明御web应用防火墙产品简介.pdf

明御明御TMWEB 应用防火墙应用防火墙 国内首创全透明部署国内首创全透明部署 WEB 应用安全网关应用安全网关 一、概述： 明御TMWEB 应用防火墙（简称：WAF）是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求， 以国内首创的全透明部署模式全面支持 HTTPS， 在提供 WEB 应用实时深度防御的同时实现 WEB 应用加速及敏感信息泄露防护， 为 Web 应用提供全方位的防护解决方案该产品致力于解决应用及业务逻辑层面的安全问题，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及 WEB 应用的各个行业部署安恒的 WAF 产品，可以帮助用户解决目前所面临的各类网站安全问题，如：注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层 DOS/DDOS 攻击等等 二、产品的功能 ? 深度防御 明御 WEB 应用防火墙基于安恒专利级 WEB 入侵异常检测技术， 对 WEB 应用实施全面、深度防御，能够有效识别、阻止日益盛行的 WEB 应用黑客攻击（如 SQL 注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI 扫描、目录遍历等）： ? SQL 注入 ? 命令注入 ? Cookie 注入 ? 跨站脚本(XSS) ? 敏感信息泄露 ? 恶意代码 ? 错误配置 ? 隐藏字段 ? 会话劫持 ? 参数篡改 ? 缓冲区溢出 ? 应用层拒绝服务 ? 弱口令 ? 其他变形的应用攻击 ? Web 应用加速 系统内嵌应用加速模块，通过对各类静态页面及部分脚本的高速缓存，大大提高访问速度。

? 敏感信息泄露防护 系统内置安全防护策略，可以灵活定义 HTTP/HTTPS 错误返回的默认页面，避免因为 WEB 服务异常，导致敏感信息（如：WEB 应用安装目录、WEB 服务器版本信息等）的泄露 ? 策略配置 自定义策略配置 ? 告警 实时告警，支持邮件、短信等多种方式告警 ? 系统报表 支持自定义报表，支持各类导出格式（WORD、EXCEL、PDF、HTML 等） 三、产品特点 ? 专利级 WEB 入侵异常检测引擎 安恒独有 WEB 入侵异常检测引擎，能够有效分析和识别各类已知和变形的应用攻击，为防御的准确性和高效性提供了基础 ? 支持全透明部署 业界首创支持全透明部署，无需更改原有的 DNS 或 IP 配置，对原有应用不会造成任何影响 ? HTTPS 支持 国内首创全面支持 HTTPS，实现各类高安全要求 WEB 应用系统的深度实时防护（如网银、证券交易等） ? 支持多保护对象 支持多台主机对象的保护，包括不同域名不同 IP，不同域名相同 IP 的情况 ? 支持用户自定义规则库 用户可以根据数据包的特征关键字等自定义安全策略规则，来实现安全检测及过滤 ? 统一日志平台接口 ? 支持阻断、告警、By-Pass 等多种应用模式 四、产品规格（参数） 型号 WAF－200AG WAF－500AG WAF－1000AG 型号 WAF－200AG WAF－500AG WAF－1000AG 规格 2U 2U 2U 吞吐量 （Mb/sec） 200Mbps 500Mbps 1000Mbps HTTP 最大并发数 10000 30000 50000 网口数量 6 6 10 网口用途 （标配） 管理口*1 HA 口*1 工作口*4 管理口*1 HA 口*1 工作口*4 管理口*1 HA 口*1 工作口*8 网口类型 电口 电口 电口/光口 安全操作系统 ? ? ? WEB 入侵防护 ? ? ? HTTPS 支持 ? ? ? SSL 硬件加速 可选 可选 WEB 应用加速 ? ? ? 自定义规则库 可选 可选 电源 1+1 冗余电源 1+1 冗余电源 1+1 冗余电源 输入电压 AC 100~240V 50~60Hz AC 100~240V 50~60Hz AC 100~240V 50~60Hz 最大功率 350W 350W 450W 尺寸 42cm*39cm*8.8cm 42cm*39cm*8.8cm 42cm*56cm*8.8cm 净重 11kg 11kg 16.5kg 平均无故障时间 MTBF 大于 60000 小时 大于 60000 小时 大于 75000 小时 管理方式 WEB 配置、Console 命令行配置 五、客户案例 金融--某商业银行 客户面临的问题： 网上银行作为电子商务的基础应用随着互联网的普及而迅速发展，据相关报告显示2008 年底个人网银用户覆盖数达 6474.5 万，随着网上银行业务的发展，各类网上银行事故越来越多，网上银行的安全问题日益突出，各类 WEB 应用攻击（如：SQL 注入攻击、钓鱼攻击等）及盗号木马日益猖獗，网上银行交易过程中涉及的大量金融交易数据、用户个人隐私信息已经成为攻击者的首选目标。

如何加强网上银行系统的安全防护能力， 防止不法分子窃取银行客户的账号密码，减少网银业务的风险，是某商业银行迫切需要解决的问题 安恒解决方案： 在 某 商 业 银 行 的 网 上 银 行 服 务 器 前 端 直 连 部 署 安 恒 的 WEB 应 用 防 火 墙（WAF-500AG） ，鉴于 WAF-500AG 全面支持 https 协议，因此，WAF-500AG 的部署不仅能够实时识别、阻断来自互联网的各类 WEB 应用层攻击（如：SQL 注入攻击、跨站脚本攻击（钓鱼攻击） 、表单绕过、应用层 DDOS 攻击、敏感信息泄露等） ，同时可以通过强大的缓存技术和负载均衡技术提高某商业银行的网站访问速度 系统部署图如下： WEB应用防火墙与网络防火墙的区别：应用防火墙与网络防火墙的区别： 传统的网络防火墙作为访问控制设备，工作在OSI1-4层，基于IP报文进行状态检测、地址转换、网络层访问控制等，对报文中的具体内容不具备检测能力因此，对Web应用而言，传统的网络防火墙仅提供 IP 及端口防护，对各类 WEB 应用攻击缺乏防御能力 Web应用防火墙主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。

法律法规：法律法规： 支付卡行业 (PCI)数据安全标准（DSS） 版本1.2 2008年10月 6.6 对于面向公众的 Web 应用程序，经常解决新的威胁和漏洞，并确保保护这些应用程序不受到以下任一方法的攻击： ? 通过手动或自动应用程序漏洞安全评估工具或方法检查面向公众的 Web 应用 程序，至少每年一次并在所有更改后进行检查 ? 在面向公众的 Web 应用程序前端安装Web 应用程序防火墙 。