從安全角度考慮，針對目前泛濫的SQL注入、跨站腳本、應用層DDoS等Web應用攻擊，提供有效檢測、防護，降低攻擊的影響，最為理想情況，解決根本問題是對Web應用代碼進行整改，嚴格遵循安全編碼，確保網站安全。但通常，我們會發(fā)現為此付出的代價過大，對正常業(yè)務開展有很大影響。

    Web應用防護系統以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題。與傳統防火墻不同，WAF工作在應用層，因此對Web應用防護具有先天的技術優(yōu)勢?；趯eb應用業(yè)務和邏輯的深刻理解，WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網站站點        進行有效防護。

一、產品介紹

    用戶網站資產為導向，梳理網站資產列表，以滿足Web應用的各種防護需求?；谟脩艟W站資產為導向的Web防護是指以網站資產為防護核心，以保護網站資產價值為目標的安全防護策略。這種策略旨在確保網站的安全性和穩(wěn)定性，防止未經授權的訪問、篡改和攻擊。

    在透明和路由牽引模式下，可以自動發(fā)現網站資產并識別出HTTP和HTTPS流量，從而發(fā)現網站資產。所有站點發(fā)現無需直接配置每個網站。這大大減少了部署工作量，并提高了網絡管理員的效率。

二、產品功能

    2.1.多種Web應用動態(tài)防護措施

    幻象防護技術，用戶可根據網站的自身情況，選擇開啟幻象防護功能，可實現對網站頁面的靜態(tài)保護，能夠使訪問者無法看到真實的網站內容，始終對外展示某一時間點的網站幻象，保護網站內容安全。

    行為防護技術，用戶可根據網站的自身情況，選擇開啟防目錄遍歷功能，可針對網站的目錄遍歷掃描進行安全防護。防目錄遍歷開啟后可以防止攻擊者在一定時間內惡意遍歷網站目錄的攻擊行為。

    數據防護技術，用戶可根據網站的自身情況，選擇開啟數據防護功能，可針對網站的內容數據進行安全防護。數據防護開啟后可以防止網站內容中敏感信息的數據泄露，可針對身份證、手機號、銀行卡等信息做部分隱藏處理。

    2.2.智能防掃描識別掃描行為

    Web應用防護系統能夠識別掃描行為和掃描器特征，阻止攻擊者或掃描器對網站進行大規(guī)模掃描行為，可以幫助Web業(yè)務降低被入侵的風險并減少掃描帶來的垃圾流量。將短時間內訪問當前防護對象下大量無效目錄，自動拉入黑名單，在一段時間內對該攻擊源的所有請求執(zhí)行攔截。

    2.3.專項API業(yè)務及登錄防護

    隨著Web應用通過廣泛使用應用編程接口 (API) 從互連擴展到協作，讓已經存在的安全問題變得更加復雜，API防護可以保護應用免受通?？商舆^傳統防火墻檢測的 API 攻擊。

    特殊的業(yè)務場景，如登錄頁面的安全防護，可以與雙因素身份驗證機制結合使用，站點后臺管理員可綁定WAF提供的雙因子認證，對后臺登錄行為增加安全認證，提供額外的身份驗證信息，以確保用戶的身份得到更嚴格的驗證。

    Web應用防護系統借助可通過速率限制、行為分析和防自動化來保護 XML、JSON的獨特防御機制，可自動檢測應用程序接口威脅，為API接口提供嚴格的策略規(guī)則，并阻止各類攻擊和特殊內容類型，從而將應用威脅拒之門外。

    2.4.國產化操作系統及硬件適配

    國產化操作系統和硬件適配是當前信息技術領域的熱點話題。國產操作系統和硬件適配的崛起，一方面得益于國家政策的支持，另一方面也是由于國內信息技術的不斷發(fā)展和進步。在操作系統方面，WAF可以適配麒麟軟件和統信UOS的國產操作系統。在硬件適配方面，WAF可以適配國產X86和ARM架構硬件，WAF全面適配國產操作系統和硬件適配的發(fā)展，符合國家信息安全戰(zhàn)略的需求。

    2.5.手動編排自定義Web規(guī)則

    針對有能力的高級用戶，還提供了自定義和編寫規(guī)則內容的功能。用戶可以手動編寫自己的防護規(guī)則，支持字符串快速匹配與正則匹配。

    2.6.全面兼容IPv4/IPv6環(huán)境

    Web應用防護系統能夠全面兼容并支持IPv6協議，可輕松融入IPv6的網絡，或者IPv4/IPv6混合網絡。能夠同時支持IPv4/IPv6環(huán)境下的攻擊檢測和訪問策略，確保IPv6時代的網絡通暢，為IPv6環(huán)境提供了完善的安全防護。

    2.7.HTTP/HTTPS協議防護

    SSL安全加密：提供SSL加密功能，Web服務器只需要開啟80端口，然后在WAF系統的代理中添加SSL證書，并指定Web服務器的80端口。用戶只要訪問WAF系統的443端口，就可以達到對原有HTTP數據流的加密，同時可以過濾在HTTPS會話中的攻擊行為，為Web服務器與數據庫服務器提供安全保障。

    2.8.安全加固錯誤信息過濾

                很多情況下，服務器的報錯信息會暴露網站的絕對或相對路徑、網站部分源碼、SQL語句信息等，自動對返回的錯誤信息進行過濾，禁止外界可以看到服務器報錯信息，有效對數據庫內部信息進行防護。

    2.9.拒絕服務CC安全防護

    提供CC安全防護是為了防御CC攻擊，CC攻擊主要是用來消耗服務器資源的，攻擊者控制某些主機不停地發(fā)大量數據包給對方服務器造成服務器資源耗盡，一直到宕機崩潰。Web應用防護系統可以設置CC防護規(guī)則，攔截針對網站頁面請求的CC攻擊，并返回攔截提示頁面，避免惡意入侵長時間占用消耗服務器的核心資源，造成服務器性能異常問題。確保網絡數據中心穩(wěn)定運行，解決因惡意請求導致網站業(yè)務響應緩慢或無法正常提供服務。

    2.10.靈活的應用負載均衡

    負載均衡：自動將請求分發(fā)到不同的Web服務器

    支持動態(tài)網站：保持同一會話連接在同一服務器

    自動熱備：一臺或幾臺服務器宕機，自動將請求分配到其他服務器

    合理分配流量：根據服務器的性能，將請求分配到不同服務器

  2.11.多種部署模式融合

    Web應用防護系統能應用于各種復雜的網絡環(huán)境中，可以分別保護單臺或者多臺Web服務器。可以采用網橋模式，旁路反向代理模式，路由牽引模式，混合部署模式?？梢苑奖?、靈活的應對客戶網絡環(huán)境的變化。

    透明網橋模式

    旁路反向代理模式

    路由牽引模式

    混合部署模式

 2.12.避免單點故障措施

    Web應用防護系統在透明網橋和反向代理模式下，由于要轉發(fā)流量可能存在單點故障問題，為了避免單點故障不影響業(yè)務，可采用以下幾種措施。

            透明網橋模式

        單機WAF（物理），通過自身或外置Bypass設備，在突然斷電或者重啟時能夠自動直連。

        雙機WAF（物理），通過HA高可用功能，配置高可用HA主主模式或者主備模式，當時一臺設備出現故障時，自動進行雙機切換。

    反向代理模式

        LB負載均衡+多機WAF（虛機/物理）, 通過前端負載均衡進行負載算法分配到后端多機WAF，多機WAF進行配置自動同步，在負載均衡的調度下可實現自動切換，保證業(yè)務的連續(xù)性。

        雙機WAF（虛機/物理），通過HA高可用功能，配置HA主備模式，通過VRRP虛擬路由器冗余協議進行雙機WAF主備切換，自動進行雙機切換。

    路由牽引模式（策略路由）

                                單機WAF（物理），通過三層交換設備配合策略路由實現路由牽引，WAF工作在路由轉發(fā)模式，當設備出現故障時，需手動進行路由切換。

                                雙機WAF（物理），通過三層交換設備配合策略路由實現路由牽引，WAF工作在路由轉發(fā)模式，雙機WAF進行HA配置自動同步，當一臺WAF設備出現故障時，需手動修改路由切換至另一臺WAF設備。

2.13. 分布式集群管理

    具備分布式集群管理，可提供多節(jié)點WAF的集群管理，實現多節(jié)點WAF的配置同步，統一升級管理，能夠對加入集群的節(jié)點設備進行統一管理，在管理節(jié)點上傳升級包進行固件或規(guī)則升級操作，提供集群內所有設備升級管理。

三、部署模式

1.旁路反向代理部署

            旁路反向代理模式，將設備置于內網的交換機下，訪問Web服務器的所有請求都通過設備代理流入流出。這種模式下，Web服務器無法獲取訪問者的真實IP地址，需要借助HTTP報文中設置相應的字段來表示訪問者IP地址。反代部署的最大特點是快速、簡單、隱藏真實服務器，可按需配置。

            2.串聯透明網橋部署

        透明網橋模式指在兩臺運行的網絡設備中間插入設備，但是對流量并不產生影響。在透明網橋模式下，可以阻斷、攔截來自Web應用層攻擊，而讓其他正常的流量通過。透明網橋部署模式的最大特點是快速、簡便，先部署后配置。

        3.策略路由牽引部署

        通過配置策略路由，在路由器或交換機上配置策略路由，將需要保護的Web應用流量引導到WAF上?？梢愿鶕碔P地址、目的IP地址、協議等條件來定義策略路由。策略路由部署，可以更好地保護Web應用免受各種網絡攻擊，同時不影響正常的業(yè)務運營。