hcscp1203 web安全防护 issue 3 0

1、本页不打印修订记录版权所有 2017 华为技术第0页作者/工号时间审核人/工号开发类型（新开发/优化）王锐/wx1636892017.06.06吉小东/ 234567新开发课程编码适用产品产品版本课程版本HCSCP1203USG/WAFV5R1V3.0Web安全防护版权所有 2017 华为技术前言 传统网络层面的攻击与防御手段都日趋成熟，随着应用市场的爆炸性发展，基于Web的应用也逐渐增多。在此背景下，Web应用更是成为了瞄准的重要目标。本章主要介绍基于Web应用常见的攻击手段及防御手段。版权所有 2017 华为技术第2页目标 学完本课程后，您将能够：p 描述Web

2、应用的基本结构、Web工作原理、HTTP工作过程、HTTP报文结构等p 掌握URL过滤技术原理及配置p 描述Web安全防护常见技术手段p 描述常见的Web攻击（SQL注入、XSS等）p 了解WAF产品的防御原理版权所有 2017 华为技术第3页目录1. Web安全防护概述2. Web基础原理3. Web攻击浅析4. URL过滤技术5. 恶意网页检测技术6. Web应用系统防护技术版权所有 2017 华为技术第4页Web应用现状2016年我国境内被篡改的网站数量70006000500040003000200010000单位（个）1月2月3月4月5月6月7月8月9月 10月 11月12月2016年

3、我国境内被植入后门的网站数量400003000020000100000单位（个）1月2月3月4月5月6月7月8月9月10月11月12月版权所有 2017 华为技术第5页Web攻击的来源 Web的攻击来源，主要可以根据Web应用的实现机制，从以下三个方面来探讨。客户端服务器通信通道 网站木马 钓鱼欺骗 活动内容攻击web服务器的漏洞授权、认证攻击跨站脚本攻击SQL注入DoS、CC攻击窃听SSL重定向版权所有 2017 华为技术第6页目录1. Web安全防护概述2. Web基础原理3. Web攻击浅析4. URL过滤技术5. 恶意网页检测技术6. Web应用系统防护技术版权所有 2017 华为技术

4、第7页Web应用基本组成部分 Web基于客户端（Client）服务器（Server）架构实现，包含三个部分：p 使用HTML（HyperText Mark-up Language）描述文件p 使用URL（Uniform Resource Locator）指定文件的所在p 透过HTTP（HyperText Transfer Protocol）协议与服务器沟通HTTP/HTTPS客户端（Client）服务器（Server）对客户端显示访问URL：www.HHTML文件URL指定服务器文件版权所有 2017 华为技术第8页HTML示例 定义网页标题 定义网页图片 定义网页按钮/链接

5、 版权所有 2017 华为技术第9页URL工作过程docrootHTTP/HTTPSIndex.htmlEnterpriseindex.htmlservice.htmlImagesdevice.jpgicon.jpg版权所有 2017 华为技术第10页/enterprise/zh/index.htmlHTTP/HTTPS HTTP（Hypertext Transfer Protocol）是一种无状态的协议，基于简单的请求- 响应模式（requests/responses）。您好！请问有什么事么？ 我需要XXX文件！GET /http:/class

6、/xxxx HTTP/1.1请问你有通关密语吗？ 有，&%（#OK，这就是你要的文件！HTTP/1.1 200 OK HTTP有两类报文：p 请求报文从客户端向服务器发送请求报文。p 响应报文从服务器到客户端的回答。版权所有 2017 华为技术第11页HTTP请求报文 一个HTTP请求报文由请求行（request line）、请求头部（header）、空行和请求数据4个部分组成。请求行在请求方法中，POST的安全性要比GET的安全性高。因此， 部分安全隐患也来自于GET字段。版权所有 2017 华为技术第12页请求方法空格URL空格协议版本回车符换行符头部字段名：值回车符换行符请求头部头部字段

7、名：值回车符换行符回车符换行符请求数据HTTP请求报文 一个HTTP请求报文由请求行（request line）、请求头部（header）、空行和请求数据4个部分组成。请求行在请求方法中，POST的安全性要比GET的安全性高。因此， 部分安全隐患也来自于GET字段。版权所有 2017 华为技术第13页请求方法空格URL空格协议版本回车符换行符头部字段名：值回车符换行符请求头部头部字段名：值回车符换行符回车符换行符请求数据HTTP响应报文 HTTP响应也由三个部分组成，分别是：状态行、消息报头、响应数据。状态行息报头）版权所有 2017 华为技术第14页版本空格状态码空格短语回车符换行符头部字段

8、名：值回车符换行符首部行（消头部字段名：值回车符换行符回车符换行符响应数据HTTP响应报文 HTTP响应也由三个部分组成，分别是：状态行、消息报头、响应数据。状态行息报头）版权所有 2017 华为技术第15页版本空格状态码空格短语回车符换行符头部字段名：值回车符换行符首部行（消头部字段名：值回车符换行符回车符换行符响应数据Cookie概述 Cookie是一种在客户端保持HTTP状态信息的技术，由Web服务器将其携带在响应报文中发送给客户端浏览器。版权所有 2017 华为技术第16页Session概述 Session在网络应用中称为会话，它是由应用服务器维持的一个服务器端的存储空间，用户在连接服

9、务器时，会由服务器生成一个唯一的SessionID， 用该SessionID为标识符来存取服务器端的Session存储空间。 Session存储在服务器端。版权所有 2017 华为技术第17页Cookie和Session的关系 用户请求使用Session页面时，Web服务器产生Session和一个Session-id并返回临时Cookie（Key=sessionid），用户第二次请求Session页面会自动带上Cookie信息，Web 服务器接收请求并通过Sessionid读取Session，把信息返回用户。SessionID是保存到客户端，用Cookie保存的，用户提交页面时，会将这一Ses

10、sionID提交到服务器端，来存取Session数据。这一过程，是不用开发人员干预的。所以一旦客户端禁用Cookie，那么Session也会失效。(1) 请求使Session页面（2）（3）返回临时Cookie (key = sessionid)（5）通过Cookie中Sessionid读取Session(4) 请求Session页面带上Cookie信息Web服务器浏览器（Browser）（6）返回用户版权所有 2017 华为技术第18页Sessionid (data) - (key valus)目录1. Web安全防护概述2. Web基础原理3. Web攻击浅析4. URL过滤技术5. 恶意

11、网页检测技术6. Web应用系统防护技术版权所有 2017 华为技术第19页OWASP TOP 10表格中罗列的风险大部分是由于加密、防护不足以及访问控制薄弱所引起的。注入、跨站脚本以及跨站请求作为Web攻击中常见的方式，是本章讨论的重点。版权所有 2017 华为技术第20页OWASP Top 10 应用安全风险2017A1 注入A2 失效的身份认证和会话管理A3 跨站脚本（XSS）A4 失效的访问控制A5 安全配置错误A6 敏感信息泄露A7 攻击检测与防护不足A8 跨站请求（CSRF）A9 使用含有已知漏洞的组件A10 未受有效保护的APIOWASP TOP 10表格中罗列的风险大部分是由于

12、加密、防护不足以及访问控制薄弱所引起的。注入、跨站脚本以及跨站请求作为Web攻击中常见的方式，是本章讨论的重点。版权所有 2017 华为技术第21页OWASP Top 10 应用安全风险2017A1 注入A2 失效的身份认证和会话管理A3 跨站脚本（XSS）A4 失效的访问控制A5 安全配置错误A6 敏感信息泄露A7 攻击检测与防护不足A8 跨站请求（CSRF）A9 使用含有已知漏洞的组件A10 未受有效保护的APIOWASP TOP 10表格中罗列的风险大部分是由于加密、防护不足以及访问控制薄弱所引起的。注入、跨站脚本以及跨站请求作为Web攻击中常见的方式，是本章讨论的重点。版权所有 201

13、7 华为技术第22页OWASP Top 10 应用安全风险2017A1 注入A2 失效的身份认证和会话管理A3 跨站脚本（XSS）A4 失效的访问控制A5 安全配置错误A6 敏感信息泄露A7 攻击检测与防护不足A8 跨站请求（CSRF）A9 使用含有已知漏洞的组件A10 未受有效保护的API注入漏洞 注入漏洞发生在应用程序将不可信的数据发送到解释器时。注入漏洞的本质就是混淆数据和执行代码，使输入的数据变成可执行的语句。 其中，SQL注入攻击是最常见、最严重的注入攻击。 注入能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。注入漏洞有时甚至能导致完全主机接管。版权所有 2017 华为技术第23

14、页SQL注入程序员未预料到的结果：Username: adminOR 1=1 -Password: 1攻击关键- 是MS SQL的注通过定界符成功地将攻击者的意图注入到SQL语句中！ 通过注释保证SQL语句正确！释符是SQL字符串变量的定界符SELECT COUNT(*)FROM UsersWHERE username=adminOR 1=1 - and password=1ORACLE：用户名字段中输入： or 1=1 or 1=1或是在字段中输入： 1 or 1=1登录成功！/login.jsp攻击者版权所有 2017 华为技术第24页SQL注入基本步骤and 1=1,or 1=1等 单引

15、号;- 一个分号,两个横线and exists (select count(*) from版权所有 2017 华为技术第25页提权获取数据库数据或Dump整个数据库数据库类型的判断判断是否存在注入漏洞跨站脚本 跨站脚本（XSS）是近年来最为流行的网络攻击方式之一，已经占到了网络攻击相当大的比例，众多网站，如著名的等都遭遇过此类攻击。国内知名的新浪微博遭遇的网络病毒实际上也是跨站脚本漏洞所导致的。 从本质上看，跨站脚本实际上是一种恶意代码执行的方式。主要原因在于网站对于用户提交的数据过滤不严格，导致问题产生。 基本跨站类型p 反射型p 存储型版权所有 2017 华为技术第26页反射型XSS攻击的

16、实施步骤Web服务器及应用程序攻击者的JavaScript在用户的浏览器中执行攻击者将他自己准备的URL提交给用户用户的浏览器向攻击者发送会话令牌攻击者User版权所有 2017 华为技术第27页存储型XSS攻击的实施步骤Web服务器及应用程序攻击者的JavaScript在用户的浏览器中执行用户的浏览器向攻击者发送会话令牌攻击者User版权所有 2017 华为技术第28页反射型跨站脚本攻击实例这篇帖子标题好有吸引力，我要点开看看。我要发布一篇帖子，在帖子里放入恶意脚本。博客网站用户A我还需要再登录一次。版权所有 2017 华为技术第29页在正常的网页框中输入上述一段代码用户输入用户名和， 提

17、交的信息被获取。你一定没有见过如此奇景 document.body.innerHTML=Please LoginUser name:Password:由于页面含有代码， 在A弹出对话框用户从网站上点击该帖子跨站请求 CSRF（Cross-site request forgery）跨站请求，也被称成为oneclick attack或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过来自受信任用户的请求来利用受信任的网站。版权所有 2017

18、华为技术第30页跨站请求攻击原理 要完成一次CSRF攻击，受害者必须依次完成两个步骤：p 登录受信任网站A，并在本地生成Cookie。6.A不知道（5）中的请求是C发出的p 在不登出A的情况下，访问危险网站B。还是B发出的，由于浏览器会自动带上用户C的Cookie,所以A会根据用户的权限处理（5）的请求。这样B就达到了模拟用户操作的目的。1. 浏览并登录信任网站AWeb（A） (Trusted)2. 验证通过，在用户处（C）产生A的Cookie5.根据B在（4）的请求，浏览器带着（2）处产生的Cookie访问A3. 用户在没有登出A网站的情况下，访问危险网站BWeb（B） (Hacked)4.

19、B要求访问第三方站点（A），发出一个请求（request）User(C)版权所有 2017 华为技术第31页存在CSRF漏洞的网站：WebA 攻击者：WebB受害者：User/WebAWeb安全防御手段行为规范 URL过滤规范上网行为 Web信誉体系防范恶意网页站点Web应用系统防御/入侵检测 针对服务器端漏洞、数据库防御 防范跨站脚本等类型攻击Anti-DDoS防范HTTP Flood攻击版权所有 2017 华为技术第32页目录1. Web安全防护概述2. Web基础原理3. Web攻击浅析4. URL过滤技术5. 恶意网页检测技术6. Web应用系统防护技术版权所有 2017 华为技术第3

20、3页URL过滤必要性员工员工员工新闻网站购物网站Internet网站视频网站暴力网站业务网站版权所有 2017 华为技术第34页 大量、暴力信息影响人们的身心健康 社会工程学带来的安全隐患往往占据很大的比例，URL作为客户端侧的人为操作常常为Web攻击打开了第一扇门。 机构员工不受控地访问网站资源，将可能：p 严重降低员工的工作效率p 浪费企业网络带宽资源p 从恶意站点引入病毒、木马等进入内网URL地址结构 Internet上的每一个网页都具有一个唯一的标识，称为URL（ Uniform Resource Locator）地址。pathhostname:80

21、80/news/education.aspx？name=tom&age=20query:port版权所有 2017 华为技术第35页URL过滤原理2.TCP 3次握手建立连接 机构内网员工A！ 员工C员工B版权所有 2017 华为技术第36页5.合法，则放行请求，用户可浏览对应网站3.浏览器发送HTTP Get请求6.不合法，设备可以直接断开TCP连接4.设备截获HTTP Get请求， 检测是否合法1.用户访问7.不合法，设备可以推送告警页面后断开TCP连接URL分类过滤技术 根据自定义分类或者预定义分类，用户可以创建多个

22、URL配置文件。 每条URL配置文件定义了分类的处理动作。研发部URL配置文件销售部URL配置文件版权所有 2017 华为技术第37页分类名称动作分类名称动作体育阻断新闻阻断友商允许政治允许搜索允许阻断游戏阻断暴力阻断URL配置文件描述销售部URL配置文件研发部URL配置文件.URL匹配方式 URL匹配方式包括前缀匹配、后缀匹配、关键字匹配、精确匹配。版权所有 2017 华为技术第38页匹配方式定义条目匹配结果前缀匹配匹配所有以指定字符串开头的URL。www.example*匹配所有以www.example开头的URL，如： /so

23、lutions.do后缀匹配匹配所有以指定字符串结尾的URL。*aspx匹配所有以aspx结尾的URL，如： /news/solutions.aspx /it/price.aspx /sports/abc.aspx关键字匹配匹配所有包含指定字符串的URL。*sport*匹配所有包含sport的URL，如： /news/solutions.aspx /sports/精确匹配首先判断URL和指定字符串是否匹配，如果未匹配，则去除URL 的最后一个目录，再和指定字 符串进行

24、匹配；如果还未匹配， 则继续去除URL的最后一个目录再和指定字符串进行匹配。以 此类推，直到用域名去匹配指 定的字符串为止。www.exa 根据匹配规则，以下URL可以匹配。 /news /news/en/以下URL不会匹配该条目： /newsURL匹配方式 URL匹配方式包括前缀匹配、后缀匹配、关键字匹配、精确匹配。版权所有 2017 华为技术第39页匹配方式定义条目匹配结果前缀匹配匹配所有以指定字符串开头的URL。ww

25、w.example*匹配所有以www.example开头的URL，如： /solutions.do后缀匹配匹配所有以指定字符串结尾的URL。*aspx匹配所有以aspx结尾的URL，如： /news/solutions.aspx /it/price.aspx /sports/abc.aspx关键字匹配匹配所有包含指定字符串的URL。*sport*匹配所有包含sport的URL，如： /news/solutions.aspx

26、 /sports/精确匹配首先判断URL和指定字符串是否匹配，如果未匹配，则去除URL 的最后一个目录，再和指定字 符串进行匹配；如果还未匹配， 则继续去除URL的最后一个目录再和指定字符串进行匹配。以 此类推，直到用域名去匹配指 定的字符串为止。www.exa 根据匹配规则，以下URL可以匹配。 /news /news/en/以下URL不会匹配该条目： /newsURL过滤处理过程URL过滤恶意url 过

27、滤或低信誉URL预定定义分本地缓存查找预定义远程查询远程查询自定义分类过滤获取模式匹配结果黑白过滤流量重组应用识别协议解码模式匹配响应处理版权所有 2017 华为技术第40页URL过滤总体流程TrustUntrust用户URL分类服务器USGHTTP访问请求WEB服务器阻断放行阻断阻断阻断阻断放行分类查询返回分类阻断放行放行阻断版权所有 2017 华为技术第41页未匹配任何策略的处理方式7.远程分类查找6.预定义缓存查找5.恶意URL查找或命中低信誉URL4.本地自定义分类3.URL黑2.URL白1.防绕过处理URL过滤关键配置 URL分类版权所有 2017 华为技术第42页124预定义URL

28、分类3自定义URL分类URL过滤关键配置 URL过滤策略 (1/2)3当URL未命中黑白或本地URL分类缓存， 且预定义分类的远程查询功能不可用时 ，FW 将执行缺省动作版权所有 2017 华为技术第43页1当URL属于多个分类时，2 响应动作将按照动作模式执行，动作分为“严格”和“松散”4配置URL黑白5根据定义的URL分类进行配置，详情请见下页URL过滤关键配置 URL过滤策略 (2/2)6URL过滤级别仅针对预定义分类，与自定义分类无关， 自定义分类的处理动作需要管理员逐一手工设置，默认为允许。版权所有 2017 华为技术第44页7根据不同类别选择相应的处理方式。目录1. Web安全防护

29、概述2. Web基础原理3. Web攻击浅析4. URL过滤技术5. 恶意网页检测技术6. Web应用系统防护技术版权所有 2017 华为技术第45页恶意URL检测 恶意URL来源p 沙箱联动场景沙箱检测到恶意URLp AV检测到的带恶意文件的URLp 低信誉URL 恶意URL检测控制p URL配置文件的恶意URL检测开关开启时依次检测上述恶意URL。版权所有 2017 华为技术第46页Web信誉体系应用场景 Web信誉用于描述网站的可信程度，信誉度高的网站上文件的安全性也高。FW根据网站信誉度的高低，决定是否提取出网络流量中的文件并进行威胁检测。 URL信誉反映了用户访问的URL是否值得信赖

30、。 利用远程查询服务获取URL的信誉值，并对低信誉的URL实施阻断。URL信誉值远程服务器版权所有 2017 华为技术第47页Web信誉体系工作流程网站B网站AInternet检测节点1提取出的文件检测节点2集群管理器FW检测节点3企业内网网站A的流量网站B的流量版权所有 2017 华为技术第48页Web信誉体系分类 按照不同的信誉度，Web信誉功能将网站分为4类：p 预定义可信网站p 自定义可疑网站p 自定义可信网站p 未知网站版权所有 2017 华为技术第49页Web信誉体系分类 按照不同的信誉度，Web信誉功能将网站分为4类：p 预定义可信网站p 自定义可疑网站p 自定义可信网站p 未知

31、网站版权所有 2017 华为技术第50页Web信誉体系工作流程开始是命中自定义可疑网站？否命中自定义可信网站？否命中预定义可信网站？否是是结束版权所有 2017 华为技术第51页还原文件未知网站还原文件不还原文件不还原文件提取host信息Web信誉匹配方式 Web信誉功能从用户访问网站的URL地址中提取出host字段信息，然后在不同的Web信誉网站分类中进行字符串匹配查找。host字段可以为域名或IP地址形式。版权所有 2017 华为技术第52页Host字段形式一级域名举例匹配方式IP地址N/A0或0:8080直接进行字符串匹配查找域名不含“.”

32、example、example-abc或example123包含1个或2个“.”或只针对“example” 进行字符串匹配查找，不关注其他域名内容。包含多个“.”的子域名或Web信誉功能关键配置代次名体版权所有 2017 华为技术第53页1启用Web信誉功能342加入可信网站5表可查看前N个访问数最多的域名，在排输入可疑网站，当用户访问可疑网站时，会首先经过沙箱进行检测统计里可以查看到具6的网站排名。综合查询信誉网站输站“看We由于同一个网站域名可以属于不同的分类，所以

33、最终的匹配结果由匹配优先级决定。这里查询到的即为最终的匹配结果。版权所有 2017 华为技术第54页1入要查询的网2域击查询”，即可到网站所属b信誉分类。目录1. Web安全防护概述2. Web基础原理3. Web攻击浅析4. URL过滤技术5. 恶意网页检测技术6. Web应用系统防护技术版权所有 2017 华为技术第55页Web应用系统安全缺陷配置管理安全隐患服务器配置管理安全缺陷数据库配置管理安全缺陷发布平台配置管理安全缺陷应用自身配置管理安全缺陷运行平台安全漏洞应用服务器安全漏洞数据库管理系统安全漏洞发布平台安全漏洞程序设计安全隐患 不安全的用户访问处理机 不安全的数据验证机制 不安全

34、的系统资源控制机制 不安全的系统边界防护机制 程序编写安全缺陷版权所有 2017 华为技术第56页WAF简介 WAF专门针对Web应用攻击，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 简单来说，WAF可以通过规则对HTTP报文中每一个字段进行过滤。版权所有 2017 华为技术第57页WAF工作流程 WAF主要由执行前端、后端中心系统及数据库组成。输出检测结果数据请求、查询数据库HTTP 报文版权所有 2017 华为技术第58页生成规则逻辑 为检测提供依据后端中心系统WAF引擎执行前端Web配置前端WAF配置规则配置黑WAF处理架构动态生成安全规则阻

35、断经常攻击网站的IP正常访问SQL注入CC攻击服务器漏洞攻击敏感言论提交安全白检查WEB服务安全检查WEB应用安全检查内容安全检查正常访问网络安全检查 正常访问 版权所有 2017 华为技术第59页服务器漏洞攻击SQL注入CC攻击敏感言论提交WAF功能纵深安全防护自学习建模及DDOS/CC防护白防护WAF功能高性能检测防篡改自动侦测应用高速缓存版权所有 2017 华为技术第60页纵深安全防护技术 纵深安全防护技术包含两个部分：p 黑特征检测技术p 协议重组检测技术 其工作流程如下：请求Method为post开启响应包内容检测版权所有 2017 华为技术第61页步骤4检查HTTP返回包内容检查H

36、TTP返回页面内容是否存在服务器信息泄露安全步骤3检查HTTP返回包头检查头部字段是否符合协议规范检查Response_code字段值检查server字段值步骤2检查HTTP请求包内容检查提交内容安全步骤1检查HTTP请求报头检查头部字段是否符合协议规范检查Nethod字段值检查URL字段值检查Version字段值检查User-Agent字段值检查Cookie字段值检查Referer字段值纵深安全防护 黑特征检测输入检测WAF输出检测版权所有 2017 华为技术第62页目录遍录错误信息信息泄露Web用户&Web应用跨站脚本攻击SQL注入命令注入Cookie/session劫持参数（或表单）篡改

37、缓冲溢出攻击目录穿越CSRF攻击盗链纵深安全防护 协议重组检测WAF版权所有 2017 华为技术第63页包缓存重组后内容Get /index.asp?id=1 and 1=1Web应用Web用户&DDoS/CC防护技术WAF00:00:0000:01:00版权所有 2017 华为技术第64页CC攻击防护模块Get /show.asp?id=Get /show.asp?id=4Get /show.asp?id=3Get /show.asp?id=2Get /show.asp?id=1Web应用Web用户&时间轴自学习建模及白防护技术合法输入 提交方式为非法输入输出检测WAF版权所有 2017 华

38、为技术第65页：POSTWeb用户&Web应用提交方式为：POST为：or 1=1为：1=1为：18位数字字母组合为：6位数字组合自学习建模配置截图版权所有 2017 华为技术第66页132配置自学习的目标，生成规则管理。高性能检测技术WAF版权所有 2017 华为技术第67页WAF规则检测模块高性能检测模块Web应用Web用户&防篡改技术WAF版权所有 2017 华为技术第68页防篡改模块缓存模块Web用户&Web应用防篡改配置版权所有 2017 华为技术第69页13选择需要启用防篡改保护功能的保护站点。选取过后， 改站点被保护。2自动侦测应用技术WAF版权所有 2017 华为技术第70页保护站点模块站点侦测模块Web用户&Web应用站点自动侦测配置3版权所有 2017 华为技术第71页12高速缓存技术WAF获取用户1获取用户2版权所有 2017 华为技术第72页缓存模块Web用户&Web应用WAF部署模式 WAF支持、反向、网关模式等多种部署模式。其中工作原理。模式应用场景最为广泛。下图为匹配目的保护站点IP+端口不匹配目的保护站点IP+端口匹配目的保护站点IP不匹配保护站点IP匹配目的保护站点IP+端口不匹配目的保护站点IP+端口匹配目的保护站点IP不匹配保护站点IP版权所有 2017 华为技术第73页应用层高性能模块自学习白CC防护引擎黑特征库应用交付引擎表