PDF《绿盟 WEB 应用防火墙》

3 -

图表

2 向导体系过滤站点规则 2.3 细致高效的规则体系 Multiple Rule-Based Inspections 规则是 WAF 识别和阻止已知攻击的基础检测方法,绿盟 WAF 规则库基于多年网络安 全研究积累,已高度细化,基于规则的防护功能包括: ? Web 服务器漏洞防护 ? Web 插件漏洞防护 ? 爬虫防护 ? 跨站脚本防护 ? SQL 注入防护 ? LDAP 注入防护 ? SSI 指令防护 ? XPATH 注入防护 ? 命令行注入防护 ? 路径穿越防护 ? 远程文件包含防护 在细化多种规则的同时,绿盟 WAF 也引入了众多机制保证规则的精准、有效. 1. 前导字符 ?

2014 绿盟科技 密级:完全公开 -

4 - 网络中合法流量占主体,引入前导码机制,通过前导码的简单字符串的匹配,对流量进 行预筛选,提高检测效率. 2. 不同检测位置 支持灵活的检测对象定义,包括任意的 HTTP 头部字段,HTTP BODY 字段,支持各种 检测运算. 3. 多种检测条件的逻辑组合 支持多个检测条件的逻辑组合,以支持复杂规则的定义. 4. 自定义规则 提供贴近于自然语言、支持复杂场景描述的自定义规则,能作用于具体的 URL 上,大大 提高了规则的有效性和精准度. 5. 独立的规则升级 通过编译式运行的规则库,绿盟 WAF 还分离了规则升级和系统升级. 2.4 辅助 PCI-DSS 合规 PCI-DSS Compliance Report 随着业务的扩展, 支撑业务的信息环境也日益复杂, 通过满足各种安全合规标准成为了 各行业规约和保证企业信息安全的一种手段. 支付卡行业(PCI:Payment Card Industry) 数据安全标准(DSS:Data Security Standard),作为衡量金融机构、消费者等涉及支付 卡业务的商家和服务提供者的数据资料安全基准, 详细规约了对存储、 处理或传输持卡人数 据的商家和服务提供商的安全要求, 已经在全球范围内获得了广泛的认可. 绿盟 WAF, 站 在用户资产的视角,能够结合当前防护站点的安全配置,按照 PCI-DSS 的合规要求对用户 资产环境做出是否合规的判断,并在此基础上提出满足 PCI-DSS 合规的配置建议,协助商 家和服务提供商应对 PCI-DSS 合规检查和信息系统安全环境的加固. 2.5 多层次的防护机制 Layered Security Mechanism 基于用户资产分层的特性,绿盟 WAF 将防护层级也进行了细分:默认防护层作用于站 点对象;

自定义防护层则作用于详细资产,即具体的 URL. ?

2014 绿盟科技 密级:完全公开 -

5 -

图表

3 资产分层及其防护层级 此外,绿盟 WAF 在专注于 Web 应用防护的同时,还应用了自主研发的抗 DDoS 算法 和多种应用层抗 DDoS 技术,可防护各类带宽资源耗尽型 DDoS 和应用层 DDoS,实时阻 断攻击流量,从网络层面确保 Web 业务的可用性及连续性.在DDoS 攻击流量超过绿盟 WAF 的处理能力时, 绿盟 WAF 和绿盟的专业 Anti-DDoS 设备 ADS 还能形成联合防护方案, 借助 ADS 的专业防护能力完成攻击流量的牵引和清洗. 2.6 智能自学习白名单 Effective Anto-learning and White List 黑名单规则即内置及自定义的规则是绿盟 WAF 在防护 Web 安全时的强大知识依托, 然而,黑名单体系固有的 事后更新 特点使其仅仅能解决已知问题,在应对 0day 漏洞防 护时显得略为滞后,且由于未参考客户环境的业务逻辑,在防护效果上也无法做到精准. 绿盟 WAF 引入的自学习+白名单机制,弥补了黑名单防护体系的固有缺点,有效增强 了0day 漏洞的防护能力和精准防护能力.WAF 基于统计学方法的自学习技术,分析用户 行为和指定 URL 的HTTP 请求参数,能将站点的业务逻辑完整的呈现出来,协助管理员构 建正常的业务流量模型,形成白名单规则. 默认防护层 (作用于站点对象) 自定义防护 (详细资产 1, 作用于具体的 URL) 自定义防护 (详细资产 2, 作用于具体的 URL) 自定义防护 (详细资产 3, 作用于具体的 URL) ?