PDF《绿盟 WEB 应用防火墙》

版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿 盟科技所有,受到有关产权及版权法保护.

任何个人、机构未经绿盟科技的书面授权许可,不得以任何方 式复制或引用本文的任何片断. 绿盟 WEB 应用防火墙 产品白皮书 ?

2014 绿盟科技 ?

2014 绿盟科技 密级:完全公开 - II - 目录 一. 概述

1 二. 关键特性.1 2.1 客户资产视角 CUSTOMER ASSET PERSPECTIVE.1 2.2 优化的向导系统 OPTIMIZED CONFIGURATION WIZARD.2 2.3 细致高效的规则体系 MULTIPLE RULE-BASED INSPECTIONS.3 2.4 辅助 PCI-DSS 合规 PCI-DSS COMPLIANCE REPORT.4 2.5 多层次的防护机制 LAYERED SECURITY MECHANISM.4 2.6 智能自学习白名单 EFFECTIVE ANTO-LEARNING AND WHITE LIST.5 2.7 透明部署,即插即用 TRANSPARENT,DROP-IN DEPLOYMENT.6 2.8 智能补丁应急响应 EMERGENCY RESPONSE THROUGH CLOUD SECURITY SERVICE

7 三. 典型部署.7 四. 典型应用.9 4.1 网站访问控制.9 4.2 网页篡改在线防护.9 4.3 敏感信息泄漏防护.9 4.4 DDOS 联合防护.10 4.5 虚拟站点防护.11 五. 附录

11 5.1 业务资产定义.11 5.2 规则体系定义.12 ?

2014 绿盟科技 密级:完全公开 - III - 插图索引

图表

1 WAF 的资产视角.2

图表

2 向导体系过滤站点规则

3

图表

3 资产分层及其防护层级

5

图表

4 防护体系

6

图表

5 智能补丁

7

图表

6 WAF 的典型部署.8

图表

7 绿盟 WAF 和绿盟 ADS 的DDoS 联合防护方案.10

图表

8 站点的定义

11

图表

9 主机名的定义

11

图表

10 URI 及相关字段的定义.12 ?

2014 绿盟科技 密级:完全公开 -

1 - 一. 概述 绿盟科技 Web 应用防火墙(简称 WAF)将客户资产作为组织 Web 安全解决方案的依 据,用黑、白名单机制相结合的完整防护体系,通过精细的配置将多种 Web 安全检测方法 连结成一套完整(COMPLETE)的解决方案,并整合成熟的 DDoS 攻击抵御机制,能够在 IPV

4、IPV6 及二者混合环境中抵御 OWASP Top

10 等各类 Web 安全威胁和拒绝服务攻 击,并以较低的运营成本为各种机构提供透明在线部署、路由旁路部署和云部署,能方便 快捷的部署上线,保卫您的 Web 应用免遭当前和未来的安全威胁. 二. 关键特性 2.1 客户资产视角 Customer Asset Perspective 绿盟 WAF 将站点看做用户的客户资产,用站点树来展示资产列表,直观展示资产清单 及各资产的属性,如状态、协议类型、IP 地址、端口等.同时,将资产所用的安全策略― ―各种安全规则的集合视为资产的属性之一,并以模板的方式保存.策略模版可以在 IP+端 口不同、业务环境相似的站点之间被方便的复用,产品更贴近客户. ?

2014 绿盟科技 密级:完全公开 -

2 -

图表

1 WAF 的资产视角 2.2 优化的向导系统 Optimized Configuration Wizard 基于客户资产视角,绿盟WAF 提供了一套优化的向导系统,在配置客户信息的过程中 询问操作系统、数据库、Web 服务器及使用的编程语言信息,同时引入站点组概念,支持 将OS、Web Server 和应用程序相同或者类似的站点(IP 地址 + 端口号)纳入一个站点 组,在构建站点资产的同时也完成了针对客户环境的规则过滤,实现了客户环境对规则体 系中黑名单规则的精准利用,减少了误报,同时大大简化了配置操作. ?

2014 绿盟科技 密级:完全公开 -