《部署web防火墙项目技术说明书》由会员分享,可在线阅读,更多相关《部署web防火墙项目技术说明书(6页珍藏版)》请在金锄头文库上搜索。
1、部署 WEB 防火墙项目技术说明书一、硬件参数要求:产品带宽大于等于 2G;包含最少 8 个千兆业务电口、2 个千兆管理电口;内存大于等于 8G;两块 1TB 硬盘,RAID1 阵列配置;双电源。二、功能要求:1、防护 SQL 注入攻击。SQL 注入攻击利用现有应用程序不对输入数据进行检查过滤的缺陷,将恶意的 SQL 命令注入到后台数据库引擎执行,达到偷取数据甚至控制数据库服务器目的。开启 WEB 防火墙的 SQL 注入防护功能可以防御 SQL 注入攻击。通过配置站点安全中的相应内容,可以实现丢弃攻击报文,或者返回错误页面,阻断攻击主机,提取原始报文以及上报攻击事件等功能。WEB 防火墙能够针
2、对 SQL 注入事件做到精确报警和防御能力,必须实现对十五种基本 SQL 注入攻击手法的防护,并能够提供智能关联分析,以应对千变万化的 SQL 注入攻击变种。上报的日志中记录了详细的 URL、参数和攻击代码。2、防护跨站脚本攻击。跨站脚本攻击(Cross Site Scripting),指恶意攻击者往 Web 页面里插入恶意 html 代码,当受害者浏览该 Web 页时,嵌入其中的 html代码会被受害者 Web 客户端执行,达到恶意目的。开启 XSS 攻击防护功能可以防御 XSS 攻击。通过配置安全策略中的相应内容,可以实现丢弃攻击报文,或者返回错误页面,阻断攻击主机,提取原始报文以及上报攻
3、击事件等功能。WEB 防火墙能够针对跨站脚本漏洞做到精确报警和防御能力,至少实现对二十种基本 XSS 攻击手法的防护,同时对跨站脚本漏洞变种攻击也能进行告警和防御。上报的日志中记录了详细的 URL、参数和攻击代码。3、防护网站内容爬取。从安全防护的角度来看,非法的网站内容爬取其实就是针对 WEB应用的 DDoS 攻击。这些 WEB 应用 DDoS 攻击主要包含恶意的 DDoS 攻击与过量的正常 WEB 应用并发请求。不论是哪种情况,均会对 WEB 应用服务器造成极大的伤害,极易造成 WEB 服务不可用的状况。从攻击实现机制来看主要分为:高流量、高请求数 DDoS 攻击和慢速 HTTP DoS
4、攻击。WEB 防火墙能够针对网站内容爬取做到报警和防御能力,对网络爬取行为进行告警和防御。WEB 防火墙提供的防御策略包括并不限于: 全自动非法机器人访问拦截 基于访问频率的全站防爬取 基于特定 URL 的防爬取 基于特定访问特征的防爬取 基于真实源 IP 地址的防爬取 慢速 HTTPDDoS 攻击防护上报的日志中记录了详细的 URL、参数和攻击代码。4、WEB 防火墙必须支持基于 HTTP 相关属性进行防护策略自定义,HTTP 属性必须包括并不限于: 源 IP 地址、HTTP 协议版本、URL、参数、参数值、HTTP 头、HTTP 方法、会话状态、应用用户、支持的语言、User-Agent、
5、Referer、Cookie、Cookie 值、响应代码、响应大小、响应时间、发生次数、特征字串、关键字、文件类型、模型违规、IP 来源等,且可以通过 OR、AND、NOT 等逻辑操作组合这些条件。WEB 防火墙必须具备对 HTTP 协议的合规性检查和防护的功能。可以通过分析收到的 HTTP 请求,通过协议合规性分析,找出和 HTTP 标准协议规定所不符合的 HTTP 访问并进行实时告警与拦截。WEB 防火墙必须提供多层次关联分析功能,能同时关联多个层次的检查结果进行准确的攻击识别,例如同时基于协议编码、特征签名、动态模型违规的情况来设定策略,并进行关联分析,保证攻击识别的准确性5、WEB 防
6、火墙必须具备自动学习、网站建模功能, 通过动态模型,实现的安全防御功能包括并不限于:参数只读违规参数类型违规参数值长度违规请求的参数不存在未知的参数请求的 XML 元素不存在非 SOAP 应用访问 SOAP URLSOAP 应用访问非 SOAP URLSOAP 元素值长度违规SOAP 元素值类型违规非授权的 SOAP 动作未知的 SOAP 元素已知 URL 的非授权访问方法非授权的 URL 访问Cookie 注入Cookie 篡改重用过期的会话 Cookie采用动态模型技术,自动创建合法用户对 WEB 应用访问行为的安全模型。通过安全模型和实际网络应用行为进行比较,监测到所有针对 WEB 应用
7、的恶意访问。提供完整的自动化的安全保护机制,无需手工配置或者调整。自动特征更新功能确保特征始终是最新的,当网站的部分内容、代码以及访问方式发生了变化,WEB 防火墙应该具有自动更新的功能可以自动更新访问特征来反映应用系统的最新变化,从而节约管理员的宝贵时间,不用手动更新访问特征和模型,保证系统对新的应用环境具有自适应能力。同时,管理员也可以手工修改安全模型,以体现实际使用行为和企业安全规则的差异化服务。安全管理员根据实际应用灵活地调整具体特征规则,以实现动态模型或基于协议的规则不能或不方便实现的防护策略。WEB 防火墙产品必须具备支持同时管理 500 条以上安全策略、5000个以上的系统常变量
8、、6000 个以上的特征码,并提供特征库更新服务。特征库常规更新频率至少每个月至少两次。6、WEB 防火墙具备升级功能,在维保期间能够通过对软、硬件进行升级的方式,抵御维保期间出现的新的 WEB 攻击方式。7、系统支持读取用户请求的 HTTP 头中 X-forward 字段里插入的用户源 IP 地址。8、系统支持以站点和 URL 地址为防护目标。9、单台设备具有 2G 以上的带宽可以实现线速 2G 流量的转发。产品应能够提供大于等于 2bps 的业务流量(HTTP 流量)处理能力,同时保持不到一毫秒的包延迟。10、产品拥有断电 BYPASS 功能,在设备断电后不会造成链路中断。在线透明桥接方式
9、(二层网桥),所有业务网卡均标准配置硬件bypass 模块,即设备因为硬件或软件故障时设备进入短接状态,保证业务流量正常通过。WAF 设备的部署无需变更任何网络架构,不可以对现有应用系统有任何影响(包括 IP 地址、DNS、域名、负载均衡器、Web 页面、客户请求代理等等)。11、产品具有丰富的报表功能,报表内容可依据招标方需求,从多个角度自定义,满足招标方对报表格式、内容的要求。12、WEB 防火墙应该具有独立与设备之外的管理服务器,用于提供集中管理功能,其中包括模型管理、状态监控、报警、日志和报表功能。投标方所投产品必须满足本技术说明书中的所有要求,招标方对于投标方所投产品的硬件性能或产品功能存在疑问,有权要求投标方在 5 个工作日内将所投设备送达招标方公司基地进行测试。如投标方在约定的 5 个工作日内未将设备送达,或经过招标方工程师检测,设备不满足本技术说明书中的要求,招标方有权单方面取消投标方的投标资格。
