天融信Web应用防火墙方案白皮书Word文档格式.docx

天融信Web应用防火墙方案白皮书Word文档格式.docx

《天融信Web应用防火墙方案白皮书Word文档格式.docx》由会员分享，可在线阅读，更多相关《天融信Web应用防火墙方案白皮书Word文档格式.docx（40页珍藏版）》请在冰豆网上搜索。

基于规则的保护是信息安全产品最主流的防护方法，虽然对于未知攻击和0day攻击缺少防护能力，但是对于大量的已知攻击可以提供精确的、细致的防护。

WAF产品提供了精细的防护规则包括：

●跨站脚本攻击

●扫描器防护

●SQL注入攻击

●操作系统命令注入

●远程文件包含攻击

●本地文件包含攻击

●目录遍历

●信息泄漏

●WebShell检测

●HTTP协议异常

●HTTP协议违规

●其他类型的攻击

除了基于规则的检测方法，WAF产品还应具备基于自学习建模的主动防御引擎。

对于URI和POST表单，WAF产品的主动防御引擎都可以学习到其参数的个数，以及每一个参数的类型和长度。

在学习一段时间之后（通常是一到两周），WAF产品可以建立目标服务器所有动态页面的正向模型。

在应用主动防御策略的条件下，所有不符合正向模型的参数都会被阻断，可有效的防御未知威胁和0day攻击。

⏹有效的缓解拒绝服务攻击

WAF产品整合了DDoS防御能力，采用分层的立体防御和业界领先的源信誉检测机制，可以有效的缓解synflood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。

WAF产品首先识别明显的攻击源，比如单个源流量明显异常，通过源限速模块把所有可能的攻击源的流量限制在某一个范围之内。

第二步也是整个DDoS防御的核心：

源信誉检测机制，该机制可以有效的把正常流量和攻击工具生成的攻击流量区分开来，阻断攻击流量，放行正常流量。

最后一步，当所有的正常流量的总和仍然超过了目标服务器的处理能力，为了保证服务器正常工作，通过目的限速模块把放行到服务器的流量限制在服务器处理能力之内。

通过这种分层的防御机制，使服务器不间断的对外提供服务，保障了业务的连续性。

⏹灵活的部署模式

WAF产品具有在线串接、旁路检测和服务器负载均衡三种工作模式。

在线串接部署虽然对用户网络有一定的侵入性，但WAF产品的高可靠性设计极大的缓解了这一影响。

在线串接的一个显著好处是可以实现非常可靠的攻击阻断能力。

而旁路检测完全没有侵入性，对用户的网络环境不造成任何影响，但旁路检测没有提供攻击阻断的能力。

在多个服务器对外提供相同服务的环境里面，WAF产品可以作为负载均衡器工作，并且提供了灵活的会话调度的能力和服务器状态检查能力。

在线串接部署时，WAF产品提供了多种网络层的接入方式，比如虚拟线、交换、路由。

虚拟线方式使WAF产品像一根虚拟的网线一样接入用户网络，是最简单最便捷的方式。

交换模式同时支持access、trunk两种方式，路由模式支持静态路由和策略路由，也就是说在用户预算受限时WAF产品可以在检测攻击的同时，充当交换机或者路由器。

⏹全64位ipv6支持

WAF产品的管理平面和数据平面均为全64位系统，具备原生ipv4/ipv6双栈处理能力，不仅能够在纯ipv6网络环境中部署和检测攻击，还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。

全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率，所以WAF产品在ipv6网络环境中具有与在ipv4网络环境中一样的性能。

WAF产品中处理的所有ip地址均支持ipv4和ipv6地址，所有应用层攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程，使得各种应用层攻击都无所遁形。

WAF产品还支持配置ipv6地址的主机管理、ipv6SNMP网管以及支持ipv6的日志服务器等增强功能。

⏹高可用性

WAF产品应采用双引擎设计，主检测引擎和影子检测引擎不仅功能完全相同，且均处于运行态，即只要有数据报文传送就可以进行攻击检测。

不同的是，正常情况下，数据流只上送到主检测引擎，影子检测引擎没有数据可以处理，相当于处于“待命”状态。

一旦主检测引擎出现故障无法处理数据报文，平台底层负责数据流分发的模块会及时将数据流切换到影子检测引擎，由于影子检测引擎处于准工作的“待命”状态，此时会即刻开始数据报文的检测工作，从而确保整个检测引擎的不间断工作，大幅提高了检测业务的可靠性。

WAF产品支持硬件bypass功能，可以串行接入用户网络环境，在设备升级维护等需要重新启动过程中确保用户网络通畅。

WAF产品支持主主、主备方式的双机热备功能，可以实现链路的高可用性

2产品硬件规格及性能参数

2.1WAF:

TWF-72138

配置说明

2U机架式结构；

最大配置为26个接口；

4个10/100/1000BASE-T接口和4个SFP插槽，2个10/100/1000BASE-T接口（作为HA口和管理口）；

默认包括2个可插拨的扩展槽

双电源

性能描述

并发连接>

200万

吞吐率>

2000Mbps

硬件参数

尺寸：

460*426*89mm（2U）

电源：

100-240V，AC，（47-63HZ），4.5-2A，300W

平均无故障时间（MTBF）：

超过60，000小时

工作温度：

0~45℃

平台净重：

9.07KG

产品毛重：

12.68KG

符合的标准规范

环境保护GB/T9813-2000；

电磁辐射GB/T17618-1998；

GB9254-2008

运输方式

快递、物流

其它要求

接地线的数量、线径：

1根,大于等于0.75平方毫米.

接地线数量、线径：

1根,线径大于等于0.75平方毫米.

接地电阻：

小于100毫欧

电源品牌：

新巨

电源型号：

R1S2-5300V4V

3产品测试方案

3.1WEB应用防火墙测试方案

3.1.1测试环境

测试拓扑

功能测试拓扑图：

3.1.2防护能力测试

攻防拓扑

跨站脚本（XSS）攻击防护

3.1.2.1.1XSS跨站攻击防护

测试分项目

XSS跨站攻击

测试目的

攻击者通过跨站攻击可以给网站增加恶意网页链接，或者向访问用户弹出推送钓鱼页面等，通过此测试来验证waf能否对跨站攻击（包括反射性跨站和存储型跨站）进行有效防护

测试步骤

1、TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。

2、登陆WebGoat服务器，在如下搜索框中输入跨站代码<

script>

alert（‘hack’）<

/script>

3、执行SubmitSolution

预期结果

该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：

测试结果

通过部分通过未通过未测试

测试报文

3.1.2.1.2XSS钓鱼攻击防护

XSS钓鱼攻击

通过跨站攻击，攻击者修改HTTP页面源代码，实现记录用户认证信息等功能，通过此测试来验证waf对钓鱼攻击漏洞能否能做有效防护

1、TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。

2、在如下页面输入XSS攻击内容：

<

iframe

src="

http:

//localhost:

8080/WebGoat/attack?

Screen=5&

menu=900&

transferFunds=400"

id="

myFrame"

frameborder="

1"

marginwidth="

0"

marginheight="

width="

800"

scrolling=yesheight="

300"

onload="

document.getElementById（'

frame2'

）.src='

Screen=5

&

transferFunds=CONFIRM'

;

"

>

/iframe>

frame2"

3、执行Submit

备注

SQL注入攻击防护

3.1.2.1.3数字型SQL注入攻击防护

数字型SQL注入攻击

SQL注入攻击，是发生于应用程序之数据库层的安全漏洞。

简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏

1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。

2、开启代理Webscarab，拦截如下页面后，对参数station的值进行修改，修改为101or1=1：

3、执行Acceptchanges

3.1.2.1.4字符型SQL注入攻击防护

字符型SQL注入攻击

2、在WebGoat服务器如下页面输入参数’or1=1-

3、执行Go！

3.1.2.1.5SQL盲注入攻击防护

SQL盲注入

如果网站上有盲注入漏洞则攻击者可以做猜解用户名密码等探测，通过此测试来验证waf能否对盲注入漏洞能否能做有效防护

2、在WebGoat服务器如下页面输入参数101AND