WebRay应用防火墙产品白皮书目录目录 (2)应用背景 (3)1.产品概述 (5)2.产品特色 (7)3.产品特性 (12)4.部署模式 (15)5.服务支持........................................................................................................ 错误!未定义书签。

应用背景当Web应用越来越为丰富的同时，Web 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。

SQL注入、网页篡改、网页挂马等安全事件，频繁发生。

2007年，国家计算机网络应急技术处理协调中心（简称CNCERT/CC）监测到中国大陆被篡改网站总数累积达61228个，比去年增加了1.5倍。

其中，中国大陆政府网站被篡改各月累计达4234个。

防火墙，UTM，IPS能否解决问题？企业一般采用防火墙作为安全保障体系的第一道防线。

但是，在现实中，他们存在这样那样的问题。

防火墙的不足主要体现在：1) 传统的防火墙作为访问控制设备，主要工作在OSI模型三、四层，基于IP报文进行检测。

它就无需理解Web应用程序语言如HTML及XML，也无需理解HTTP会话。

因此，它也不可能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。

2) 有一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，但局限于最初产品的定位以及对Web应用攻击的研究深度不够，只能提供非常有限的Web应用防护。

随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙无法进行七层防护，已经无法满足Web应用防护的需求。

IPS/UTM的不足：入侵检测系统IPS/综合安全网关UTM是近几年来发展起来、逐渐成熟的一类安全产品。

它弥补了防火墙的某些缺陷，由于IPS/UTM对WEB的检测粒度很粗，随着网络技术和Web应用的发展复杂化，IPS/UTM在WEB专用防护领域已经开始力不从心。

Web应用防火墙Web应用防火墙（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。

与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。

基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

1. 产品概述为了弥补目前安全设备，如防火墙对Web应用攻击防护能力的不足，我们需要一种新的工具用于保护重要信息系统不受Web应用攻击的影响。

这种工具不仅仅能够检测目前复杂的Web应用攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。

这类工具相对于目前常见的安全产品，必须具备更细粒度的攻击检测和分析机制。

Web应用防火墙，以下简称WAF，是远江盛邦基于自主知识产权的RayOS开发的新一代安全产品，作为网关设备，防护对象为Web、Webmail服务器，其设计目标为：针对安全事件发生时序进行安全建模，分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。

事前，WAF提供Web应用漏洞扫描功能，检测Web应用程序是否存在SQL注入、跨站脚本漏洞。

事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。

事后，针对当前的安全热点问题，网页篡改及网页挂马，提供诊断功能，降低安全风险，维护网站的公信度。

Web应用防火墙产品提供了业界领先的Web应用攻击防护能力，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。

同时，针对当前的热点问题，如SQL注入攻击、网页篡改、网页挂马等，WAF按照安全事件发生的时序考虑问题，优化最佳安全-成本平衡点，有效降低安全风险。

WAF基于RayOS系统开发，因此具备以下特性：●应用多维防护体系，有效应对OWASP TOP 10定义的Web威胁，如SQL注入、跨站脚本及其变形攻击；●提供细粒度应用层、网络层DDoS攻击防护●网页防篡改系统支持, 支持Linux、Windows、BSD系统，并能提供集中管理模式；●Web加速/HTTPS引擎加速支持●实时检测网页篡改，降低网站安全风险●提供挂马主动诊断功能，维护网站公信度●敏感信息扫描和过滤●透明安全检测●支持虚拟主机、负载均衡部署，适合IDC环境●支持WebMail的安全检测●攻击、特征库在线平滑升级●双系统冗余及双击热备功能，有效避免系统/网络单点故障2. 产品特色精细化Web安全防护Web应用防火墙能防护7大类Web攻击威胁。

精细化的规则配置，发挥最大的安全防护功能，有效应对OWASP Top10定义的威胁及其变种。

完整网页防篡改解决方案，支持Linux、BSD，Windows系统Web防火墙集中管理控制各个网页防篡改端点，并提供监控、同步、发布功能。

基于文件夹驱动级保护技术，事件触发机制，确保系统资源不被浪费。

与WAF联动：网页防篡改（端点技术）与WAF联动，阻断Web威胁。

采用文件级驱动保护技术后，用户每次访问每个受保护网页时，Web 服务器在发送之前都进行完整性检查，保证网页的真实性，可以彻底杜绝篡改后的网页被访问的可能性。

支持Windows 2000/xp/2003/2008(64位), Linux/BSD系统的网页防篡改。

用户空间防篡改用户态控制程序系统应用程序DDOS防护引擎HTTPS卸载/加速如下图，针对SSL加密应用，WAF根据业务模型提供HTTPS卸载和HTTPS加速应用，从而保证服务器的安全性和可靠性。

HTTPS网守应用SSL应用越来越广，能提供安全、可靠的HTTP服务，因此被大量采用。

但有的客户因为条件限制无法提供HTTPS加密传输，因此面临较高的风险。

WAF根据面向此种模型开发的HTTPS网守服务，能为客户提供无缝HTTPS服务，从而最大保护客户数据安全性。

如下图所示。

网页挂马主动诊断网页挂马，可以认为是一种比较隐蔽的网页篡改方式，其最终目的为盗取客户端的敏感信息，如各类帐号密码，甚而可能导致客户端主机沦为攻击者的肉鸡。

Web服务器成为了传播网页木马的“傀儡帮凶”，严重影响到网站的公众信誉度。

WAF提供网页挂马检测功能，全面检查网站各级页面中是否被植入恶意代码，并及时提醒客户。

Web扫描支持WAF提供Web漏洞扫描系统，定期对客户Web资源进行安全体检，从而进行事前防范和处理。

立体化防护，从上到下的安全保护构建多维防护体系，网络层、应用层4层Web安全扫描与检查，网页防篡改、Web安全扫描互动，网络层、应用层DDoS，构建立体式防护网络。

Web负载均衡、虚拟主机支持，满足IDC应用、大型网络需要网络访问就会急剧上升，从而造成网络瓶颈随着用户访问数量的快速增加，需要对现有的服务器进行负载均衡。

为了保证各台服务器的负载均匀分布，合理地分流用户，需要一种服务器负载均衡设备对web服务器进行负载均衡。

负载均衡设备介于服务器和用户端之间，扮演了一个智能的指挥者角色。

根据当前各个服务器的工作状态和能力来分配服务器负载，使整个系统能更高效的响应用户的请求。

负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。

它主要完成以下任务：解决网络拥塞问题，服务就近提供，实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。

五种负载均衡算法支持，分层架构的设计模型，将网络拓扑与应用安全分离，大大减轻管理员的负担。

在网络接入方面，WAF支持链路聚合以及VLAN技术，真正满足大型网络使用。

服务器服务器Web服务器WAF 协同负载均衡器工作Web服务器双操作系统，双机HA ，可靠性更高RayOS独有的双操作系统驱动模型，保证系统平滑的进行规则库、版本库、核心引擎的在线升级，避免可能的中断客户网络应用的情况发生。

多种部署模式，随机应变用户拓扑变化WAF提供透明、路由、混合的工作模式，便于灵活部署。

便利的向导管理功能Web应用防火墙配置较网络层防火墙复杂，对配置者技术水平要求较高，WebRay系列应用防火墙具备的配置向导，可以最大限度降低出现配置问题，保证一次性快速完成。

远程技术支持针对网络应用中的配置、管理问题，WAF提供了远程在线支持体系，管理员只需根据向导配置，即可生成相关配置系统，发送给相关技术人员进行在线协助。

可视化管理WAF强大的设备监控功能，管理员可以实时监控WAF的工作状态、攻击威胁等系统信息。

目前监控信息分为3大类（WAF系统软件、硬件状态信息，Web安全攻击信息，网页防篡改系统信息），共计26种状态信息，从而使管理员可以随时对网络和防火墙的状态有详尽了解，及时发现并排除网络问题，保障应用的稳定运行。

创新的基于树型的审计日志展示方式WAF根据攻击威胁，将攻击信息树形进行展示，提供管理的易用性，大大减轻管理员负担。

3. 产品特性Web安全SQL注入、跨站攻击、Cookie 注入、恶意代码、缓冲区溢出等Web机器变种攻击防信息泄露网站挂马防护及其检测协议完整性检测CSRF防盗链Web扫描支持HTTP RFC协议完整性检查关键字过滤HTTP协议合规性检查应用交付Web应用加速HTTPS应用加速HTTPS的卸载和加壳应用负载均衡，多种均衡算法DDoS防护基于每服务器的DDoS管理CC攻击防护客户端/服务器连接数限制SYN-UDP-ICMP flood防护TCP-UDP-ICMP流量管理各种常见网络层攻击防护Xml DDoS防护网页防篡改网页防篡改监控中心网页防篡改安全防护、恢复多系统支持：Linux、Windows,BSD系统；采用文件级驱动保护技术；发布服务器模式支持Web安全扫描Web安全站点扫描Web 负反馈式自动防御系统系统管理时间管理自动时间同步远程访问控制DNS管理邮件/短信/SNMP报警支持多角色用户管理账户管理员管理员审计员网络管理链路聚合(Channel)VLAN支持路由管理ARP管理双机备份(HA)VRRP协议VRRP组主/主模式主/备模式日志管理本地/远程日志服务器日志行为审计管理日志攻击日志系统诊断系统自检远程协助WebshellSSH/Consol部署模式透明模式路由模式混合模式双操作系统系统恢复、回滚系统升级网络层防火墙状态包过滤防火墙黑白名单URL访问控制系统状态检测提供数十种状态检测图表提供完整的攻击威胁报告提供系统自检报告4. 部署模式在透明代理模式下，用户无需改动自己的网络拓扑，WAF能自动适应网络结构，捕获Web流量，进行安全检测、过滤、防护等安全功能。