■■ 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿绿盟科技盟科技所有,受到有关产权及版权法保护任何个人、机构未经绿盟科技绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断 绿盟绿盟 WEB 应用防火墙应用防火墙 产品白皮书产品白皮书 © 2014 绿盟科技绿盟科技 © 2014 绿盟科技绿盟科技 密级:完全公开 - II - 目录目录 一. 概述 ...................................................................................................................................................... 1 二. 关键特性 ............................................................................................................................................... 1 2.1 客户资产视角 CUSTOMER ASSET PERSPECTIVE ....................................................................................... 1 2.2 优化的向导系统 OPTIMIZED CONFIGURATION WIZARD ........................................................................... 2 2.3 细致高效的规则体系 MULTIPLE RULE-BASED INSPECTIONS .................................................................... 3 2.4 辅助 PCI-DSS 合规 PCI-DSS COMPLIANCE REPORT ................................................................................. 4 2.5 多层次的防护机制 LAYERED SECURITY MECHANISM .............................................................................. 4 2.6 智能自学习白名单 EFFECTIVE ANTO-LEARNING AND WHITE LIST .............................................................. 5 2.7 透明部署,即插即用 TRANSPARENT,DROP-IN DEPLOYMENT ............................................................... 6 2.8 智能补丁应急响应 EMERGENCY RESPONSE THROUGH CLOUD SECURITY SERVICE ........................................ 7 三. 典型部署 ............................................................................................................................................... 7 四. 典型应用 ............................................................................................................................................... 9 4.1 网站访问控制 ................................................................................................................................... 9 4.2 网页篡改防护 ........................................................................................................................... 9 4.3 敏感信息泄漏防护 ........................................................................................................................... 9 4.4 DDOS 联合防护 ................................................................................................................................ 10 4.5 虚拟站点防护 ................................................................................................................................. 11 五. 附录 .................................................................................................................................................... 11 5.1 业务资产定义 ................................................................................................................................. 11 5.2 规则体系定义 ................................................................................................................................. 12 © 2014 绿盟科技绿盟科技 密级:完全公开 - III - 插图索引 图表 1 WAF 的资产视角 ............................................................................................................. 2 图表 2 向导体系过滤站点规则 ................................................................................................. 3 图表 3 资产分层及其防护层级 ................................................................................................. 5 图表 4 防护体系 ........................................................................................................................ 6 图表 5 智能补丁 ......................................................................................................................... 7 图表 6 WAF 的典型部署 ............................................................................................................. 8 图表 7 绿盟 WAF 和绿盟 ADS 的 DDoS 联合防护方案 ........................................................... 10 图表 8 站点的定义 ................................................................................................................... 11 图表 9 主机名的定义 ............................................................................................................... 11 图表 10 URI 及相关字段的定义 ............................................................................................... 12 © 2014 绿盟科技绿盟科技 密级:完全公开 - 1 - 一一. 概述概述 绿盟科技 Web 应用防火墙(简称 WAF)将客户资产作为组织 Web 安全解决方案的依据,用黑、白名单机制相结合的完整防护体系,通过精细的配置将多种 Web 安全检测方法连结成一套完整(COMPLETE)的解决方案,并整合成熟的 DDoS 攻击抵御机制,能够在IPV4、IPV6 及二者混合环境中抵御 OWASP Top 10 等各类 Web 安全威胁和拒绝服务攻击,并以较低的运营成本为各种机构提供透明部署、路由旁路部署和云部署,能方便快捷的部署上线,保卫您的 Web 应用免遭当前和未来的安全威胁。
二二. 关键关键特性特性 2.1 客户资产视角客户资产视角 Customer Asset Perspective 绿盟 WAF 将站点看做用户的客户资产,用站点树来展示资产列表,直观展示资产清单及各资产的属性,如状态、协议类型、IP 地址、端口等同时,将资产所用的安全策略——各种安全规则的集合视为资产的属性之一,并以模板的方式保存策略模版可以在 IP+端口不同、业务环境相似的站点之间被方便的复用,产品更贴近客户 © 2014 绿盟科技绿盟科技 密级:完全公开 - 2 - 图表 1 WAF 的资产视角 2.2 优化的向导系统优化的向导系统 Optimized Configuration Wizard 基于客户资产视角,绿盟WAF提供了一套优化的向导系统,在配置客户信息的过程中询问操作系统、数据库、Web 服务器及使用的编程语言信息,同时引入站点组概念,支持将 OS、Web Server 和应用程序相同或者类似的站点(IP 地址 + 端口号)纳入一个站点组,在构建站点资产的同时也完成了针对客户环境的规则过滤,实现了客户环境对规则体系中黑名单规则的精准利。