天清Web应用安全网关介绍

1、天清Web应用安全网关介绍产品主题：Web网站的贴身保镖目 录案例列表和资质荣誉产品特色功能和优势产品应用部署和选型产品需求背景和定位为什么需要WAF？-需求背景 hype cycle模型由Gartner总结:Web Application Firewall产品处于成长上升期。曲线中体现，最接近上量的产品为Web Application Firewall(WAF) Frost & Sullivan 2013年市场分析： WAF市场在未来几年内将会高速增长，复合增长率达到30.5%，2020年中国区市场规模约为13.6亿人民币。 Frost & Sullivan 分析： 85%的用户认识到商业环

2、境中Web应用的重要性，这与IT发展大趋势以及WEB2.0技术日趋成熟是一致的；政策驱动型目标客户金融行业【政策法规驱动-（一）】网上银行信息安全规范 (银发201019号 ) 要求对象:中国人民银行上海总部，各分行，营业管理部，各省会（首府）城市中心支行，副省级城市中心银行； 各政策性银行，国有商业性银行，股份制商业银行，中国邮政储蓄银行；简要说明： 1）是在网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面； 2）分为基本要求和增强要求，基本要求为最低安全要求，增强要求为下发之日起的三年内应达到的安全要求；

3、3）旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。 网上银行信息安全规范Web安全要求网银规范安全技术规范中明确Web应用安全: 资源控制： 编码规范约束： 会话安全： 源代码管理： 防止敏感信息泄漏： 防止SQL 注入攻击： 防止跨站脚本攻击： 防止拒绝服务攻击：PCI-DSS规范PCI-DSS适用对象 PCI-DSS标准主要针对网上商家、金融机构、信用卡和借计卡处理商、卡公司和端点POS终端。根据v1.1规范： “存储、处理或传输主账号（PAN）时可以使用PCI-DSS规范。

4、如果不存储、处理或传输PAN，不能使用PCI-DSS规范。”如果机构通过基于Web的应用或接口直接进行或支持网上信用卡交易，必须遵守PCI规范。6.5 基于Open Web Application Security Project等安全编码指南开发所有的Web应用。查看自定义应用代码来识别编码漏洞。防御软件开发过程中普遍的编码漏洞，包括以下几方面： 6.5.1 失效的输入 6.5.2 失效的接入控制（例如，恶意使用用户ID） 6.5.3 失效的验证和会话管理（账户证书和会话cookie的使用） 6.5.4 跨站点脚本（XSS）攻击 6.5.5 缓冲区溢出【政策法规驱动-（二）】6.5.6 注入

5、缺陷（例如，结构化查询语言（SQL）注入）6.5.7 不当的错误处理6.5.8 不安全的存储6.5.9 拒绝服务6.5.10 不安全的配置管理6.6 采用以下任意一种方法确保所有面向Web的应用免受已知的攻击： 让专门从事应用安全的机构检查所有的自定义应用代码是否存有普遍的漏洞。在面向Web应用的前端安装应用层防火墙注意：这种方法一直被认为是最佳的做法，2008年6月30日以后这种做法将会成为一种必须的要求。GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求要求对象: 1）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等； 2）金融行业：金融监管机构、

6、各大银行、证券、保险公司等 3）电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等 4）能源行业：电力公司、石油公司、烟草公司 5）企业单位：大中型企业、央企、上市公司等 6）其它有信息系统定级需求的行业与单位 政策驱动型目标客户等级保护【政策法规驱动-（三） 】Web应用安全要求等级保护中相关Web应用安全要求:GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求应用安全访问控制a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；f)应依据安全策略严格控制

7、用户对敏感标记重要信息资源的操作应用安全安全审计a)应提供覆盖到每个用户的安全审计功能，对应用系统重要的安全事件进行审计；应用安全软件容错a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；应用安全资源控制d)应能对一个时间段内可能的并发会话连接数进行限制f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警；启明星辰 Web安全解决方案 启明星辰天清Web应用安全网关（WAF） 规范要求 WAF 解决方案 访问控制，a)Venustech 应用防火墙提供全面的应用分析，可针对各种网页应用对象进行规则设置，进行精细化的访问控制和用户控制。

8、访问控制，b)访问控制可完全针对各种资源访问的主体和客体，并可进行各种关系的逻辑与、或、非等操作。访问控制，f)提供敏感信息防护功能，可对预先定义好的敏感数据和重要信息资源进行监测和泄露保护。安全审计，a）Venustech 提供全局用户跟踪功能，可有效识别每一个应用用户，并根据应用用户设置对应的安全规则。软件容错，a）Venustech 提供http协议合规自学习功能，可自动学习应用系统正常的输入数据格式、长度等，并可在不修改应用的情况下，利用WAF来规范数据输入的有效性。资源控制，d）Venustech WAF可根据需要控制用户对应用访问的每秒最大请求数、每秒最大速率，避免应用层DDos的

9、攻击资源控制，f）Venustech 并可根据第三方网页应用漏洞扫描工具对现有应用进行安全渗透检查，发现弱点后，可直接对WAF进行虚拟补丁。互联网安全保护技术措施规定（公安部令第82号）互联网安全保护技术措施规定 第四条互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、行政法规另有规定的除外。第七条互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；第九条提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的

10、安全保护技术措施： （三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；【政策法规驱动-（四）】中华人民共和国通信行业标准 移动互联网联网应用安全防护要求.7 其他 1）应用技术手段检测和避免WEB业务系统域名、访问链路的异常、访问延迟、解析错误等情况，并有应急处理能力 2）应避免存在常见的WEB漏洞（如，SQL注入、跨站脚本、CSRF等）； 3）应能检测挂马、暗链等WEB业务系统入侵事件，并有应急处理能力。【政策法规驱动-（五）】国务院办公厅关于进一步加强政府网站管理工作的通知 国办函201140 号各省、自治区、直辖市人民政府，国务院各部委、各直属

11、机构： 四、规范管理，不断提升政府网站工作水平 政府网站管理单位要建立网站链接审批制度，严格审核把关；运行维护单位要定期检查链接的有效性，发现链接错误，要及时查明原因，加以更正。网站管理和运行维护单位要建立值班读网制度，安排值班人员每日登录网站读网，检查网站运行和页面显示是否正常，特别要认真审看重要稿件和重要信息，及时发现和纠正错情。要不断完善政府网站防攻击、防篡改、防病毒等安全防护措施，做好日常巡检和监测，发现问题或出现突发情况要及时妥善处理。对于缺乏技术保障力量的政府网站，上级政府、部门和主管单位要主动协调有关方面提供技术支持，帮助其做好网站的安全防范工作。政府网站运行维护单位要按照信息安

12、全等级保护的要求，定期对网站进行安全检查，及时消除隐患。【政策法规驱动-（六）】中央网络安全和信息化领导小组办公室文件（中网办发文【2014】1号） 2014年5月9日发文关于加强党政机关网站安全管理的通知主要针对中央及各级党政机关网站其中第七部分为“加强党政机关网站技术防护体系建设”提到了建立以网页防篡改、域名防劫持，网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系提高网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。【政策法规驱动-（七）】防火墙的主要功能职责和局限Port 80Port 443“75% 的安全事件由通过80端口进行的攻击造成”Informa

13、tion Week防火墙需要开放80端口，无法保护通过80端口提供服务的Web服务器！防火墙和WAF协同关系包过滤防火墙：检测数据包包头信息进行访问控制状态检测防火墙：根据IP报文之间的关系区分出不同会话，可以基于会话进行访问控制，属于会话层的安全防御手段，对HTTP内容仍然无法识别。IDS的主要工作职责和局限IDS能对通用操作系统、数据库漏洞进行检测，但无法保护个性化的Web网站IDS和WAF协同关系检测数据包有效负载，比对特征进行攻击防御 IDS防御特征码主要针对通用的协议或应用漏洞，但是Web网站代码往往由用户自行编写，没有通用补丁IDS能识别网络协议，根据每个数据包作出允许还是拒绝的决

14、定，但不还原识别具体的内容，例如不识别网页内容、URL参数、cookie内容、表单输入等。 IPS/NGFW的主要工作职责和局限Gartner 2014分析报告IPS/NGFW无法取代WAF，Gartner 2014分析报告中罗列功能IPS/NGFW防护效果不如WAF，IPS/NGFW和WAF协同关系SQL注入跨站脚本网页挂马敏感信息泄露目录遍历SynFloodXML DosHttp Get Flood攻击者WEB服务器FWIDS、IPS、NGFW网页篡改信息窃取非法入侵拒绝服务+产品定位SQL服务器WAF的定位工作原理 ： WAF支持串行、反向代理、单臂部署模式，防御Web应用和数据库中的数

15、据被攻击和篡改；关键价值： WEB应用防火墙（简称WAF),是专门针对网站防护所设计的安全产品；一句话介绍WAF：WAF可以对HTTP/HTTPS协议进行深入分析处理，弥补防火墙、IDS及IPS等传统安全产品对于WEB应用威胁防护上的缺陷；1996年 启明星辰公司成立2000年2006年2010年2011年推出国内第一款入侵检测产品天阗及漏洞管理产品天镜推出天清入侵防御系统V6.0（WIPS）推出针对Web应用防护的天清入侵防御系统V7.0（WAF）推出WAF产品防御OWASP Top 10威胁推出天清Web应用安全网关V7.0（WAF）国内首家获得CVE认证的WAF产品获得Frost & S

16、ullivan亚太区WAF市场排名第二位推出国内第一款网络安全科普教材2013年2014年2012年国内首家发布多核架构的万兆WAF产品天清Web应用安全网关V7.0进入海外市场推出高端EP平台万兆WAF产品发展历程国内首家WAF获得OWASP组织颁发WEB应用防火墙认证证书推出针对VSID算法（解决SQL注入攻击）推出针对VXID算法（解决XSS跨站脚本攻击）2007年WAF产品专利列表专利名称专利号一种SQL注入攻击检测方法及系统ZL200710145398.8一种跨站脚本攻击的检测方法和单元200910085034.4 一种web网站安全防御系统201010110771.8 一种适于高速

17、局域网环境的SQL注入攻击检测系统ZL200710176772.0一种对安全事件的分级处理方法及系统200810106329.0 一种识别网页爬虫的方法和装置201110130432.0 一种网页爬虫系统及方法201010189998.6 攻击检测方法和装置201010603695.4 一种网页挂马检测和防护方法、系统及相应代码提取方法201010621408.2 一种大规模关键词匹配方法ZL200710122231.X一种自动协议识别方法及系统ZL200610080453.5一种恶意代码自动分析系统及方法ZL200610080454.X网络安全事件的可视化定位方法及系统ZL200510086

18、353.9一种统一管理模式的分布式软件升级方法ZL200610113595.7一种自适应多模式匹配方法及系统ZL200610089420.7一种恶意注入脚本网页检测方法和系统ZL200710303985.5一种脚本注入攻击检测方法及系统ZL200710179538.3一种脚本注入事件处理方法及系统200710303986.x一种防御拒绝服务攻击的方法及装置200810116857.4 一种WEB服务异常检测方法200810117114.9 一种Web网页攻击检测和响应方法及装置200910084466.3 一个跨站攻击源定位方法200910084265.3 数据库注入攻击检测方法和系统2009

19、10085026.x产品市场地位2012年、2013年在Frost & Sullivan研究报告上，启明星辰WAF产品在国内占有率第二位，2013年比2012年中国区WAF市场占有率增长0.4%。国内WAF2014年市场份额：3亿人民币，预计到2020年中国WAF市场份额：13.6亿人民币2013年1月-12月在国家信息安全漏洞共享平台上查看，启明星辰提交漏洞数量最多WAF产品荣誉序号荣誉名称产品名称1启明星辰天清Web应用安全网关（WAF）荣获“网管员最喜爱的产品奖”天清Web应用安全网关V7.02OWASP颁发（WEB应用防火墙）证书天清Web应用安全网关V7.03启明星辰天清Web应用安

20、全网关（WAF）荣获“2012中国IT风云榜年度优秀产品奖”天清Web应用安全网关V7.04天清万兆Web应用安全网关荣获“2012年度优秀产品奖”天清Web应用安全网关V7.0(万兆WAF)5天清万兆Web应用安全网关荣获年度产品奖天清Web应用安全网关V7.0(万兆WAF)6天清WAG-WAF5010荣获“最佳万兆Web应用防火墙”天清Web应用安全网关V7.0(万兆WAF)7启明星辰天清Web应用安全网关产品获国外权威咨询机构Frost & Sullivan发布的2012年WAF市场排第二名。天清Web应用安全网关V7.08启明星辰WAF获得51CTO网站评选的2013年度WAF产品最佳

21、性能奖天清Web应用安全网关V7.0(万兆WAF)9启明星辰WAF加入互联网安全研究中心牵头组建的应用安全联盟天清Web应用安全网关V7.0目 录案例列表和资质荣誉产品特色功能和优势产品应用部署和选型产品需求背景和定位产品特色功能对用户的实际作用和价值SQL注入防护1、防御用户的Web站点被黑客攻击篡改2、防御用户的Web站点后台数据被窃取3、防御用户的Web站点敏感信息泄露Web恶意扫描防护1、防御爬虫工具对用户Web网站进行抓取2、防御CGI工具对用户Web网站进行扫描试探性攻击3、防御Web扫描工具对用户Web网站进行漏洞扫描探测XSS攻击防护1、防御用户的Web站点被黑客攻击挂马2、防

22、御用户的Web站点cookie信息被窃取3、防御用户的Web站点敏感信息泄露HTTP协议合规1、HTTP合规性规则是基于正常流量对网站的各个字段进行自学习建模，防御用户的Web站点被未知的攻击URL流量控制1、防御用户的某些URL遭遇到CC攻击2、防御用户的某个URL遭遇到大量用户访问，导致服务器系统资源大量被占用客户端识别1、客户网络环境有经过NAT地址转换，且WAG设备部署在NAT地址转换设备之后时，源IP地址都被转换，WAG设备将会启用客户端识别技术来有效识别攻击源IP产品特色功能Web攻击防护VSID专有检测算法HTTP正向安全模型SQL注入攻击防护VXID专有检测算法HTTP正向安全

23、模型XSS攻击防护专有检测算法特征检测自定义特征检测爬虫Web恶意扫描防护CGI扫描漏洞扫描HTTP Flood防护CC攻击防护XML DoS防护应用层DoS防护产品优势功能：Web攻击防护Web非授权访问防护Cookie篡改防护Cookie签名：对关键Cookie进行签名保护HTTP only：保护Cookie不被JavaScript访问Secure：浏览器在HTTP时不返回CookieCSRF攻击防护/paymoney.php被保护URL允许“访问被保护URL的来源地址”/index.php/shop.php其它来源地址/./.网站盗链防护产品优势功能：Web非授权访问防护Web恶意代码防

24、护启明星辰恶意脚本恶意脚本防护网页挂马网页挂马防护WebShellWebShell防护恶意URL库WebShell特征库专有检测算法产品优势功能：Web恶意代码防护Web应用合规文件上传下载控制HTTP请求长度HTTP协议参数最大个数、参数值最大长度、参数名最大长度最大Cookie个数单一URL最大长度、查询字符串最大长度HTTP协议合规服务器类型信息Web错误页面信息身份证信息敏感信息泄露防护银行卡卡号信息基于URL的访问控制Web表单关键字过滤文件大小、文件名大小反动诋毁不良敏感产品优势功能：Web应用合规Web应用交付Weighted Round RobinRound RobinLeas

25、t Connections多服务器负载均衡Web应用加速Cache Memory网页防篡改返回先前保存的正确页面出现网页被篡改情况无需在服务器安装Agnet，不影响业务应用基于URL的流量控制每秒最大请求数每秒最大速率产品优势功能：Web应用交付研究漏洞机理研究新攻击特征研究攻击躲避机理设计抗躲避机制/算法发现新漏洞ADLABTMCVECNCVECERTCNCERT/CC披露信息安全事件M2S-远程监控Web攻击特征无法精确定义客户/其它厂家披露漏洞研发中心列入Web应用防护事件库精确识别Web攻击基于Web攻击躲避机理的精确识别程序包在线升级引擎，加载新算法快速响应最新Web攻击Web攻击事

26、件特征可被精确定义信息安全博士后工作站图例人/组织资源使命价值公司优势- Web应用防护事件库，快速响应最新攻击目 录案例列表和资质荣誉产品特色功能和优势产品应用部署和选型产品需求背景和定位某省运营商网络拓扑图部署网络特点：通过虚拟防火墙对流量进行分配，使WAF达到集群防护效果WAF部署在核心位置核心功能的运用特点：SSL卸载，对HTTPS流量进行攻击检测。对其他运营商省的借鉴意义：运营商网络部署环境要求WAF支持集群，可以考虑该部署方式对HTTPS流量进行攻击检测需求产品实际应用-某省运营商行业部署（一）二级数据中心二级数据中心产品实际应用-某省运营商行业部署（二）某省运营商网络拓扑图部署网

27、络特点WAF产品部署在防火墙和交换机之间核心功能的运用特点：防护运营商总部对各省运营商Web网站进行Web漏洞扫描检查防护Web网站遭受攻击对其他运营商省的借鉴意义：运营商总部对各省运营商进行Web漏洞检查服务器集群服务器区Web服务器DMZ区核心交换防火墙某金融客户全网部署网络特点WAF主主模式部署WAF部署在核心交换机和防火墙之间核心功能的运用特点：敏感信息保护，防止网站重要资产如：银行卡、身份证等重要信息泄露PCI-DSS规范的安全内容防护对其他银行的借鉴意义：主主模式部署需求Web网站攻击防护需求PCI-DSS规范检查防护需求产品实际应用-某金融行业部署二级数据中心中小型企业级百兆网络

28、应用中型企业级千兆网络应用大中型企业级千兆网络应用大型企业级万兆网络应用WAF700-SWAF700-MWAF700-AWAF6000-SWAF6000-M1WAF6000-AWAF8000-SWAF6000-UWAF10000-MWAF6000-M2丰富的产品型号和性能规格，覆盖绝大多数用户的部署需求天清WAG（X86多核）型号布局I/OI/O实时进程监控分析进程1分析进程2物理接口硬件异常/断电 Bypass启动无源通道WatchDog探测CPU、MEM、CHIP等硬件状态物理接口分析引擎进程进程异常BYPASS启动异常恢复BYPASS关闭InternetWeb服务器Bypass 充分保障Web业务连续性目 录案例列表和资质荣誉产品特色功能和优势产品应用部署和选型产品需求背景和定位案例列表运营商中国联合网络通信有限公司广东省分公司中国电信股份有限公司贵州分公司淮北移动中国移动通信集团贵州有限公司河北联通中国移动集团广东有限公司珠海分公司大连移动中国电信应用商店运营中心中国移动通信集团广东有限公司云南电信中国移动通信集团福建有限公司莆田分公司厦门移动中国电信股份有限公司重庆