天融信twf系列waf产品介绍

1、天融信 WEB 应用安全防护系统（TopWAF 系列）产品介绍天融信TOPSEC市海淀区上地东路 1 号华控100085：(86)10-82776666传真：(86)10-82776677服务：Http:.cn目录1产品概述12产品技术架构13产品优势与特点3.7先进的全透明检测架构2全面的防御能力3有效的缓解服务. 4良好的用户体验4灵活的部署模式5全 64 位的原生IPV6 支持5高可用性54产品典型部署方案串接部署方式6旁路部署方式7服务器负载均衡模式75产品资质81产品概述天融信公司研发的 Web 应用系统（简称：TopWAF

2、产品），继承了天融信公司“完全你的安全”的理念，通过多种检测方法，提供针对用户 Web 服务器的完整安全解决方案。保障用户的业务的连续性和信息资产的安全性。TopWAF 产品支持串接、旁路检测和服务器负载均衡三种工作模式。能够提供 OWASPTop10 的全面防御，同时可以主动对业务系统建立正向模型，用于防御未知的威胁和 0day。TopWAF 产品整合了天融信积累的 DDoS 防御能力，可以有效的缓解针对 Web 服务器的Syn flood、CC、慢速等各种服务。TopWAF 产品提供了详细的 Web 流量日志和事件日志，以及基于事件日志实现的各种统计报表，并以可视化方式动态展示，实现实时的

3、威胁，是适用于、企业、高校以及运营商的的防御 Web 威胁的安全产品。2产品技术架构TopWAF 产品采用天融信公司研发的下一代并行高可靠安全网关（NextGeneration Topsec Operation System，以下简称 NGTOS）作为基础系统，在数据平面实现了 HTTP(S)的 Web检测、防御，在管理平面实现了日志告警、扫描、网页防篡改等基础功能。NGTOS 采用架构，也就是说从网络接口接收报文一直到整个处理流程结束，整个过程是在同一个用户空间进程处理的，不需要操作系统的上下文切换和内核空间到用户空间的内存拷贝。这个设计把网络层处理的性能推向极致。TopWAF 产品通过设计

4、高度优化的协议、规则检测、匹配算法等，又显著的了 Web 检测引擎的效率。TopWAF 产品兼具了 NGTOS 的先进架构和高性能的 Web 检测引擎，其逻辑架构图如下：3产品优势与特点3.1 先进的全透明检测架构TopWAF 产品具备先进的全透明检测架构，也就是说不管是网络层还是业务层都感受不到 TopWAF 产品的存在，极大的简化了用户的部署。大多数的 WAF 产品基于反向技术，该技术对用户网络的侵入性比较强，部署反向网络层和业务层都需要做对应的调整。透理技术做到了业务层的透明，但对于网络层无法做到全透明，比如非对称路由环境，因为受限于通用操作系统协议栈的约束，无法正常工作。而所有的这些麻

5、烦，TopWAF 产品依靠全透明检测架构，都可以轻松解决。全透明检测架构能高效的工作依靠两个技术：多核并行的用户空间协议栈、流模式的检测引擎。TopWAF 产品的用户空间协议栈是多核并行的，协议栈的性能随着处理器的数量的增加线性增长。在硬件处理器向数量越来越多发展，而单核主频停滞不前的时代，该协议栈可以充分的发挥硬件处理器的性能。该协议栈同时IPV4 和 IPV6 的会话，并且具备基于目标服务器操作系统的强大的报文重组能力。该协议栈会以正确的 TCP 序列处理数据，并且采用和目标服务器完全相同的策略处理报文，防止利用重组特性缺陷的。反向模式终结 HTTP 会话，然后使用全缓冲的方式检测，也就是

6、说检测引擎会等待所有的请求报文完全收到后，再做和规则检查。全缓冲方式天生避免了因报文多个数据包而造成的逃逸，但是显而易见的坏处是，该方式显著的增加了网络的延迟，降低了网络吞吐。而 TopWAF 产品使用流模式检测，其含义是：TopWAF 产品可以、重组HTTP 协议，但不需要终结 HTTP 会话。TopWAF 产品可以实现流模式下完整的 HTTP 协议重组，有效的解决了特征多个报文的逃逸问题。实际测试表明，即使报文是逐个字节发送给目标服务器，TopWAF 产品依然可以可靠的阻断。3.2 全面的防御能力TopWAF 产品提供传统的基于规则的检测和主动防御两个引擎。基于规则的保护是产品最主流的防护

7、方法，虽然对于未知和 0day缺少防护能力，但是对于大量的已知可以提确的、细致的防护。TopWAF 产品提供了精细的防护规则包括：跨站扫描器防护SQL 注入操作系统命令注入文件包含本地文件包含目录遍历信息泄漏WebS检测HTTP 协议异常HTTP 协议其他类型的除了基于规则的检测方法，TopWAF 产品还具备基于习建模的主动防御引擎。对于 URI 和T 表单，TopWAF 产品的主动防御引擎都可以学习到其参数的个数，以及每一个参数的类型和长度。在学段时间之后（通常是一到两周），TopWAF 产品可以建立目标服务器所有动态页面的正向模型。在应用主动防御策略的条件下，所有不符合正向模型的参数都会被

8、阻断，可有效的防御未知威胁和 0day。3.3 有效的缓解服务TopWAF 产品整合了天融信公司积累的 DDoS 防御能力，采用分层的防御和业界领先的源信誉检测机制，可以有效的缓解 syn flood、CC、slowheader、slowt 等服务。TopWAF 产品首先识别明显的源，比如单个源流量明显异常，通过源限速模块把所有可能的源的流量限制在某一个范围之内。第二步也是整个 DDoS 防御的：源信誉检测机制，该机制可以有效的把正常流量和工具生成的流量区分开来，阻断流量，放行正常流量。最后一步，当所有的正常流量的总和仍然超过了目标服务器的处理能力，为了保证服务器正常工作，通过目的限速模块把放

9、行到服务器的流量限制在服务器处理能力之内。通过这种分层的防御机制，使服务器不间断的对外提供服务，保障了业务的连续性。3.4 良好的用户体验从设计之初就认为，用户体验设计是的重要内容之一。为此把各种复杂的安全策略聚合在一起，形成了模版化的设计。TopWAF 产品为不同类型的用户提供了内置的策略模版，极大的简化了设备上线后的配置过程。对于富有经验的管理员，模版化安全策略又拥有极强的弹性。基于内置的策略模版，管理员可以深度定制与业务系统关联的安全策略，比如定制更加严格的协议规范、URI控制、防盗链、CSRF 策略、爬虫策略等等。对于专家级的管理员，提供了用户自定义规则库功能，开放了强大的定制能力，管

10、理员享有了和专业的挖掘同样的防御。另外寻找专业的外观设计师重新设计了用户界面，让整个用户界面更柔和、更漂亮。同时在交互性上做了的设计，让整个功能布局更加合理，可操作性更强。例如：在服务器策略里面需要一个对象，用户并不需要跳转到对象定义页面，在服务器策略配置页面就可以即时定义。在较难理解的功能项旁边，放置即时帮助按钮，这样在用户需要帮助的时候，就不再需要翻箱倒柜找配置手册。在日志页面，设计了各种灵活、方便的查询条件，管理员可以方便的以各个维度分析日志，比如分析源、查找容易被的页面等等。总之认为用户需要的不仅仅是一个，而是更简洁、更好用的。3.5 灵活的部署模式TopWAF 产品具有串接、旁路检测

11、和服务器负载均衡三种工作模式。串接部署虽然对用户网络有一定的侵入性，但 TopWAF 产品的高可靠性设计极大的缓解了这一影响。串接的一个显著好处是可以实现非常可靠的阻断能力。而旁路检测完全没有侵入性，对用户的网络环境不造成任何影响，但旁路检测没有提供阻断的能力。在多个服务器对外提供相同服务的环境里面，TopWAF 产品可以作为负载均衡器工作，并且提供了灵活的会话调度的能力和服务器状态检查能力。串接部署时，TopWAF 产品提供了多种网络层的接入方式，比如虚拟线、交换、路由。虚拟线方式使 TopWAF 产品像一根虚拟的网线一样接入用户网络，是最简单最便捷的方式。交换模式同时支持 acs、trun

12、k 两种方式，路由模式支持静态路由和策略路由，也就是说在用户预算受限时 TopWAF 产品可以在检测的同时，充当交换机或者路由器。3.6 全 64 位的原生 ipv6 支持TopWAF 产品的管理平面和数据平面均为全 64 位系统，具备原生 ipv4/ipv6 双栈处理能力，不仅能够在纯 ipv6 网络环境中部署和检测，还能够在 ipv4/ipv6 混合网络环境中部署和检测行为。全 64 位系统在处理 ipv4 和 ipv6 地址相关操作时具有相同的处理效率，所以 TopWAF 产品在 ipv6 网络环境中具有与在 ipv4 网络环境中一样的性能。TopWAF 产品中处理的所有 ip 地址均支

13、持 ipv4 和 ipv6 地址，所有应用层无论来自ipv4 网络还是 ipv6 网络均采用处理流程，使得各种应用层都无所遁形。TopWAF产品还支持配置 ipv6 地址的主机管理、ipv6 SNMP以及支持 ipv6 的日志服务器等增强功能。3.7 高可用性TopWAF 产品采引擎设计，主检测引擎和检测引擎不仅功能完全相同，且均处于运行态，即只要有数据报文传送就可以进行检测。不同的是，正常情况下，数据流只上送到主检测引擎，检测引擎没有数据可以处理，相当于处于“待命”状态。一旦主检测引擎出现故障无法处理数据报文，NGTOS底层负责数据流分发的模块会及时将数据流切换到检测引擎，由于检测引擎处于准

14、工作的“待命”状态，此时会即刻开始数据报文的检测工作，从而确保整个检测引擎的不间断工作，大幅提高了检测业务的可靠性。TopWAF 产品支持硬件 bypass 功能，可以串行接入用户网络环境，在设备升级等需要重新启动过程中确保用户网络通畅。TopWAF 产品支持主主、主备方式的双机热备功能，可以实现链路的高可用性。4产品典型部署方案TopWAF 产品有三种基本的部署方式串接部署、旁路部署和服务器负载均衡部署。4.1串接部署方式串接模式下 TopWAF 产品以全透明的方式接入网络，通常 TopWAF 产品部署在之后，Web 服务器区域之前，保护运行的 Web 服务器。串接时 TopWAF 产品以软硬件的高可靠设计，来避免对网络产生的影响。部署拓扑图如下所示：4.2 旁路部署方式旁路部署模式又称为模式，旁路部署对网路完全没有侵入性，对用户的网络环境不造成任何影响，但旁路部署没有提供阻断的能力。常常用于 TopWAF 产品前期测试部署。部署拓扑图如下所示：4.3 服务器负载均衡模式负载均衡方式下 TopWAF 产品把一组服务器聚合在一起，对外提供一个虚拟服务器。用户虚拟服务器的