华为WAF5000系列Web应用防火墙技术白皮书
22页1、华为WAF5000系列Web应用防火墙技术白皮书目 录华为WAF5000系列Web应用防火墙技术白皮书目 录1 概述12 常见攻击手法23 现有防御技术43.1 下一代防火墙43.2 入侵防御系统44 Web安全需求55 WAF产品介绍15.1 纵深防御15.1.1 网络主机安全25.1.2 Web服务安全透明代理25.1.3 Web应用安全三大核心技术35.1.4 内容分析与响应检查45.2 快速应用交付45.2.1 TCP协议加速45.2.2 高速缓存55.3 安全监控与服务发现55.3.1 自动服务发现55.3.2 安全监控55.3.3 性能监控65.4 多种接口兼容65.4.1 SNMP接口65.4.2 Syslog接口65.4.3 邮件与短信告警接口65.4.4 WebService接口66 功能特点76.1 使网站更安全76.1.1 双模式安全引擎76.1.2 黑名单安全技术76.1.3 白名单安全技术76.1.4 IP信誉库86.1.5 区域访问控制86.1.6 智能防护86.1.7 CC精准防护86.1.8 虚拟补丁86.2 使访问更快速86.2.1 服务优先原则的高性
2、能算法86.2.2 多种加速方案86.2.3 高速缓存86.3 使运维更简单96.3.1 服务自发现96.3.2 策略自学习建模96.3.3 策略规则在线更新96.3.4 支持PCI-DSS报表功能96.3.5 规则误判分析96.4 透明直连模式106.5 反向代理106.6 旁路监控116.7 HA双机模式透明串接116.8 VRRP反向代理1313华为WAF5000系列Web应用防火墙技术白皮书华为WAF5000系列Web应用防火墙技术白皮书关键词:WAF、SQL注入、XSS、CSRF摘 要:本文详细介绍常见攻击手段、防御技术、华为WAF功能特点和部署模式。名称缩写完整拼写中文解释WAFWeb Application FirewallWeb 应用防火墙SQL注入SQL InjectionSQL注入XSSXCross-Site Scripting跨站脚本攻击CSRFCross-site request forgery跨站请求伪造华为WAF5000系列Web应用防火墙技术白皮书4 功能特点1 概述Web网站是企业和用户、合作伙伴及员工的快速、高效的交流平台。Web网站也容易成为黑客或恶
3、意程序的攻击目标,造成数据损失,网站篡改或其他安全威胁。华为Web应用防火墙是华为结合多年在应用安全攻防基础理论和安全漏洞研究实践经验基础研发完成的针对网站全方位安全防护产品,采用黑名单安全技术、白名单安全技术、参数自学习建模技术、行为建模分析技术等先进技术,提供Web应用实时深度防御、Web应用加速、敏感信息防泄露、网页防篡改等功能,能够抵御各类针对Web应用的外来攻击,最大限度的保障网站运行安全。同时,华为WAF满足PCI、等级保护、企业内部控制规范等各类法律法规。该产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于涉及Web应用场景的政府、运营商、金融、企业等行业。2 常见攻击手法目前已知的应用层和网络层攻击方法很多,这些攻击被分为若干类。下表列出了这些最常见的攻击技术,其中最后一列描述了华为WAF如何对该攻击进行防护。攻击方式描述华为WAF的防护方法跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息。通过检查应用流量,阻止各种恶意的脚本插入到URL, header及form中。SQL 注入攻击者通过输入一段数据库
4、查询代码窃取或修改数据库中的数据。通过检查应用流量,侦测是否有危险的数据库命令或查询语句被插入到URL, header及form中。命令注入攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。通过检查应用流量,检测并阻止危险的系统或软件平台命令被插入到URL, header及form中。cookie/session劫持Cookie/session通常用于用户身份认证,并且可能携带用户敏感的登陆信息。攻击者可能被修改Cookie/session提高访问权限,或伪装成他人的身份登陆。通过检查应用流量,拒绝伪造身份登录的会话访问。参数(或表单)篡改通过修改对URL、header和form中对用户输入数据的安全性判断,并且提交到服务器。利用参数配置文档检测应用中的参数,仅允许合法的参数通过,防止参数篡改发生。缓冲溢出攻击由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令。如获取系统管理员的权限。用户可以根据应用需求设定和限制数据边界条件,确保不危及脆弱的服务器。日
《华为WAF5000系列Web应用防火墙技术白皮书》由会员添***分享,可在线阅读,更多相关《华为WAF5000系列Web应用防火墙技术白皮书》请在金锄头文库上搜索。
房地产培训 -房地产策划流程常识介绍1
房地产市场报告-2021年重庆中心城区国庆市场总结
房地产市场报告 -2021年重庆商办公寓市场报告(8月)
房地产施工管理 -CL保温施工甲方经验总结
房地产活动策划 - 2021重阳节系列暖场“不负美意”活动策划方案
房地产培训-碧桂园【江中区域】拓客技巧
房地产市场报告 - 2021年08月天津二手房市场监测报告
房地产市场报告 - 2021年第三季度北京房地产市场监测报告-新房市场
“5G+工业互联网”典型应用场景和重点行业实践 (第二批)
房地产培训 - 豪宅价值标准以及客户分析
房地产活动策划 - 国际城邻里中心开业盛典(盛世国潮·荣耀开放)活动策划方案
房地产活动策划 -大嘉汇康养主题酒店试营业开业活动提报方案
房地产活动策划 -吾悦广场双十一AI+未来游乐园活动策划方案
房地产活动策划-2020购物中心圣诞季营销“重大圣诞节”活动策划方案
房地产活动策划 -商业广场圣诞新年欢乐趴“鬼马双旦玩FUN下”活动策划方案
房地产活动策划 -2020戴德粱行新春拉斯维加斯之夜活动策划方案
房地产活动策划 -2021地产项目金秋游园会暖场蓄客“元气生活节”活动策划方案
2021投融资策略与方法:企业资金困局破解之法
5G整体情况介绍
房地产活动策划 -商业广场元旦跨年盛典(中国范国潮风主题)活动策划方案
2023-10-08 190页
2023-08-27 1页
2023-04-12 20页
2022-12-26 8页
2022-12-16 86页
2022-03-24 4页
2022-03-24 14页
2022-03-13 9页
2022-03-14 5页
2022-03-13 3页