Web应用防火墙系统技术白皮书

目录

1.产品概述....................................................................................................................................................................51.1产品背景............................................................................................................................................................51.2常见安全问题....................................................................................................................................................51.2.1“拖库”事件................................................................................................................................................51.2.2网页篡改........................................................................................................................................................61.2.3CMS漏洞.........................................................................................................................................................61.3网神SecWAF3600Web应用防火墙................................................................................................................62.产品特色....................................................................................................................................................................62.1态势感知展现....................................................................................................................................................62.2智慧防御体系....................................................................................................................................................62.3一键终端管控....................................................................................................................................................73.技术优势....................................................................................................................................................................73.1串联透明部署................................................................................................................................................73.2自学习系统....................................................................................................................................................73.3细粒度特征库................................................................................................................................................83.4旁路防御模式................................................................................................................................................83.5威胁情报中心................................................................................................................................................83.6网页恢复........................................................................................................................................................83.7统计数据........................................................................................................................................................83.8双机热备........................................................................................................................................................93.9冗余螺旋系统................................................................................................................................................93.10bypass机制.................................................................................................................................................94.典型应用....................................................................................................................................................................93/10网神SecWAF3600Web应用防火墙

4.1拓扑图................................................................................................................................................................94.2总结...................................................................................................................................................................104/10网神SecWAF3600Web应用防火墙

1.产品概述1.1产品背景

近些年，政府部门对于网站安全问题越来越重视，从2005年开始至今，公安部、国务院办公厅、中央网络安全和信息化领导小组都多次针对网站安全问题进行明确政策导向通知。

2015年7月1日，中华人民共和国国家安全法正式颁布并执行。2017月6月9日，由四部委联合起草的“网络关键设备和网络安全专用产品目录”正式发布，其中Web应用防火墙在产品目录中。

2018年4月国家互联网应急中心发布“2017年中国互联网网络安全态势综述”。其中，我国网站被篡改的网站数量有2万个，被植入后门程序的网站有2.9万个，网页仿冒的网站有4.9万个。网站安全事件频繁发生，主要以网页仿冒、网页篡改、植入后门程序三个方面的网站安全问题为主。

1.2常见安全问题

近几年，随着360补天漏洞响应平台、漏洞盒子等第三方漏洞平台媒体对安全问题的频繁曝光，这其中让大家最直观感觉是“拖库“、“网页篡改”、网站漏洞（CMS漏洞）等安全问题。

1.2.1“拖库”事件

“拖库”事件有专业名词就是SQL注入攻击。SQL注入的成因在于对用户提交CGI参数数据未做充分检查过滤，用户提交的数据可能会被用来构造访问后台数据库的SQL指令。如果这些数据过滤不严格就有可能被插入恶意的SQL代码，从而非授权操作后台的数据库，导致敏感信息泄露、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制服务器操作系统。利用SQL注入漏洞可以构成对Web服务器的直接攻击，还可能用于网页挂马。

几乎所有SQL数据库都是潜在易受攻击的，但需要注意的是，并不是数据库本身存在漏洞，而是互联网网站开发人员在开发页面时，没有遵循安全代码开发的要求所引起的。

5/10网神SecWAF3600Web应用防火墙

1.2.2网页篡改

网页篡改是最频繁发生的网站安全事件，黑客为了达到政府目的或谋求经济回报往往会对政府网站、电商网站进行篡改攻击。从而达到自己的目的诉求。

网页篡改事件的发生主要来源于网页代码编写不规范、网站服务器植入后门程序（webshell等）。这些安全问题导致网页可以被第三方轻易入侵，篡改网站内容、替换网站图片、视频文件等。

1.2.3CMS漏洞

所有的网站维护都离不开CMS系统，很多网站开发商在开发时图时效性，往往会使用公有代码，导致安全问题频繁出现。CMS系统是一个网站维护、内容更新的重要组成部分，一旦CMS系统出现安全问题，给网站会带来致命的安全问题。

1.3网神SecWAF3600Web应用防火墙

网神SecWAF3600Web应用防火墙是专注于网站及Web应用系统的应用层网关类防护产品，产品致力于解决应用层深度防御的问题，有效地缓解网站及Web应用系统面临如0WASPTOP10中定义的Web安全威胁并可以极速地应对恶意攻击者对Web业务的攻击行为。

2.产品特色2.1态势感知展现

网神SecWAF3600Web应用防火墙的实时流量态势感知功能，根据流量提供分析攻击源、源地域、攻击类型、攻击趋势、目标服务器和流量趋势等实时态势分析展示功能。并提供攻击源与被攻击源的态势攻击展示效果。

所有态势展示效果来源于在线流量的实时分析展现效果，让客户通过实时大屏幕最直观的、最便捷的了解网站安全防护情况。

2.2智慧防御体系

6/10网神SecWAF3600Web应用防火墙

对于网站安全的大数据来说，最有的价值主要是入站数据的分析情况，威胁情报中的入站数据有僵尸网络、网络攻击、扫描器、钓鱼网站等网站安全等相关安全情报。威胁情报中心与网神SecWAF3600Web应用防火墙实现数据共享后，可以根据情报来阻断访问网站的攻击行为。大大提高了网站的安全性，降低了网站的安全风险。

2.3一键终端管控

网站安全问题来势汹汹，每次攻击事件发生的都很突然，让大家防不胜防。针对突发事件，网神SecWAF3600Web应用防火墙响应时代号召，推出一键管控功能，不用按照APP或第三方插件，通过浏览器就可以登录设备，管理防护的网站的上线和下线功能。方便客户在攻击时第一时间下线网站的应急措施

3.技术优势3.1串联透明部署

随着网神SecWAF3600Web应用防火墙的不断更新发展，从传统的透明代理模式已经转变为透明部署方式。网神SecWAF3600Web应用防火墙在第二层截获数据包并逐层拆包分析并对数据包进行特征库匹配，匹配上就是攻击行为，直接把数据包丢弃。如果数据是正常的，过滤引擎重新构造Web和SQL事务生产数据包发送给后端的Web服务器。

透明部署方式是串联在Web服务器的前端，在物理层面是Web服务器的前端多了一台硬件设备。在网络层面是Web服务器的前端没有任何硬件设备。透明部署方式不改变客户的网络拓扑结构。Web服务器看到的都是浏览者的源地址，也不会给审计类安全产品造成无法工作等现象的出现。

3.2自学习系统

传统的Web应用防火墙都是人工输入网站域名、网站服务器IP地址、服务器端口等相关详细信息。网神Web安全团队针对纯透明部署方式的特性开发了自动学习功能，针对数据流中包含的相关数据进行自动分析和摘取。可以自动学习到网站域名、网站服务器IP地址、服务器端口等相关信息，并自动生成防护列表。降低人工输入的繁琐配置，避免造成因人工输入错误

7/10网神SecWAF3600Web应用防火墙导致网站无法防护的安全事件发生。

3.3细粒度特征库

网神SecWAF3600Web应用防火墙提供了细粒度的特征库，产品支持HTTP协议效验、Web特征库（基于OWASPTOP10标准）、爬虫规则、防盗链规则、跨站请求规则、文件上传/下载、敏感信息、弱密码检测等多种细粒度检测的特征库匹配规则。

3.4旁路防御模式

网神SecWAF3600Web应用防火墙自主开发的旁路阻断模式，大部分的Web应用防火墙都是串联部署在网络中进行流量过滤的。但是有些客户的网络只允许旁路部署产品。网神SecWAF3600Web应用防火墙通过reset报文通知网络设备，对TCP的异常报文进行阻断，实现旁路阻断拦截Web攻击行为。

3.5威胁情报中心

网神SecWAF3600Web应用防火墙内置有威胁情报中心功能，实际就是Web应用防火墙制作了一个人工智能大脑，与云端实现数据交流。实现Web应用防火墙自主发现攻击行为，并智能化判定对于攻击行为的是阻断或是放行

3.6网页恢复

网神SecWAF3600Web应用防火墙内置有网页防篡改监控平台，可以对网页防篡改客户端进行实时监控。当网页防篡改客户端与网神SecWAF3600Web应用防火墙的网络中断时，网页文件会被自动锁定，所有“写”的权限进行封锁，只有“读”的权限。当网络恢复中，所有相关权限会自动下发，网站正常恢复更新。

3.7统计数据

网神SecWAF3600Web应用防火墙提供详细的数据分析与统计功能，提供有攻击类型、验证级别、攻击源IP、攻击域名，攻击类型、攻击次数、CDNIP、XFFIP等详细分析数据，为

8/10网神SecWAF3600Web应用防火墙

攻击溯源、追踪攻击者源提供详细的技术依据

3.8双机热备

网神SecWAF3600Web应用防火墙系统因透明部署在服务器集群的前端，为了保障链路的高可用性，产品支持基于VRRP的双机热备功能，针对策略实现双机配置同步。双机热备提供主/主、主/备工作模式。

3.9冗余螺旋系统

网神SecWAF3600Web应用防火墙硬件出现掉电问题时，设备可以自动跳bypass，保障网络畅通。但是如果软件出现问题时，我们往往不知道如何处理。很多实践证明，设备软件出现异常问题，除了找专业人员进行处理之外。很多管理员对设备都无从下手。

网神SecWAF3600Web应用防火墙内置冗余螺旋系统，针对软件自身出现异常问题时，可以手工切换到另外一套系统，配置依然保存可以使用，保证软件的正常运行和网站的安全防护。

3.10bypass机制

网神SecWAF3600Web应用防火墙内置有bypass机制。bypass机制是由硬件bypass和软件bypass组成。硬件bypass主要针对于谁被掉电后，设备本身没有电力供应，设备会自动变为网络直通。软件bypass主要针对软件性能问题，如果CPU、内存、软件出现异常。软件bypass功能会自动启动。软件会把所有通过第二层（OSI模型的数据链路层）直接变为数据转发。

4.典型应用4.1拓扑图

网神SecWAF3600Web应用防火墙系统属于串联部署产品，产品部署在网站服务器的前端。对外来访问网站的流量进行过滤。

9/10网神SecWAF3600Web应用防火墙

网神SecWAF3600Web应用防火墙部署示意图

4.2总结

随着Web应用的丰富，各类攻击工具不断的普遍和强大，互联网上的安全隐患越来越多。随着客户核心业务系统对网络依赖程度的增加，Web应用攻击事件数量将会持续增长，损失严重程度也会剧增。因此，政府、企业等各类组织都必须有所对策以保护其投资、利润和服务。

网神SecWAF3600Web应用防火墙系统实现真正意义上的WEB安全解决方案，产品提供了业界领先的Web应用攻击防护能力，通过多种机制的分析检测，网神的产品和技术能够有效的阻断攻击，保证Web应用合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。同时，针对当前的热点问题，如SQL注入攻击、网页篡改、网页挂马等，网神SecWAF3600Web应用防火墙按照安全事件发生的时序考虑问题，优化最佳安全-成本平衡点，有效降低安全风险。

10/10