產(chǎn)品概述
天融信Web應(yīng)用防火墻(TopWAF)是天融信憑借多年的網(wǎng)絡(luò)安全研究經(jīng)驗(yàn)開發(fā)的具有完全自主知識(shí)產(chǎn)權(quán)的一款專門為Web應(yīng)用提供防護(hù)的安全產(chǎn)品��。
TopWAF通過內(nèi)置上千條由天融信阿爾法攻防實(shí)驗(yàn)室提供的安全規(guī)則���,對(duì)從客戶到網(wǎng)站服務(wù)器的訪問流量和從網(wǎng)站服務(wù)器到客戶的響應(yīng)流量進(jìn)行雙向安全過濾�����,來提供WEB應(yīng)用攻擊防護(hù)����、DDOS防御、URL訪問控制��、網(wǎng)頁防篡改等功能��,能夠有效的抵御針對(duì)Web應(yīng)用的攻擊而導(dǎo)致的網(wǎng)站被惡意篡改�����、敏感信息泄露��、網(wǎng)站服務(wù)器被控制等事件的發(fā)生���。是適用于政府�����、企業(yè)�、高校以及運(yùn)營(yíng)商的可信的防御Web威脅的安全產(chǎn)品。
產(chǎn)品特點(diǎn)
先進(jìn)的全并行安全系統(tǒng)
TopWAF基于天融信NGTOS 64位安全操作系統(tǒng)�,NGTOS安全操作系統(tǒng)采用了先進(jìn)的多路多核架構(gòu)。NGTOS使用了兼容TCP/IP特性的用戶態(tài)的協(xié)議棧����,且避免了傳統(tǒng)內(nèi)核態(tài)協(xié)議棧在業(yè)務(wù)處理過程中操作系統(tǒng)上下文切換和內(nèi)核空間到用戶空間的數(shù)據(jù)拷貝,將系統(tǒng)效率推向極致����。
歸一化的防護(hù)引擎
TopWAF支持流模式引擎解析,重組HTTP協(xié)議��,并不需要終結(jié)HTTP連接�。在不更改用戶網(wǎng)絡(luò)拓?fù)錀l件下,TopWAF提供了一個(gè)對(duì)于應(yīng)用程序和網(wǎng)絡(luò)完全透明的Web安全防護(hù)解決方案�。同時(shí)該方案相對(duì)于代理模式吞吐能力更強(qiáng),延時(shí)更低�����,更適合對(duì)處理性能要求高、時(shí)延敏感的場(chǎng)景��。此外�����,TopWAF防護(hù)引擎采用了精準(zhǔn)的算法��,實(shí)現(xiàn)攻擊指紋庫(kù)以及響應(yīng)數(shù)據(jù)檢測(cè)處理的歸一化�。
精準(zhǔn)的Web應(yīng)用攻擊防護(hù)
TopWAF通過對(duì)Web應(yīng)用流量雙向深度檢測(cè)��,為Web應(yīng)用提供精準(zhǔn)�、細(xì)致的攻擊防護(hù)能力,阻止如SQL注入��、XSS�����、CSRF等攻擊���,有效應(yīng)對(duì)OWASP Top 10定義的威脅及其變種�����。在請(qǐng)求方向�����,TopWAF在攻擊數(shù)據(jù)到達(dá)Web服務(wù)器之前���,對(duì)請(qǐng)求重組���、規(guī)范、解碼��,檢查其合法性及合規(guī)性��,防止惡意請(qǐng)求或者內(nèi)置了惡意代碼的請(qǐng)求訪問Web應(yīng)用��。TopWAF對(duì)輸入的各種編碼和字符集進(jìn)行的全面標(biāo)準(zhǔn)化和歸一化�����,有效防御各種編碼及字符變形的攻擊繞過���。對(duì)于響應(yīng)方向�����,TopWAF隱藏Web站點(diǎn)源信息���,如HTTP頭信息�����、URL返回碼等,以延緩黑客攻擊進(jìn)展��。除反向防護(hù)模型外�����,TopWAF通過自學(xué)習(xí)雙向數(shù)據(jù)(請(qǐng)求/響應(yīng))功能可以建立正向防護(hù)模型����,智能應(yīng)對(duì)未知威脅。此外���,TopWAF支持敏感信息防泄露�,可對(duì)身份證�����、電話、銀行卡及關(guān)鍵字等類型響應(yīng)信息進(jìn)行攔截����,保護(hù)用戶隱私和機(jī)密數(shù)據(jù)。
有效的應(yīng)用層DDoS防御
相對(duì)于網(wǎng)絡(luò)層DDoS攻擊�����,應(yīng)用層DDoS攻擊可操作性更強(qiáng)���,危害更大����,現(xiàn)今應(yīng)用層DDoS攻擊已成為Web安全防護(hù)的一個(gè)重點(diǎn)方向�。TopWAF基于先進(jìn)的源信譽(yù)檢查機(jī)制,并根據(jù)長(zhǎng)期流量模型學(xué)習(xí)結(jié)果和歷史記錄����,動(dòng)態(tài)感知惡意流量,有效防御各類型應(yīng)用層DDoS攻擊�,如當(dāng)前流行的HTTP flood 、CC��、慢速攻擊等���。TopWAF可有效識(shí)別及阻斷應(yīng)用層DDoS���,確保Web服務(wù)器能為真實(shí)的用戶提供服務(wù)����,保證客戶業(yè)務(wù)的連續(xù)性���。
智能的網(wǎng)站行為分析
TopWAF能夠?qū)崟r(shí)顯示系統(tǒng)的運(yùn)行情況����, 并直觀展示網(wǎng)絡(luò)中的攻擊行為(包括:攻擊參數(shù)信息�����、攻擊類型��、觸發(fā)規(guī)則�、攻擊檢測(cè)過程�����、篡改行為��、DDOS攻擊信息等)來提供威脅統(tǒng)計(jì)功能,分析防護(hù)對(duì)象受到攻擊信息�����,并顯示在攻擊事件列表中�����,同時(shí)生成攻擊日志�����,通過TopWAF的日志報(bào)表就可以快速追蹤攻擊來源�、網(wǎng)站漏洞等,保障網(wǎng)絡(luò)安全���。
客戶價(jià)值
可以有效的防止因黑客攻擊而造成的用戶網(wǎng)站被惡意篡改�、惡意仿冒��、敏感信息被泄露�����、網(wǎng)站被遠(yuǎn)程控制����、被信息安全主管單位漏洞通報(bào)等安全事件的發(fā)生���。客戶可以對(duì)自身網(wǎng)站安全情況了然于胸���,提升用戶對(duì)自身網(wǎng)站安全防護(hù)的信心�����。
可以通過對(duì)日志報(bào)表的分析�����,全面詳細(xì)的了解自身網(wǎng)站遭受黑客攻擊的狀況。也可以通過TopWAF自帶的Web漏洞掃描器功能對(duì)網(wǎng)站進(jìn)行掃描檢查�,并根據(jù)掃描結(jié)果及時(shí)的組織網(wǎng)站開發(fā)人員、網(wǎng)站安全人員對(duì)網(wǎng)站漏洞進(jìn)行修復(fù)����,使得網(wǎng)站更加安全,發(fā)生網(wǎng)站安全事件的幾率更低�。
通過TopWAF對(duì)用戶業(yè)務(wù)流量的負(fù)載展示,用戶可以了解網(wǎng)站服務(wù)器的每秒事務(wù)數(shù)����、并發(fā)連接數(shù)��、吞吐率等網(wǎng)站性能參數(shù)����,為其網(wǎng)站業(yè)務(wù)的調(diào)整提供參考依據(jù)�����。通過對(duì)網(wǎng)站訪問情況的智能分析����,管理員可以直觀了解到網(wǎng)站的業(yè)務(wù)情況,并以此來作為網(wǎng)站業(yè)務(wù)調(diào)整的依據(jù)���。
TopWAF的部署符合國(guó)家等級(jí)保護(hù)中對(duì)網(wǎng)站安全的要求���,符合人民銀行對(duì)網(wǎng)上銀行業(yè)務(wù)的通用規(guī)范要求。
應(yīng)用案例
某省數(shù)據(jù)中心項(xiàng)目:
某省數(shù)據(jù)中心托管著省政府重要網(wǎng)站����,需要保障此網(wǎng)站的安全運(yùn)行,避免發(fā)生頁面篡改、 信息泄露等安全事件�����,TopWAF采用整體旁路����,局部串聯(lián)方式部署,安全設(shè)備統(tǒng)一通過策略路由引流過來提供安全防護(hù)����。部署兩年內(nèi)網(wǎng)站未發(fā)生過頁面被篡改、 政府敏感信息泄露和網(wǎng)站業(yè)務(wù)無法訪問 等安全事件����,報(bào)表分析顯示兩年來TopWAF阻止了三十多萬次的包括SQL注入、跨站 腳本攻擊����、Web Shell上傳等攻擊行為。
