绿盟Web防火墙产品介绍

绿盟WEB应用防火墙Datasheet

? 2013 绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■商标信息

绿盟科技、NSFOCUS是绿盟科技的商标。

目录

一. 产品概览 (1)

二. 产品优势和客户收益 (1)

2.1二维防护体系 (1)

2.2双向在线清洗 (2)

2.2.1 应对OWASP Top 10 (3)

2.2.2 智能应用层DDoS攻击防护 (4)

2.2.3 网页篡改在线防护 (4)

2.2.4 绿盟安全研究中心 (5)

2.3人性化O&M系统 (5)

三. 典型部署 (6)

四. 集中管理 (7)

五. 产品规格 (8)

5.1产品功能特性 (8)

5.2产品规格 (9)

六. 产品资质 (10)

插图索引

图 2.1 NSFOCUS WAF二维防护体系 (2)

图 2.2 NSFOCUS WAF双向内容清洗 (3)

图 2.3 NSFOCUS WAF系统监控 (5)

图 2.4 NSFOCUS WAF安全报表 (6)

图 3.1 NSFOCUS WAF典型部署 (7)

图 4.1 集中管理 (8)

一. 产品概览

绿盟WEB应用防火墙（又称绿盟WEB应用防护系统，以下简称NSFOCUS WAF）产品针对各类机构的WEB业务系统，提供WEB安全和WEB应用交付融合的解决方案，确保WEB业务在安全和性能两方面的收益最大化：

◆缓解HTTP及HTTPS应用下各类安全威胁，如SQL注入、XSS、跨站伪造（CSRF）、

cookie篡改以及应用层DDoS等，有效应对网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障WEB应用的高可用性和可靠性。

◆WEB应用交付方面，降低服务响应时间、显著改善终端用户体验，优化业务资源和提高

应用系统敏捷性，提高数据中心的效率和服务器的投资回报率(ROI) 。

二. 产品优势和客户收益

2.1 二维防护体系

NSFOCUS WAF具有二维的防护体系：

◆纵向提供纵深防御：通过建立协议层次、信息流向等纵向结构层次，构筑多种有效防御

措施。

◆横向：协助客户满足合规要求；缓解各层安全威胁（包括网络层、WEB基础架构及WEB

应用层）；降低服务响应时间、显著改善终端用户体验，优化业务资源和提高应用系统敏捷性。

图 2.1 NSFOCUS WAF二维防护体系

2.2 双向在线清洗

NSFOCUS WAF支持完全透明代理的部署方式，作为WEB客户端和服务器端的中间人，避免WEB服务器直接暴露于互联网上，监控HTTP/HTTPS双向流量，对其中的恶意内容进行在线清洗。

图 2.2 NSFOCUS WAF双向内容清洗

2.2.1 应对OWASP Top 10

超越传统IPS产品基于静态规则的防护机制，NSFOCUS WAF有效结合了静态规则与基于用户行为识别的动态防御机制，应对OWASP Top101中的WEB应用安全问题，对恶意应用流量进行双向清洗，保护网站免于以下攻击/损失：

◆网页篡改

◆网页挂马

◆网络钓鱼

◆隐私侵犯

◆身份窃取

◆经济损失

◆名誉损失

1https://www.sodocs.net/doc/bc13322333.html,/index.php/Top_10_2007

2.2.2 智能应用层DDoS攻击防护

NSFOCUS WAF应用了自主研发的抗拒绝服务攻击算法，可防护各类带宽及资源耗尽型拒绝服务攻击，如对SYN Flood这种常见攻击行为能够有效识别，并实时对攻击流量进行阻断，确保了WEB业务的可用性及连续性。

基于动态防护机制，NSFOCUS WAF可有效识别用户行为模式，对HTTP Flood攻击进行实时检测、防护。基于绿盟多年抗拒绝服务的技术积累，WAF产品中应用了多种应用层抗DDoS防护技术，当发生未知攻击时，无需专门的撰写规则即可对这些攻击进行防护。

2.2.3 网页篡改在线防护

按照网页篡改事件发生的时序，NSFOCUS WAF提供事中防护以及事后补偿的在线防护解决方案。事中，实时过滤HTTP请求中混杂的网页篡改攻击流量（如SQL注入、XSS等）。事后，自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行短信告警。基于WEB cache机制的实现，从网站的用户侧感知来看，网站对外仍显示篡改前的正常页面，用户可正常访问网站。

2.2.4 绿盟安全研究中心

安全攻防是一个动态过程，安全产品面对的是充满“智慧”的对手。绿盟科技拥有专门的安全研究机构，能够及时跟踪、发现互联网上新出现的WEB应用攻击类型，并将研究成果具体应用于NSFOCUS WAF产品规则库和防护算法的更新，帮助客户对抗最新攻击。

2.3 人性化O&M系统

NSFOCUS WAF从设计之初，就充分考虑了网站安全运维人员对安全工具“低管理开销、运维价值显性化”的需求，提供了丰富的监控功能以及多维度、多粒度的统计报表，充分确保安全运维工作的有效（有效果和有效率的）。

NSFOCUS WAF提供安全事件、访问情况、设备负载以及安全缓存监控，满足传统网络管理需求，协助安全运维人员了解当前或历史的网站运行情况以及安全状态，确保紧急情况下对安全事件能迅速定位。

图 2.3 NSFOCUS WAF系统监控

NSFOCUS WAF提供了多维度/多粒度的统计报表，包括基于告警分类/时段/区域统计的安全报表、基于访问时段/区域/业务类型的访问统计报表、流量趋势报表以及各类安全防护日志（网络层访问控制/URL ACL/DDoS防护日志/WEB安全日志/ARP防护日志/WEB访问日志）。

图 2.4 NSFOCUS WAF安全报表

三. 典型部署

通常情况，NSFOCUS WAF工作在DMZ区，无需修改网络及服务器配置，透明部署在防火墙和WEB服务器群之间，对WEB服务器群的出入流量进行有效监控，从而确保WEB 应用的安全，如下图所示。

图 3.1 NSFOCUS WAF典型部署

对于关键业务，建议部署双机热备，避免传统串联设备存在单点故障的隐患，从而有力保障WEB业务的高可用性。

在部署了多业务网段服务器的网络环境中，建议对WAF设备采用旁路方式部署，提供一种逻辑在线防护机制。该种部署灵活性较好，可以实现业务分流，对核心系统影响较小。旁路技术工作原理如下：

1. 流量牵引：主要指通过路由技术的应用，将原来去往目标网站IP的流量牵引至WAF设

备。被牵引的流量为攻击流量与正常流量混杂的HTTP流量；

2. 攻击防护/流量净化：WAF防护设备通过多层的攻击流量识别与净化功能，将WEB攻击

流量从混合流量中分离、过滤；

3. 流量注入：经过WAF清洗之后的合法流量被重新注入回网络，最终到达目的网站。

4. 内容安全：网站响应的HTTP流量在返回给客户端之前，仍然需要流经WAF设备，提供

内容安全检测和防护，经WAF处理后的合法内容最终返回给客户端。

四. 集中管理

针对多个网站业务系统，在网络中部署了多台NSFOCUS WAF，除了检测与防护本身，另一项占有重要角色的组成就是对整网设备的监管及数据的收集、整理与统计报表呈现。这部分功能将由绿盟安全中心（NSFOCUS SC）来实现（如图4.1所示）。

图 4.1 集中管理

五. 产品规格

5.1 产品功能特性

5.2 产品规格

六. 产品资质

◆中华人民共和国公安部颁布的《计算机信息系统安全专用产品销售许可证》

◆国家保密局涉密信息系统安全保密测评中心颁布的《涉密信息系统产品检测证书》

◆中国信息安全测评中心的《国家信息安全测评信息技术产品安全测评证书》，并获得EAL3

级别

◆中国人民解放军信息安全测评认证中心颁布的《军用信息安全产品认证证书》

◆中华人民共和国国家版权局颁布的《计算机软件著作权登记证》