1、WebRay 应用防火墙产品白皮书高性能、高稳定性远江盛邦 (北京) 信息技术有限公司WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 2 -www.webray.org1. 应用背景当 Web 应用越来越为丰富的同时,Web 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL 注入、网页篡改、网页挂马等安全事件,频繁发生。2007年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达 61228 个,比去年增加了 1.5 倍。其中,中国大陆政府网站被篡改各月累计达 4234 个。防火墙, UTM
2、, IPS 能否解决问题?企业一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题。防火墙的不足主要体现在:1) 传统的防火墙作为访问控制设备,主要工作在 OSI 模型三、四层,基于 IP 报文进行检测。它就无需理解 Web 应用程序语言如 HTML 及 XML,也无需理解 HTTP 会话。因此,它也不可能对 HTML 应用程序用户端的输入进行验证、或是 检测到一个已经被恶意修改过参数的 URL 请求。2) 有一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,但局限于最初产品的定位以及对Web 应用攻击的研究深度不够,只能提供非常有限的 We
3、b 应用防护。随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙无法进行七层防护,已经无法满足 Web 应用防护的需求。IPS/UTM 的不足:入侵检测系统 IPS/综合安全网关 UTM 是近几年来发展起来、逐渐成熟的一类安全产品。它弥补了防火墙的某些缺陷,由于IPS/UTM 对 WEB 的检测粒度很粗,随着网络技术和 Web 应用的发展复杂化,IPS/UTM 在 WEB 专用防护领域已经开始力不从心。WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 3 -www.webray.orgWeb 应用防火墙Web 应用防火墙(Web Applicatio
4、n Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web 应用安全问题。与传统防火墙不同,WAF 工作在应用层,因此对Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻理解,WAF 对来自 Web 应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。2.产品概述为了弥补目前安全设备,如防火墙对 Web 应用攻击防护能力的不足,我们需要一种新的工具用于保护重要信息系统不受 Web 应用攻击的影响。这种工具不仅仅能够检测目前复杂的 Web 应用攻击
5、,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品,必须具备更细粒度的攻击检测和分析机制。WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 4 -www.webray.orgWebRay 应用防火墙,以下简称 WEBRAY,是 WebRay 基于自主知识产权的 RayOS 开发的新一代安全产品,作为网关设备,防护对象为Web、Webmail 服务器,其设计目标为:针对安全事件发生时序进行安全建模,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合 Web 应用安全解决方案。 事前,WEBRAY 提供 We
6、b 应用漏洞扫描功能,检测 Web 应用程序是否存在 SQL 注入、跨站脚本漏洞。 事中,对黑客入侵行为、SQL 注入/跨站脚本等各类 Web 应用攻击、DD.o.S 攻击进行有效检测、阻断及防护。 事后,针对当前的安全热点问题,网页篡改及网页挂马,提供诊断功能,降低安全风险,维护网站的公信度。WebRay 应用防火墙产品提供了业界领先的 Web 应用攻击防护能力,通过多种机制的分析检测,WebRay 的技术能够有效的阻断攻击,保证Web 应用合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义。同时,针对当前的热点问题,如 SQL 注入攻击、网页篡改、网页挂马等,WE
7、BRAY 按照安全事件发生的时序考虑问题,优化最佳安全-成本平衡点,有效降低安全风险。W e b 统一监控告警多模式应用层负载均衡事前:Web扫描事后:网页防篡改恢复DDoS、防火墙补偿双系统、HA冗余机制HTTPS卸载、补偿Web应用加速事中:OWASP防护W e b 安全WEBRAY 基于 RayOS 系统开发,因此具备以下特性: 应用多维防护体系,有效应对 OWASP TOP 10 定义的 Web 威胁,如 SQL 注入、跨站脚本及其变形攻击; 提供细粒度应用层、网络层 DD.o.S 攻击防护 网页防篡改系统支持, 支持 Linux、Windows、BSD 系统,并能提供集中管理模式;
8、Web 加速/HTTPS 引擎加速支持 实时检测网页篡改,降低网站安全风险 提供挂马主动诊断功能,维护网站公信度WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 5 -www.webray.org 敏感信息扫描和过滤 透明安全检测 支持虚拟主机、负载均衡部署,适合 IDC 环境 支持 WebMail 的安全检测 攻击、特征库在线平滑升级 双系统冗余及双击热备功能,有效避免系统/网络单点故障3.产品特色精细化 Web 安全防护WebRay 应用防火墙能防护 7 大类 Web 攻击威胁。精细化的规则配置,发挥最大的安全防护功能,有效应对 OWASP Top10 定义的威胁
9、及其变种。完整网页防篡改解决方案,支持Linux、 BSD, Windows 系统Web 防火墙集中管理控制各个网页防篡改端点,并提供监控、同步、发布功能。基于文件夹驱动级保护技术,事件触发机制,确保系统资源不被浪费。与 WAF 联动:网页防篡改(端点技术)与 WAF 联动,阻断 Web 威胁。采用文件级驱动保护技术后,用户每次访问每个受保护网页WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 6 -www.webray.org时,Web 服务器在发送之前都进行完整性检查,保证网页的真实性,可以彻底杜绝篡改后的网页被访问的可能性。支持 Windows 2000/xp/
10、2003/2008(64 位), Linux/BSD 系统的网页防篡改。用户空间防 篡 改 用 户 态 控 制 程 序文 件 系 统 过 滤 模 块安 全 访 问 控 制进 程 监 控 驱 动文件系统( 操作系统 )存贮驱动( 操作系统 )内 核 空 间I / O 管理( 操作系统 )系 统 应 用 程 序专业 DDOS 防护引擎,让服务器更加安全WebRay 的防 D.DoS 攻击模块采用主动监测加被动跟踪相互结合的防护技术,可辨识多种 D.DoS 攻击,并启用特有的阻断,能够高效地完成对 D.DoS 攻击的过滤和防护。针对互联网中常见的 D.DoS 攻击手段,提供多种防护手段结合的方式,有
11、效的阻断攻击行为,从而确保服务器可以正常提供服务。能有效的防止 CC 和 SynFlood 攻击。采 样 引 擎 执 行 引 擎分析引擎采 样指 令混 合 流 量 清洗掉异常流量D D O S 防护引擎网页挂马 主动诊断网页挂马,可以认为是一种比较隐蔽的网页篡改方式,其最终目的为盗取客户端的敏感信息,如各类帐号密码,甚而可能导WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 7 -www.webray.org致客户端主机沦为攻击者的肉鸡。Web 服务器成为了传播网页木马的“傀儡帮凶”,严重影响到网站的公众信誉度。WEBRAY 提供网页挂马检测功能,全面检查网站各级页面
12、中是否被植入恶意代码,并及时提醒客户。Web 扫描支持WebRay 提供 Web 漏洞扫描系统,定期对客户 Web 资源进行安全体检,从而进行事前防范和处理。立体化防护,从上到下的安全保护构建多维防护体系,网络层、应用层 4 层 Web 安全扫描与检查,网页防篡改、Web 安全扫描互动,网络层、应用层D.DoS,构建立体式防护网络。Web 负载均衡、虚拟主机支持,满足 IDC 应用、大型网络需要网络访问就会急剧上升,从而造成网络瓶颈随着用户访问数量的快速增加,需要对现有的服务器进行负载均衡。为了保证各台服务器的负载均匀分布,合理地分流用户,需要一种服务器负载均衡设备对 web 服务器进行负载均
13、衡。负载均衡设备介于服务器和用户端之间,扮演了一个智能的指挥者角色。根据当前各个服务器的工作状态和能力来分配服务器负载,使整个系统能更高效的响应用户的请求。负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。五种负载均衡算法支持,分层架构的设计模型,将网络拓扑与应用安全分离,大大减轻管理员的负担。在网络接入方面,WebRay 支持链路
14、聚合以及 VLAN 技术,真正满足大型网络使用。WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 8 -www.webray.orgW A F 充 当 负 载 均 衡 器W e b 服 务 器W e b 服 务 器W A F 协 同 负 载 均 衡 器工 作W e b 服 务 器W e b 服 务 器双操作系统,双机 HA ,可靠性更高RayOS 独有的双操作系统驱动模型,保证系统平滑的进行规则库、版本库、核心引擎的在线升级,避免可能的中断客户网络应用的情况发生。多种部署模式,随机应变用户拓扑变化WebRay 提供透明、路由、混合的工作模式,便于灵活部署。便利的向导管
15、理功能Web 应用防火墙配置较网络层防火墙复杂,对配置者技术水平要求较高, WebRay 系列应用防火墙具备的配置向导,可以最大限度降低出现配置问题,保证一次性快速完成。远程技术支持针对网络应用中的配置、管理问题,WebRay 提供了远程在线支持体系,管理员只需根据向导配置,即可生成相关配置系统,发送给相关技术人员进行在线协助。可视化管理WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 9 -www.webray.orgWebRay 强大的设备监控功能,管理员可以实时监控 WAF的工作状态、攻击威胁等系统信息。目前监控信息分为 3 大类(WebRay 系统软件、硬件状
16、态信息,Web 安全攻击信息,网页防篡改系统信息),共计 26 种状态信息,从而使管理员可以随时对网络和防火墙的状态有详尽了解,及时发现并排除网络问题,保障应用的稳定运行。创新的基于树型的审计日志展示方式WebRay 根据攻击威胁,将攻击信息树形进行展示,提供管理的易用性,大大减轻管理员负担。4.产品特性Web 安全 SQL 注入、跨站攻击、Cookie 注入、恶意代码、缓冲区溢出等 Web 机器变种攻击 防信息泄露 网站挂马防护及其检测 协议完整性检测 CSRF 防盗链 Web 扫描支持 HTTP RFC 协议完整性检查 关键字过滤 HTTP 协议合规性检查应用交付 Web 应用加速 HTT
17、PS 应用加速 HTTPS 的卸载和加壳 应用负载均衡,多种均衡算法D.DoS 防护 基于每服务器的 D.DoS 管理 CC 攻击防护 客户端/服务器连接数限制 SYN-UDP-ICMP flood 防护 TCP-UDP-ICMP 流量管理 各种常见网络层攻击防护网页防篡改 网页防篡改监控中心 网页防篡改安全防护、恢复WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 10 -www.webray.org 多系统支持:Linux、Windows,BSD 系统; 采用文件级驱动保护技术;Web 安全扫描 Web 安全站点扫描 Web 负反馈式自动防御系统系统管理 时间管理
18、 自动时间同步 远程访问控制 DNS 管理 邮件报警多角色用户管理 账户管理员 管理员 审计员网络管理 链路聚合(Channel) VLAN 支持 路由管理 ARP 管理双机备份 (HA) VRRP 协议 VRRP 组 主/主模式 主/备模式日志管理 本地/远程日志服务器 日志行为审计 管理日志 攻击日志系统诊断 系统自检 远程协助 Webshell SSH/Consol部署模式 透明模式 路由模式 混合模式WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 11 -www.webray.org双操作系统 系统恢复、回滚 系统升级网络层防火墙 状态包过滤防火墙 黑白名单 URL 访问控制系统状态检测 提供数十种状态检测图表 提供完整的攻击威胁报告 提供系统自检报告5.部署模式在透明代理模式下,用户无需改动自己的网络拓扑,WebRay能自动适应网络结构,捕获 Web 流量,进行安全检测、过滤、防护等安全功能。WebRay Web 防火墙技术白皮书远江盛邦(北京)信息技术有限公司 - 12 -www.webray.org6.服务支持远江盛邦(北京 )信息技术有限公司网址:请访问 http:/欲购买及试用此产品,请联系销售代表。
