1、天融信 WEB 应用安全网关系统TopWAF产品说明天融信TOPSEC北京市海淀区上地东路 1 号华控大厦 100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-400-610-5119+8610-800-810-5119http: /北京天融信公司 版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及
2、资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有 不得翻印 1995-2012 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。TOPSEC 天融信公司信息反馈http:/天融信 WEB 应用安全网关产品说明北京天融信公司 目录1. 产品概述 12. 产品主要特性 22.1 先进的设计理念 22.1.1“三高”设计理念 .22.1.2“一站式”解决方案 .22.1.3 “无故障运行时间提升”的核心原则 22.2 独有的核心技术 22.2.1 稳定、高效、安全的系统内核 22.2.2 领
3、先的多维防护体系 22.2.3“主动式”应用安全加固技术 .32.3 丰富的数据展现 32.3.1 多角度的决策支撑数据 32.3.2 多角色视角的数据展示 32.3.3 清晰详尽的阶段性报表 33. 产品功能 43.1 产品核心功能 43.1.1 WEB 应用威胁防御 43.1.2 网页防篡改 53.1.3 抗拒绝服务攻击 53.1.4 WEB 应用漏洞扫描 63.1.5 WEB 应用加速 63.1.6 业务智能分析 63.2 产品功能列表 84. 产品部署 .114.1 透明串接部署 .114.2 反向代理部署 .124.3 单臂部署 .135. 产品规格 .146. 产品资质 .157.
4、 特别声明 .15天融信 WEB 应用安全网关产品说明北京天融信公司 11.产品概述天融信 WEB 应用安全网关系统(以下简称 TopWAF)是天融信公司根据当前的互联网安全形势,并经过多年的技术积累,研制出品的专业级 WEB 安全防护类网络安全产品。TopWAF 是天融信 WEB 安全专家团针对“网站型”服务器量身定制的产业化产品,汇聚了天融信公司长期对网站系统进行安全研究的成果。产品主要从网站系统可用性和信息可靠性的角度出发,满足用户对于 WEB 防护及加速、网页防篡改及网站业务分析等功能的核心需求。提供事前预警、事中防护、事后分析的全周期安全防护解决方案。图 1-1 TopWAF 工作原
5、理示意图事前,TopWAF 对网站服务进行动态监视,实时监测系统的服务能力及服务质量,建立安全隐患预警机制。事中,TopWAF 基于“无故障运行时间”原则,依托稳定、高效、安全的系统内核及先进的多维防护体系,通过 WEB 应用威胁防御、网页防篡改、抗拒绝服务攻击和 WEB 应用优化等多项功能,保障网站应用服务系统的运行质量。事后,TopWAF 提供多角度的决策支撑数据,为用户提供清晰详尽的阶段性报表,帮助网站管理者准确地了解网站的运行状况并进行有针对性的调整。天融信 WEB 应用安全网关产品说明北京天融信公司 22.产品主要特性2.1 先进的设计理念2.1.1“三高”设计理念TopWAF 秉承
6、了天融信公司对于信息安全产品应具有高可靠性、高安全性及高易用性的设计理念。该系统对网站的总体战略目标作深入理解,针对网站系统的可用性和内容可信任问题,提供全方位的安全解决方案。从网站如何提高业务效率,以及如何量化服务品质的角度出发,为网站业务的正常运行保驾护航。2.1.2“一站式”解决方案TopWAF 为 “网站型”服务器的可用性问题、内容可信任问题提供“一站式”解决方案。用“一个帐号,一次登录,一套界面,三次点击”的高效设计解决网站安全问题。2.1.3 “无故障运行时间提升”的核心原则天融信深入理解用户对于网站服务质量的要求,首先提出网站“无故障运行时间”的产品核心原则。TopWAF 产品设
7、计综合考虑网站应用威胁防护、服务效率动态监视、服务带宽保护等方面,致力于提高网站系统的服务不间断时间,保障网站业务的服务质量。2.2 独有的核心技术2.2.1 稳定、高效、安全的系统内核天融信公司利用在安全操作系统开发以及硬件电路设计方面的多年技术积累,结合当前 WEB 应用数据的深度检测技术,研制出精简、稳定、安全、高效的 TopWAF 系统内核,为 TopWAF 系列产品的整体性能及稳定性提供了良好的保证。2.2.2 领先的多维防护体系TopWAF 通过“宏观判断,微观分析”的方式,对网站应用数据、实时流量及历史特征等多方面信息进行聚合,并将 WEB 应用威胁防御、网页防篡改及抗拒绝服务攻
8、击等产品核心功能进行多元化组合,构建多维防护体系。天融信 WEB 应用安全网关产品说明北京天融信公司 32.2.3“主动式”应用安全加固技术TopWAF 通过漏洞扫描、WEB 威胁实时防护以及 WEB 应用架构协议规范化等多种手段,主动发现 WEB 安全漏洞并及时提供相应的解决方案进行修复。2.3 丰富的数据展现2.3.1 多角度的决策支撑数据TopWAF 在安全防护的基础上,为网站管理者提供多角度的决策支撑数据,使其充分了解网站的整体运行情况。数据不仅包括网站安全统计、还包括网站业务及管理情况分析等。通过分析用户访问网站的行为数据,为管理员改进网站功能及合理分配服务器资源提供可靠的依据。2.
9、3.2 多角色视角的数据展示TopWAF 从网站应用系统的服务类型、服务对象及服务价值三个方面,提供多视角的数据展示,同时支持展示界面自定义的功能。通过 TOPWAF 产品,用户可以: 按照业务视角,将当前各类业务的运行状态和安全威胁分等级列出; 按照行业视角,将网站应用系统对服务对象的服务情况列出; 根据自身的角色,选择查看不同范围、明细度及侧重点的数据报表; 根据自身操作习惯和业务需要,自定义多种展示界面。2.3.3 清晰详尽的阶段性报表TopWAF 可按照不同的统计周期为网站管理者提供清晰详尽的数据报表。统计内容丰富,展示效果直观。为网站管理者提供有针对性的决策依据。天融信 WEB 应用
10、安全网关产品说明北京天融信公司 43.产品功能3.1 产品核心功能3.1.1WEB 应用威胁防御TopWAF 采用先进的多维防护体系,对 HTTP 数据流进行深度分析。通过对 WEB 应用安全的深入研究,固化了一套针对 WEB 攻击防护的专用特征规则库,规则涵盖诸如 SQL 注入、XSS(跨站脚本攻击)等 OWASP TOP10 中的 WEB 应用安全风险,及远程文件包含漏洞利用、目录遍历、OS 命令注入等当今黑客常用的针对 WEB 基础架构的攻击手段。TopWAF 对于 HTTP 数据包内容具有完全的访问控制权限,检查所有经过网络的 HTTP 流量,回应请求并建立安全规则。一旦某个会话被控制
11、,WAF 就会对内外双向流量进行多重检查,以阻止内嵌的攻击,保证数据不被窃取。网站管理者也可以指定各种策略对 URL、参数和格式等进行安全检查。 SQL 注入攻击防护TopWAF 致力于跟踪 SQL 注入技术的最新动态,防 SQL 注入策略不断更新,规则不断完善, 支持对 GET、POST、COOKIE 全部数据提交方式的过滤;实行过滤规则分离原则:不同方法(GET、POST、COOKIE)提交的数据,过滤的规则相互独立,最大限度的加强了对SQL 注入的防御,同时,也从根本上杜绝了对正常访问的误拦;支持“模式匹配” ,用户可以使用“正则表达式”构造具有超强防御效果的防御策略,使用“正则表达式”
12、的规则,具有人工智能特性,一条防 SQL 注入规则,即可以阻止同一类的 SQL 注入,有效的杜绝了其它 WEB 应用防火墙产品很容易被高级黑客饶过的情况,从而从根本上杜绝 SQL 注入 ,进而防止网站数据泄漏或内容被篡改。 XSS 攻击防护TopWAF基于特征分析,内置上百条从实际攻击行为中提炼的防护规则,并支持自定义规则。在实时攻击检测阶段,对所有可能实现XSS攻击的数据来源,如HTTP-Refere、URL、COOKIE、表单数据等进行检查过滤,全面、有效地阻止XSS攻击。 盗链攻击防护TopWAF 通过实现 URL 级别的访问控制,对客户端请求进行检测,如果发现图片、视天融信 WEB 应
13、用安全网关产品说明北京天融信公司 5频等资源信息的 HTTP 请求来自于其它网站,则阻止盗链请求,节省因盗用资源链接而消耗的带宽和性能。 爬虫防护TopWAF 将爬虫行为分为搜索引擎爬虫及扫描程序爬虫,可屏蔽特定的搜索引擎爬虫节省带宽和性能,也可屏蔽扫描程序爬虫,避免网站被恶意抓取页面。 恶意扫描防护TopWAF 可以屏蔽 Web 扫描器的检测,如:Acunetix Web Vulnerability Scanner 及IBM AppScan,有效阻止攻击者利用扫描器进行更换 Web 网站主页、盗取管理员密码、破坏整个网站数据等攻击。3.1.2 网页防篡改TopWAF 能够监控网页请求的合法性
14、,实时拦截篡改攻击。同时,通过比对请求页面的哈希指纹,校验被请求的网页是否被篡改。一旦检测到页面被篡改,则将 URL 重定向到正常页面,使篡改攻击者的意图不能得逞。发生网页篡改紧急事件时,TopWAF 防篡改功能会将用户请求重定向到默认页面或指定页面,视篡改的程度或网站特殊需求,启动专业的应急机制。对网络流量进行有效控制,及时阻止篡改攻击行为,保证网站形象。另一方面系统会提供多种形式的告警机制,通知网站管理者进行事件分析和历史追溯,从而完成 WEB 服务器的配置及数据恢复,杜绝网页内容连续被篡改。3.1.3 抗拒绝服务攻击拒绝服务攻击是攻击者利用目标服务器的网络协议漏洞对系统及网络资源进行强行
15、占用的行为,使得目标服务器业系统瘫痪,无法响应正常用户请求。近年来,随着互联网的高速发展,针对网站系统的拒绝服务攻击事件呈大规模上升趋势,如何有效的防范此类攻击便成了当今网站管理者需要考虑的重点安全问题。TopWAF 集成了具有核心知识产权的抗拒绝服务攻击功能,能够防御迄今已知的所有种类 DDoS 攻击,如 SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等。同时 TopWAF 对未知攻击也能进行有效防护。 攻击指纹识别TopWAF 利用多种技术手段对网络数据包进行特征统计和发现,能够准确定位当前的攻天融信 W
16、EB 应用安全网关产品说明北京天融信公司 6击类型,并触发不同的防御机制,在提高效率的同时确保防护准确度。 异常流量识别TopWAF 创造性地提出了一种全新的、基于数据挖掘的 DDoS 攻击盲检测技术。利用关联算法和聚类算法自适应的产生检测模型,任何偏离这些正常状态的流量特征都可以被捕获,从而可以实时、自动、有效地识别出异常流量。 攻击特征挖掘TopWAF 具备高效的攻击特征挖掘能力。系统通过对网络流量的显微分析,挖掘出攻击特征,并将攻击特征移交给规则执行机进行高效执行。 攻击流量过滤TopWAF 针对检测出的攻击流量,采用规则执行机技术,准确彻底地过滤攻击流量,放行正常流量,保证网站服务的正
17、常进行。3.1.4 WEB 应用漏洞扫描TopWAF 可提供对网站应用漏洞的扫描功能。该功能基于先进的漏洞扫描引擎及庞大漏洞信息库。扫描内容涵盖: SQL 注入、跨站脚本编制及操作系统命令注入等 WEB 常见漏洞。扫描任务支持单任务及批量任务。执行方式可按时间周期进行灵活设置。扫描结束后,自动生成全中文网站漏洞分析报告。此功能可以使网站管理者在不需要安装任何漏洞扫描软件的情况下,直观地了解到网站存在的安全漏洞情况,以及时进行相关修补工作。3.1.5 WEB 应用加速TopWAF 在对网站进行全面的安全防护的同时,通过连接池、缓存等机制,实现应用加速,优化网站性能的功效。WEB 应用加速功能通过
18、高性能的硬件平台及软件加速算法,可以将用户的 WEB 请求响应速度提高数倍,大幅提升网站系统的可用性。3.1.6 业务智能分析TopWAF 提供强大的网站业务智能分析功能。内容丰富,涵盖网站业务数据智能分析、网站安全数据智能分析以及网站管理数据智能分析三大模块。展现形式为数据表格搭配统计图示,效果清晰、直观。为网站管理者提供有针对性的决策依据。天融信 WEB 应用安全网关产品说明北京天融信公司 7图 3-1 业务智能分析功能页面 网站业务数据智能分析传统安全产品的日志内容主要以安全防护及操作管理为主。TopWAF 提供强大的网站业务统计分析功能。针对网站管理者希望了解到的网站业务参数指标,To
19、pWAF 按照不同时间段、不同地区及不同内容,分别对网站流量、网站访问者以及网站内容进行统计分析。统计内容专业、准确,完全可以替代市面上的网站业务监测软件。 网站安全数据智能分析TopWAF 对来自于互联网的各种攻击行为进行详细记录。通过 WEB 攻击日志、DDOS 攻击日志、网页防篡改日志及网页敏感关键字过滤日志,将网站的安全现状直观的展现给网站管理者。统计类型包括时间段、地址来源及攻击种类等,管理者可以通过分析相关数据对网站实施更有针对性的安全策略。 网站管理数据智能分析管理员操作记录是安全产品不可或缺的功能,TopWAF 在此基础上增加了告警统计及监控统计报表功能。系统会自动记录所有的报
20、警事件及监控状态,为网站管理者提供良好的管理凭证。天融信 WEB 应用安全网关产品说明北京天融信公司 83.2 产品功能列表类别 功能 详细描述安全模式 基于代理模式的防护引擎协议解析支持 HTTP 协议解码并对相关字段进行检查,包括 URI、HTTP 版本、请求方法、响应状态码、HTTP 头部各字段和其他 HTTP 元素。HTTPS 支持 SSL 加密会话分析WEB 基础架构防护 OS 命令注入、远程文件包含、目录遍历等 WEB 通用攻击防护SQL 注入、跨站脚本等常见 WEB 应用攻击爬虫防护盗链防护漏洞扫描器扫描防护HTTP 请求限制,协议规范化支持黑白名单访问控制支持报警、断开连接、给
21、客户端发送警告页面三种方式支持自定义警告页面支持自定义防护规则支持自定义策略和策略集,不同被保护服务可以应用不同的防护策略集WEB 攻击防护支持对象自定义,可定义来源地址组、目的 URL 组、时间段支持防护 syn flood、tcp flood、udp flood、icmp flood 等网络层拒绝服务攻击DDoS 攻击防护支持防护 cc 攻击等应用层拒绝服务攻击支持代理方式工作模式,客户端不直接和服务器建立连接支持特定页面返回信息隐藏,可返回自定义警告页面网站伪装支持网站管理后台隐藏,可定义允许访问网站后台的 IP 地址支持网站镜像功能,支持爬虫、ftp(支持篡改后恢复)两种镜像方式支持定
22、时篡改检测,记录篡改日志并报警支持篡改页面重定向功能,客户端访问不到被篡改的页面支持篡改页面自动恢复功能网页防篡改支持多操作系统:Windows、Linux、Unix、Solaris、AIX 等扫描网站的应用层漏洞信息,自动生成网站漏洞分析报告支持立即扫描、周期扫描、指定时间点扫描三种方式支持单个网站扫描和批量扫描两种方式WEB 应用扫描全中文扫描结果报告支持检测网站中的敏感信息,防止泄漏支持敏感关键字自定义,支持敏感关键字组自定义支持定时检测,可自定义检测周期WEB 安全性敏感信息过滤支持单个网站扫描和批量扫描两种方式天融信 WEB 应用安全网关产品说明北京天融信公司 9定时检测服务器访问情
23、况,发生访问异常及时报警支持 ping 方式检查,支持访问特定 URL 方式检查支持访问 URL 自定义服务器状态检测支持阀值设置,超过阀值即告警支持 WEB 攻击、DDoS 攻击、网页被篡改、网关设备异常、被保护服务器状态异常、漏洞扫描结果、敏感关键字过滤等情况下告警告警条数多可设置归并条件,可设置告警发送间隔异常事件告警支持邮件、短信发送告警信息支持缓存页面方式加快访问速度,减轻服务器访问压力Cache 加速支持加速率记录和统计功能支持负载均衡功能,把访问分担到多台 WEB 服务器上WEB 优化 负载均衡支持轮询,加权轮询,源地址散列三种负载均衡算法可记录带宽、访问量、访问响应时间等内容流
24、量分析日志可分被保护服务、时间段查询,查询结果可生成报表可记录并分析统计网站的详细信息可按访问者的源地址、搜索引擎、操作系统、浏览器类型、国家地区、中国省区、中国地级市级别统计访问数据可根据访问次数、文件类型、死链、域名、搜索关键词等方面统计网站被访问情况访问分析日志可分被保护服务、时间段查询,查询结果可生成报表可记录各种 WEB 攻击、DDoS 攻击等日志可记录网页防篡改日志可记录网页敏感关键字过滤日志攻击分析日志可分被保护服务、时间段查询,查询可生成报表可记录被保护服务器通断等异常状态日志可记录管理员操作日志管理分析日志可分时间段查询,查询结果可生成报表可设置日志保存时间、磁盘占用空间限额
25、支持日志清空操作支持 ftp 方式自动备份日志和手动备份日志定期自动备份支持备份周期设置业务智能分析日志管理日志可打印,可导出成 pdf、html 格式支持透明代理,反向代理,旁路部署系统部署支持多路部署支持 B/S 管理提供标准 SNMP trap 和 Syslog 接口,可接受天融信管理平台的集中事件管理支持管理角色分级系统管理支持 License 控制支持界面导入升级包系统管理系统升级 支持定期升级规则库;紧急事件第 1 时间升级天融信 WEB 应用安全网关产品说明北京天融信公司 10安全事件监控、访问情况监控、及设备负载监控系统监控 显示接口状态、系统 CPU、内存及硬盘使用率,系统当
26、前时间及系统运行时间系统诊断 Ping 工具;可查看实时 ARP 表、路由表和网卡信息等内容支持主从部署模式 双机热备支持链路是否正常的监控 高可用性硬件 Bypass 功能 支持断电 bypass 模式,光口支持外置 bypass 模块天融信 WEB 应用安全网关产品说明北京天融信公司 114.产品部署TopWAF 支持多种部署方式,适应各种 WEB 网络结构,可以根据实际网络环境进行灵活部署。4.1 透明串接部署透明模式是最为便捷的部署方式。在已经交付使用的系统中需要快速部署 TopWAF 时,推荐使用此种方式。选用透明模式时,网关工作在链路层,不需要对服务器和其他的网络设备作任何调整。图
27、 4-1 透明串接部署示意图天融信 WEB 应用安全网关产品说明北京天融信公司 124.2 反向代理部署反向代理模式是在大多数情况下推荐使用的部署方式,俗称为“替身模式” 。此时,TopWAF 位于网站服务器的前端,所有与网站应用系统交互的数据流量都必须经过 TopWAF,该部署模式能够对应用数据进行全面细致的检查。图 4-2 反向代理部署示意图天融信 WEB 应用安全网关产品说明北京天融信公司 134.3 单臂部署以单臂模式部署时,TopWAF 将与网站服务器位于同一个子网或者任意路由可达子网。网站服务器的网络设置无需做任何更改。此种方式非常适合不能运行中断的系统。图 4-3 单臂部署示意图
28、天融信 WEB 应用安全网关产品说明北京天融信公司 145.产品规格型号 TI-3304-WAF TI-3514-WAF外观硬件尺寸 1U 1U接口数 标准配置为4个10/100 /1000BASE-T接口 最大配置为12个接口,包括4个10/100/1000BASE-T接口,以及一个可扩展模块(支持电口和光口)运行环境 电压:AC100240V 频率 50/60Hz 电流 2.0A(100240VAC) 功率 75W 工作温度:040摄氏度 非工作温度:-2070摄氏度 工作湿度:590%,非冷凝 电压:AC 100240V 频率:4763HZ 电流:1.50.75A 功率:90W (MAX
29、) 运行温度:0 - 40摄氏度 非运行温度:-20 - 70摄氏度 相对湿度:10- 90% RH,非冷凝 型号 TI-3628-WAF外观硬件尺寸 2U接口数 最大配置为18个接口,默认包括1个可插拨的扩展槽,4个10/100/1000BASE-T接口和4个SFP插槽,2个10/100/1000BASE-T接口(作为HA口和管理口); 运行环境 电压:AC100240V 频率: 50/60Hz 电流:8-5A 功率 400W 工作温度:040摄氏度 非工作温度:-4070摄氏度 工作湿度:595%,非冷凝天融信 WEB 应用安全网关产品说明北京天融信公司 156.产品资质资质证书 颁发单位
30、计算机信息系统安全专用产品销售许可证 公安部公共信息网络安全监督局国家信息安全认证产品型号证书 中国信息安全测评中心信息技术产品安全测评证书(EAL3) 中国信息安全测评中心涉密信息系统产品检测证书 国家保密局涉密信息系统安全保密测评中心军用信息安全产品认证证书(军 C+级) 中国人民解放军信息安全测评认证中心计算机软件著作权登记证书 中华人民共和国国家版权局ISCCC 产品认证证书 中国信息安全认证中心7.特别声明1. 本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不另行通知。2. 本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而 有所差异,此可能产生的差异为正常现象,产品功能和性能请以产品说明书为准。3. 本手册中没有任何关于其他同类产品的对比或比较,天融信也不对其他同类产品表达意见,如引起相关纠纷应属于自行推测或误会,天融信对此没有任何立场。天融信 WEB 应用安全网关产品说明北京天融信公司 164. 本手册中提到的信息为正常公开的信息,若因本手册或其所提到的任何信息引起了他人直接或间接的资料流失、利益损失,天融信及其员工不承担任何责任。
