许多用户的关键业务越来越多地基于WEB应用,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来。因此,如何有效保护WEB服务器安全已经成为了重大挑战。相比于传统的系统攻击,WEB应用攻击的技术门槛不高,并且在互联网上有越来越多的自动化攻击工具和攻击教程,进一步降低应用攻击的难度;再加上网站开发人员大多缺乏网络安全意识,在网站发布前又没有有效的安全测试机制,使得WEB网站应用漏洞比较普遍存在;近年来,包括乌云,360补天等漏洞平台也公布了大量网站的WEB应用漏洞,其中不乏电商、金融类等安全要求和安全控制水平比较高的网站。
产品简介
■ 应用级综合防护系统
爱思考WEB应用防火墙是北京爱思考科技有限公司结合多年在应用安全领域理论研究与攻防实践经验积累的基础上,自主研发的新一代应用级综合防护系统。保护您的WEB网站免受众多已知或未知的应用层攻击,诸如SQL注入、XSS跨站、木马上传、CC攻击等。
■ 解决应用安全问题
爱思考WEB应用防火墙能够帮助用户解决目前所面临的各类常见及最新的应用安全问题,同时满足如等级保护、行业规范等政策法规的安全建设要求。
■ 多种不同硬件型号
爱思考WEB应用防火墙拥有多种不同硬件型号,充分满足各种类型客户需求,提高WEB业务的可用性和安全性,确保WEB业务能够快速、安全、可靠地运行。
产品优势
强大的攻防能力
(1)多年安全策略积累,专业安全团队,规则误报率低。
(2)Web 0day漏洞补丁24小时内全国同步。
(3)OWASP TOP10精确防护,智能攻击者锁定,智能补丁,驱动防篡改,全方位防护网站安全。
简单的应用部署
(1)透明部署、即插即用。
(2)站点自动发现,降低配置复杂度。
(3)配置变更平滑,安全应用不影响客户业务。
高效的处理性能
(1)基于插件式的高效策略处理引擎。
(2)性能与规则数量无关,高性能不牺牲安全。
增值的核心功能
(1)实时对http站点进行https加密与防护。
(2)智能防护,实时封锁恶意攻击者。
(3)智能学习,智能学习站点,定制防护策略。
(4)IPV6站点防护支持。
从安全发展的趋势来看
近些年安全对抗的主战场已经从网络层转向应用层。据统计,目前大部分的攻击都是基于应用层的攻击,有超过75%的攻击方式是基于WEB安全漏洞,因此,如何有效解决应用安全问题,是亟待解决的重要问题。
从安全防护层面来说
目前大部分的安全防护措施还是在网络层,传统的防火墙、IPS、IDS等安全设备主要是针对网络层攻击进行检测,或者做常规的访问权限控制。虽然这几年业界对应用安全的认识有了明显提升,但从应用防护的资源和设备投入上,还是比较欠缺,安全防护体系建设明显存在滞后性。
从攻击特点来说
传统的系统、网络层防护具有通用性,系统层面的漏洞利用不是很灵活,容易总结出攻击特征,从而基于特征进行快速检测,这种方式是比较传统并且是比较有效的方式。但是在应用层,每种应用的漏洞都具有自身的特殊性,无法简单的通过某个或者某些特征就能准确检测出来,因此,应用攻击检测更复杂,需要结合自学习或者行为分析等建模技术,在安全防护的难度上更高,挑战更大。
功能特点
产品部署
爱思考WEB应用防火墙支持透明桥模式、方向代理模式、单臂模式和旁路模式。
透明桥模式
TRANSPARENT BRIDGE MODE
透明桥模式下,业务口工作在桥接口下,用户无需改变网络中拓扑,将WAF串联到网络中即可,达到即插即用就能实现保护WEB服务器的效果,这是一种极为简单和普遍的使用方式。在桥模式下,支持双机备份,包括主备模式和主主模式;支持两种软件BYPASS和硬件BYPASS,具备高可用性。
反向代理
THE REVERSE PROXY
反向代理模式和单臂模式实现原理相同,不同的是反向代理模式使用两个业务接口,而单臂模式只使用一个业务接口。在反向代理模式下,用户需要改变原有拓扑模型,客户端访问的目的地址是WAF代理的接口IP,WAF再将访问请求转发到后台服务器,此模式可以隐藏服务器的真实IP地址,在反向代理模式下,也支持双机热备,包括主备模式和主主模式;并且具备服务器存活探测功能,可以根据特定算法实现负载均衡,用以保障服务器业务的连续性和连通性。
镜像模式
MIRROR MODE
WAF不串联到网络环境中,而是旁挂在交换机设备上,通过流量镜像方式对网络中的流量进行检测和告警。其部署方式与IDS相似。
