中新金盾Web应用防护系统
产品定位
中新金盾WEB应用防护系统,以下简称ZX-WAF,是中新网安基于ZXOS开发的新一代安全产品,作为网关设备,防护对象为Web、Webmail服务器,其设计目标为:针对安全事件发生时序进行安全建模,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web应用安全解决方案。ZX-WAF提供了业界领先的Web应用攻击防护能力,通过多种机制的分析检测,ZX-WAF的技术能够有效的阻断攻击,保证Web应用合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义。同时,针对当前的热点问题,如SQL注入攻击、网页篡改、网页挂马等,ZX-WAF按照安全事件发生的时序考虑问题,优化最佳安全-成本平衡点,有效降低安全风险。
功能特点
全透明代理模式
ZX-WAF基于原透明代理引擎进行产品功能升级,替代了原代理引擎,在网桥上不用添加IP地址,实现在配置上透明,在服务器端能看见客户端的真实IP,实现WAF对服务器的真正的透明防护。
旁路阻断模式
在原有的IPS镜像检测基础上,实现了回注阻断攻击的请求。真正的规避开了单点故障问题,完美的保证了Web系统的正常运行。
文件上传规则防护
后门、木马上传怎么办,由于网站开发商的疏忽没能有效的控制上传文件的策略,WAF将帮您解决此问题。通过策略的定制化,有效的控制上传文件的类型、大小。通过严格的控制上传文件能有效的控制了后门、木马等难缠问题。
网络层防护
包过滤防火墙
ZX-WAF集成了传统防火墙的主要功能,提供包过滤、黑白名单、URL访问控制等基础网络层防护功能,可对Web服务器提供1-7层全面防护。
DDoS防护
ZX-WAF的防DDoS攻击模块采用主动监测加被动跟踪相互结合的防护技术,可辨识多种DDoS攻击,并启用特有的阻断,能够高效地完成对DDoS攻击的过滤和防护。针对互联网中常见的DDoS攻击手段,提供多种防护手段结合的方式,有效的阻断攻击行为,从而确保服务器可以正常提供服务。ZX-WAF提供对以下攻击的防护能力,包括:
l 基于每服务器的DDoS管理
l CC攻击防护
l 客户端/服务器连接数限制
l SYN-UDP-ICMP flood防护
l TCP-UDP-ICMP流量管理
l 各种常见网络层攻击防护
l xml DDoS防护
网页防篡改
ZX-WAF集成了网页防篡改功能,可集中管理控制各个网页防篡改端点,并提供监控、同步、发布功能。该网页防篡改具有以下特点:
l 基于文件夹驱动级保护技术,事件触发机制,只占用极少的系统资源。
l 与WAF联动:网页防篡改(端点技术)与WAF联动,阻断Web威胁。
l 采用文件级驱动保护技术,用户每次访问每个受保护网页时,Web 服务器在发送之前都进行完整性检查,保证网页的真实性,可以彻底杜绝篡改后的网页被访问的可能性。
l 支持Windows 2000/xp/2003/2008/2012(32和64位), Linux/BSD系统的网页防篡改。
l 发布服务器功能,提供网页防篡改的发布模式,能和主流的CMS系统集成进行内容发布。
负载均衡
ZX-WAF集成了服务器负载均衡功能,适用于大型网站多用户、高流量的应用场景。负载均衡在现有网络结构之上,提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。ZX-WAF采用了五种负载均衡算法支持分层架构设计模型,将网络拓扑与应用安全分离,减轻运维负担,大幅降低用户投资。
HTTPS卸载/加速
针对SSL加密应用,WAF根据业务模型提供HTTPS卸载和HTTPS加速应用,以提供更佳的客户体验或降低服务器负载。
HTTPS网守应用
SSL应用越来越广,能提供安全、可靠的HTTP服务,因此被大量采用。但有的客户因为条件限制无法提供HTTPS加密传输,因此面临较高的风险。ZX-WAF根据面向此种模型开发的HTTPS网守服务,能为客户提供无缝HTTPS服务,从而最大保护客户数据安全性。
可视化管理
ZX-WAF强大的设备监控功能,管理员可以实时监控设备的工作状态、攻击威胁等系统信息。目前监控信息分为3大类(ZX-WAF系统软件、硬件状态信息,Web安全攻击信息,网页防篡改系统信息),共计26种状态信息,从而使管理员可以随时对网络和防火墙的状态有详尽了解,及时发现并排除网络问题,保障应用的稳定运行。
三权分立
ZX-WAF按照“三权分立”思想设置了,“配置管理员”、“账户管理员”、“审计管理员”;避免内部人员修改设备配置造成的安全事故,同时也符合国家相关的政策标准要求。
日志留存和分析
ZX-WAF提供日志留存系统,系统会记录包括管理日志、网站访问日志、攻击日志、网页防篡改日志、DDoS日志、审计日志等,在日志量大或有长时间留存要求的场景中,ZX-WAF还提供了外置日志服务器。ZX-WAF还提供了先进的日志分析系统,以图形化展示各类日志,亦可以多种格式导出;方便用户统计网站安全状况。
网络环境支持
ZX-WAF可适应各种网络环境,支持链路聚合、VLan、ARP配置等功能,可无缝部署到客户的网络中。
ZX-WAF支持Trunk链路防护。支持IPV6的防护,可以适应各种网络环境。
高可用性
ZX-WAF采用ZXOS独有的双操作系统驱动模型,保证系统平滑的进行规则库、版本库、核心引擎的在线升级,避免可能的中断客户网络应用的情况发生。ZX-WAF 并且支持很多高可用性选项:高可用性(HA):支持VRRP部署方式,满足大型网络环境部署需求;支持BYPASS模式:丰富的BYPASS选项,可以根据各项性能参数设置进入BYPASS状态,防止各种突发状况造成网络故障;丰富的部署模式:支持透明检测部署、旁路阻断部署、旁路检测模式、反向代理部署。
客户价值
通过更靠近服务器的部署位置,提供有效的服务器安全;识别拦截针对服务器的攻击行为,保障服务器自身安全;提供必要的服务器负载均衡功能,保障服务器稳定可用;识别保护服务器上传的敏感信息,保障服务器内容安全。
事前,ZX-WAF提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。
事中,对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。可以有效的防止因黑客攻击而造成的用户网站被恶意篡改、恶意仿冒、敏感信息被泄露、网站被远程控制、被信息安全主管单位漏洞通报等安全事件的发生。客户可以对自身网站安全情况了然于胸,提升用户对自身网站安全防护的信心。
事后,可以通过对日志报表的分析,全面详细的了解自身网站遭受黑客攻击的状况,通过组织网站开发人员、网站安全人员对网站漏洞进行修复,使得网站更加安全,发生网站安全事件的几率更低。