需求分析
Web技术的开放性导致被攻击概率增加
根据中国互联网络信息中心(CNNIC)发布的数据,截止到2022年底,我国网站数量已超387万个。随着很多企业的业务系统由传统的C/S模式转向更加开放的B/S模式,网站和Web应用系统被不法分子攻击的概率也大大增加,SQL注入攻击、跨站脚本(XSS)攻击、网站挂马、 Webhell等各种攻击,都会对业务系统造成严重威胁。
Web安全成为攻防对抗的前沿阵地
Verizon2018年发布的第11期《数据泄露调查报告》显示,Web应用程序相关的安全事件最终导致数据泄露的次数是最多的。在Web应用防火墙已经成为企业级用户标准配置的情况下,针对Web应用程序的攻击仍然有着如此高的杀伤力,可见Web安全所面临的挑战之严峻。
Web应用防火墙的部署和防御效果对确保应用层安全至关重要
由于Web应用系统的规模日趋庞大,以及Web应用防火墙本身的专业性,要全面发挥它的防护作用需要结合多种防护手段。Web应用防火墙通过智能分析和机器学习等技术的应用,让防护策略和威胁分析变得更加简单,帮助用户更轻松得应对应用层风险和未知攻击,保护业务系统的稳健运营。
产品概述
360 Web 应用防火墙是新一代专业的Web 应用安全防护产品,专注于为网站及 Web 应用系统提供专业的应用层深度防御,可以帮助客户应对 OWASP TOP10 风险,并针对 Webshell、网站挂马、暴力破解等各种 Web 攻击进行防御。针对目前 Web 安全防护所面临的挑战,在 Web 资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和机器学习技术,帮助用户更轻松、更全面的部署 Web 安全防御策略,屏蔽 Web 漏洞和风险,确保网站的运营安全。
Web 应用防火墙广泛适用于政府、企业、金融、教育等行业中涉及 Web 应用安全防护的场景,帮助用户满足如网络安全法、信息安全等级保护等政策法规的建设要求,提高 Web 业务系统的安全性和健壮性。
功能介绍
针对OWASP TOP10风险的全面防御OWASP TOP10 是长期以来经过验证的、对 Web 业务影响最严重的十项安全风险,是 Web 安全开发的重要参考。 WAF采用深层代理、应用漏洞扫描、日志聚合、智能自学习等多项领先技术,提供完整的 OWASP 风险减缓及消除方案。对于2017年新增的 XML外部实体、不安全的反序列化、不足的日志记录和审计三项风险,也可以进行应对。对抗未知风险的流量自学习数的攻击行为可以通过特征签名和正则匹配的方式来发现,但对于无法明确攻击特征的未知威胁,也需要有相应的发现和处理手段。比如在网络边界的位置,通常利用网络流量分析(NTA)、沙箱(Sandbox)等安全技术来发现未知威胁。对于应用层威胁,由于访问行为和业务类型、网站结构,甚至不同网页的具体情况密切相关,需要有更深入的分析手段。
对于SQL注入、跨站脚本攻击等主流的应用层攻击,基于黑名单的检测方式无法发现特征不明确的攻击行为,而且容易出现误报。另一种检测思路是采用白名单的检测机制,即对网站的流量进行学习并建立流量模型,后续发现同正常访问行为违背的流量则认为是异常流量。 Web 应用防火墙同时采用了这两种检测机制,可以对网站的动态 URL、URL 参数、COOKIE、IP 分布等内容进行智能的机器学习,学习完之后管理员还可以对学习结果进行优化和校正,最终生成网站的动态 URL树,并为这棵的每一条动态 URL建立安全基线,提供个性化保护。加速业务访问
提升用户体验WAF 采用高速缓存技术,使客户访问端可直接在 WAF 本地获取文件,有效减少服务器交互数据;可以通过 Web 页面压缩、TCP 连接复用等技术来提高传输效率,提升用户的访问体验;支持 SSL 卸载技术,代替 Web 服务器对流量进行加解密处理,降低 Web 服务器的性能压力; WAF支持轻量级负载均衡(SLB)和服务器健康检查,可以将业务流量分担到多台 Web 服务器,有效避免单点故障。高可靠性技术Web应用防火墙系统具备的高可靠性技术,使设备可以在用户日益复杂的网络环境中灵活地部署。并且在通信线路或设备产生故障时提供备用方案,从而保证数据通信的畅通,有效增强网络的可靠性。
Web防火墙设备支持HA的2种工作模式:Active-Passive(A/P)模式和Peer模式。当一台设备不可用或者不能处理来自客户端的请求时,该请求会及时转到另外的可用设备来处理,这样就保证了网络通信的不间断进行,极大地提高了通信的可靠性。专业安全防护360上网行为审计系统具备超过8000种预定义攻击特征的WAF级入侵防御功能和海量病毒特征独特实时病毒拦截技术以及高效引擎的病毒防护功能,实时的对流量进行分析。从数据链路层到应用层有效的阻断网络中的攻击和病毒行为,全方位的立体保护用户的关键数据,避免机密文件泄露和经济损失。
部署方案
典型应用
场景举例
- 政府行业
需求:
- 《网络安全法》/等级保护2.0
- 三方监管/上级检查
- 运维人员缺乏安全意识
- 恶意篡改,影响政府形象
解决方案:
- 满足安全防护需求
- 包括SQL注入、XSS、网页防篡改等
- 满足安全防护需求
- Web漏扫+虚拟补丁
- 7层安全策略
- 智能误报分析+多级日志聚合
- 大屏可视
- WAF防篡改(静态)
场景举例
- 医疗行业
需求:
- 《网络安全法》/等级保护2.0
- 数据信息泄露
- 海量Web资产梳理+防护
- 恶意篡改,影响形象
解决方案:
- 满足安全防护需求
- 包括SQL注入、XSS、网页防篡改等
- 防护医院病人信息的泄露,网站的源码及敏感文件的泄露
- Web资产自发现
- 默认防护站点
- WAF防篡改(静态)
场景举例
- 教育行业
需求:
- 敏感信息泄露
- 三方监管/上级检查
- 海量Web资产梳理+防护
- 恶意篡改,影响形象
解决方案:
- WAF敏感信息防泄漏
- 满足安全防护需求
- Web漏扫+虚拟补丁
- 7层安全策略
- Web资产自发现
- 默认防护站点
- WAF防篡改(静态)