PDF《绿盟 WEB 应用防火墙》

2014 绿盟科技 密级:完全公开 -

6 -

图表

4 防护体系 在防护顺序上,绿盟 WAF 先利用黑名单规则解决已知安全风险,在用自学习、白名单 作为黑名单规则的补充解决业务逻辑层面的安全风险, 使绿盟 WAF 的安全防护体系更完 整,进一步贴近了客户业务环境,在应对 0day 漏洞时也更加快速、精准、有效.而这种防 护顺序的设计, 避免了依赖白名单机制而带来的设备上线需要长时间的学习业务、 且业务模 型变动时策略调整频繁等缺点,上线就能即插即用、零配置防护. 2.7 透明部署, 即插即用 Transparent, Drop-in Deployment 绿盟科技 WAF 提供灵活的部署模式,包括常见使用的 即插即用-透明部署 ,这种 模式下不需要对当前网络和应用环境进行任何改变,部署方便快捷.同时,在这种模式下, WAF 还提供缺省防护策略和缺省网络接口配置等功能, 可以将设备上线时间缩短至半小时 之内. 此外,绿盟 WAF 还提供路由旁路;

流量牵引模式和反向代理模式.路由旁路流量牵引 模式能减少单点故障,没有额外的流量转发开销,能达到性能最优;

反向代理模式的部署 位置灵活,WAF 和Web 服务器可以不在一个安全区域中,该模式已经被国内外用户运用 在云 WAF 业务模式中. ?

2014 绿盟科技 密级:完全公开 -

7 - 2.8 智能补丁应急响应 Emergency Response through Cloud Security Service 通过与绿盟科技云安全平台的 Web 漏洞扫描服务 (PAWSS) 或者 WEB 应用漏洞扫描 系统(WVSS)联合防护,绿盟 WAF 能获取被防护站点的漏洞扫描报告,并根据自身已有 的规则自动生成一套新的规则即智能补丁, 应用于被保护站点. 当被防护站点打上了智能补 丁之后,之前被扫描出的 Web 应用漏洞将无法重现.

图表

5 智能补丁 智能补丁,借助了绿盟科技云安全平台中 Web 漏洞扫描服务和 WEB 应用漏洞扫描系 统对 Web 漏洞的感知能力,又很好利用了绿盟 WAF 自身的规则体系,在不用更改被防护 站点配置、不为其设备提供额外负担的情况下,有效减少了一些站点因无法频繁打补丁、业 务频繁升级而引入漏洞带来的安全风险,还能及协助客户满足安全合规要求. 三. 典型部署 绿盟 WAF 提供多种灵活的部署方式,包括透明部署模式、反向代理模式和旁路模式. ?

2014 绿盟科技 密级:完全公开 -

8 - 串联部署模式下,绿盟 WAF 在内核模块实现从 TCP/IP 协议栈的透明代理,极大地提 高网络适应能力、确保产品在网络中即插即用而无需修改网络及服务器配置,降低了部 署、维护开销.而反向代理模式,需要改动服务器 IP 地址以及 DNS 解析;

桥模式下,用Web 服务器的 IP 地址作为 VIP,牺牲了一部分功能(如SSL 功能). 在部署了多业务网段服务器的网络环境中,WAF 设备也可以采用旁路方式部署,提供 一种逻辑在线防护机制.该种部署灵活性较好,可以实现业务分流,对核心系统影响较 小.旁路方式部署的技术原理如下: 1. 流量牵引:通过路由方式,将原来去往目标网站 IP 的流量牵引至 WAF 设备.被牵引 的流量为攻击流量与正常流量混杂的 HTTP 流量;

2. 流量检测和过滤:WAF 设备通过多层的攻击流量识别与净化功能,将Web 攻击流量 从混合流量中过滤;

3. 流量注入:经过 WAF 过滤之后的合法流量被重新注入回网络,最终到达目的网站. 4. 对返回流量检测:网站响应的 HTTP 流量在返回给客户端之前,仍然需要流经 WAF 设备,WAF 可提供安全检测,经WAF 检测后的流量最终返回给客户端.