一.WEB应用防火墙定义

二.WEB应用防火墙的特点

三.如何选择WEB应用防火墙

四.常见产品(· 铱迅Web应用防火墙 一．产品介绍 二．产品功能 1．黑客攻击防护 2．违反策略防护 3．BOT防护 4．应用层洪水攻击 5．网页防篡改 6．数据库防篡改 7．HTTP SSL安全加密、攻击过滤 8．防CC攻击 三．产品特点 四.部署方式 1．透明网线模式 2．混合部署模式机模式 3．旁路反向代理模式 4．路由模式 5．混合加密部署模式 6．单IP虚拟化部署模式 五．产品技术)

一.WEB应用防火墙定义

利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

总体来说，Web应用防火墙的具有以下四大个方面的功能(参考WAF入门，对内容做了一些删减及改编)：

1)审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。

2)访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

3)架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

4)WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。

需要指出的是，并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。

同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看，WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次，而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)

二.WEB应用防火墙的特点

Web应用防火墙的一些常见特点如下。

1、异常检测协议

Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

2、增强的输入验证

增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

3、及时补丁

修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。

(附注：及时补丁的原理可以更好的适用于基于XML的应用中，因为这些应用的通信协议都具规范性。)

4、基于规则的保护和基于异常的保护

基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。

5、状态管理

WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败)，并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

6、其他防护技术

WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

三.如何选择WEB应用防火墙

从Web应用防火墙功能对比表格中，我们可以看出，目前Web应用防火墙的功能性还不统一，几个厂商Web应用防火墙的主要功能项还有较大出入。另外，功能描述也不相同，有些同种的功能各个厂商厂商的描述各不相同。为了对厂商真实体现厂商产品功能，这一部分资料按各厂商介绍在表格中予以重现。还有一些厂商存在明显的技术资料发布不全现象，这方面以思杰(Citrix)最具代表性。如果不是其网站产品介绍中存在“利用集成式应用防火墙增强了安全性”这一句话，和其英文网站上的相关介绍，我们几乎认定其Citrix NetScaler产品仅是一款Web应用加速产品!所幸的是，在本次活动截止前一天，思杰市场人员将Citrix NetScaler中文资料发给了我们，才使得思杰Citrix NetScaler产品功能对比的项目不至于留白!

但是在产品功能项目差异大，内容不统一的情况下，用户应该如何对产品进行选择呢?下面我们就综合分析一下，在选择Web应用防火墙产品时，哪几方面的信息是用户最需要了解的。

1、产品宣传

通过厂商的产品宣传，可以了解厂商产品的市场定位，以及厂商对用户应用需求的了解情况。从中可以初步分析厂商产品是否可以满足用户的实际应用需求。

2、产品功能介绍

在产品功能介绍中，可以粗略了解产品的各项功能，在经过对比后可以了解厂商产品的功能是否齐备，可否满足用户应用的需求。

3、产品评测报告

这是用户容易忽略，某些厂商刻意忽略的重要信息。对于网络产品来讲，市场定位容易描述，产品功能也可以相互借鉴，但具体的功能测试是很难仿造的。评测报告中的每个指标、每个数据都是厂商研发技术实力的最直观体现，只有对产品技术具备最深入理解的厂商才可以在用户面前交出一份令用户满意的评测报告!

4、售后服务

把售后服务放到产品销售前面，就在于它的重要性。一般的网络产品往往会使用户忽略售后服务的重要，质量过硬的网络产品有可能插电一次性设置后几年都不需要变动。但是Web应用防火墙这类网络安全产品就全然不同了，层出不穷的网络威胁会时刻对其发出挑战。没有完善研发售后服务能力的厂商将无力面对这些威胁，这样用户的网络安全也就失去了相应的保障。

5、产品销售

产品的销售厂商在哪里，从那里可以得到什么样的服务，技术支持能力如何……这些同样也需要用户在选择产品时事先进行了解。

四.常见产品

· 铱迅Web应用防火墙

一．产品介绍

铱迅WEB应用防火墙（简称：WAF）是铱迅信息结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内首创的全透明直连部署模式，全面支持HTTPS，在提供WEB应用实时深度防御的同时实现WEB应用加速、敏感信息泄露防护及网页防篡改，为Web应用提供全方位的防护解决方案。该产品致力于解决应用及业务逻辑层面的安全问题，广泛适用于“金融、运营商、政府、公安、教育、能源、税务、工商、社保、卫生、电子商务”等所有涉及WEB应用的各个行业。部署铱迅的WAF产品，可以帮助用户解决目前所面临的各类网站安全问题，如：注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。

二．产品功能

深度防御

铱迅WEB应用防火墙基于铱迅专利级WEB入侵异常检测技术，对WEB应用实施全面、深度防御，能够有效识别、阻止日益盛行的WEB应用黑客攻击（如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等）：

1．黑客攻击防护

| SQL注入攻击（包括URL、POST、Cookie等方式的注入)

| SQL注入攻击（包括URL、POST、Cookie等方式的注入）

| XSS攻击

| Web常规攻击（包括远程包含、数据截断、远程数据写入等）

| 命令执行（执行Windows、Linux、Unix关键系统命令)

| 危险存储过程执行

| 缓冲区溢出攻击

| 恶意代码

| “零日”攻击---oday

2．违反策略防护

| 非法HTTP协议

| URL-ACL匹配

3．BOT防护

| 攻击性爬虫（蜘蛛）行为

| Web漏洞扫描器行为如Acunetix Web Vulnerability Scanner扫描。

| 黑客工具行为，如pangolin。

4．应用层洪水攻击

| UDP Flood

| ICMP Flood

5．网页防篡改

本设备的网页防篡改功能，对网站数据进行监控，发现对网页进行任何形式的非法添加、修改、删除等操作时，立即进行保护，恢复数据并进行告警，同时记录防篡改日志。

支持的操作系统:

| Windows 2000、Windows 2003、windows 7、windows 2008 32bit/64bit

| Linux(CentOS、Debian、Ubuntu)

| Solaris、AIX、IRIX、HP、Sun ONE、iPanet

| FreeBSD、MacOS

| WebSphere

| Tomcat、Resin

| WebLogic

| Apache

| JRUN2

| Borand AppServer

6．数据库防篡改

本设备的数据库防篡改功能，对数据库数据进行监控，发现对数据库进行任何形式的非法添加、修改、删除等操作时，立即进行保护，恢复数据并进行告警，同时记录防篡改日志。

支持的数据库系统

| SQL Server 2000

| SQL Server 2005

| My Sql

7．HTTP SSL安全加密、攻击过滤

HTTP SSL安全加密：提供硬件的SSL加密功能，Web服务器只需要开启80端口，然后在本设备的代理中添加SSL证书，并指定Web服务器的80端口。用户只要访问本设备的443端口，就可以达到对HTTP数据流的加密。

攻击过滤，可以过滤在HTTPS会话中的攻击行为，为Web服务器与数据库服务器提供安全保障。

8．防CC攻击

| 来源IP防CC

| Referer防CC

| 特定URL防CC

| 设定阻止访问的时间

三．产品特点

专利级WEB入侵异常检测引擎

铱迅独有WEB入侵异常检测引擎，能够有效分析和识别各类已知和变形的应用攻击，为防御的准确性和高效性提供了基础。

支持全透明直连部署

铱迅独有WEB入侵异常检测引擎，能够有效分析和识别各类已知和变形的应用攻击，为防御的准确性和高效性提供了基础。

HTTPS支持

全面支持HTTPS/SSL加密协议,实现对高安全要求WEB应用系统的检测和防护，提供了针对性的安全检测及深度防御的解决方案。

支持多保护对象

支持多台主机对象的保护，包括不同域名不同IP，不同域名相同IP的情况。

支持用户自定义规则库

用户可以根据数据包的特征关键字等自定义安全策略规则，来实现安全检测及过滤。

统一日志平台接口

支持监控、阻断、软硬件物理直通等多种应用模式。

支持多种部署模式

支持直连透明部署、旁路牵引防护部署、HA等部署模式。

四.部署方式

“铱迅Web应用防护系统”（下文称：“Yxlink WAF”）支持多种灵活的部署方式，如透明网线模式、旁路反向代理模式、路由模式、混合部署模式、虚拟化部署模式。

其中，“铱迅Web应用防护系统”的透明网线模式尤为出色，管理员在不需要修改原网络拓扑结构的情况下，“铱迅Web应用防护系统”相当于一根网线串入网络中，对Web攻击进行防御。而混合部署模式更是对较为复杂的网络应用环境提供了更加人性化的均衡部署能力

“铱迅Web应用防火墙”的透明网桥模式，与其他同类产品相比，有着先天的优势：

1．透明网线模式

采用“铱迅Web应用防护系统”透明网线模式部署模式主要应用于如下五种场景：

1 单一混合型服务器（Web应用、DB在同一台服务器上）

2 单一分离式服务器（Web应用、DB采用不同的服务器部署，但Web服务器只有一台）

3 集群式Web服务器（多台集群型Web服务器）

4 半分散式Web服务（Web服务器分布在局域网的部分子网中）

5 全分散式Web服务（Web服务器几乎分布在局域网的任何子网中）

2．混合部署模式机模式

混合部署模式是透明网线模式和旁路反向代理模式混合的部署方式，这种方式具有部署简便，配置较为容易等特点，特别适用于具有中心机房，但同时在不同的地点分散着个别Web服务器的情况，设备部署位置一般同“集群式/集中式Web服务”，是半分散和全分散服务部署模式的替代部署模式，为管理员提供了更加人性化的管理方式。具体部署如图：

3．旁路反向代理模式

旁路反向代理模式，可以将铱迅Web应用防护系统与Web服务器置于内网的交换机下，访问Web服务器的所有请求都通过“Yxlink WAF”流入流出。然而，这种模式下，Web服务器无法获取访问者的真实IP地址，需要借助HTTP报文中设置相应的字段来表示访问者IP地址，这样需要修改原有的HTTP报文。同时这种模式下将无法开启Bypass功能，因此除非在迫不得已的情况下，请谨慎使用旁路反向代理模式部署，推荐使用透明网线的部署方式。但为了同一些老式Web应用防护系统相兼容，可采用旁路方向代理模式进行部署，具体部署图如下：

4．路由模式

通过配置策略路由，只将HTTP流量发送到“Yxlink WAF”。

5．混合加密部署模式

混合加密部署模式：混合部署模式的增强形式，支持HTTP/HTTPS。这种部署方式的特点与混合部署模式基本相同。它的工作原理是将原来由Web服务器完成的SSL加密、解密工作，现在交给“Yxlink WAF”来完成，即“Yxlink WAF”执行SSL加密、解密工作，因此需要将原来Web服务器上的SSL证书导入到“Yxlink WAF”中，同时将Web服务器上的HTTP服务端口开启，比如80端口。具体部署如图：

6．单IP虚拟化部署模式

为了网站安全考虑，需要在一台真实主机内安装多台虚拟机，每个虚拟机里面会有1台Web服务器。但是一般情况下，很难给每个虚拟机提供一个公网IP地址。“铱迅Web应用防护系统”可以在监听80端口请求时，根据不同的主机头名，将请求分配到不同的虚拟机的80端口上，从而解决了单公网IP对应多个虚拟机的问题。

五．产品技术

具有自主知识产权的“千万级攻击检测引擎”

具有自主知识产权的“攻击混淆解码引擎”

具有自主知识产权的“电信级高并发数、新建连接数处理技术”