绿盟WEB应用防火墙
产品白皮书
© 2014 绿盟科技■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
一. 概述 (1)
二. 关键特性 (1)
2.1客户资产视角C USTOMER A SSET P ERSPECTIVE (1)
2.2优化的向导系统O PTIMIZED C ONFIGURATION W IZARD (2)
web应用防护系统2.3细致高效的规则体系M ULTIPLE R ULE-B ASED I NSPECTIONS (3)
2.4辅助PCI-DSS合规PCI-DSS C OMPLIANCE R EPORT (4)
2.5多层次的防护机制L AYERED S ECURITY M ECHANISM (4)
2.6智能自学习白名单E FFECTIVE A NTO-LEARNING AND W HITE L IST (5)
2.7透明部署,即插即用T RANSPARENT,D ROP-IN D EPLOYMENT (6)
2.8智能补丁应急响应E MERGENCY R ESPONSE THROUGH C LOUD S ECURITY S ERVICE (7)
三. 典型部署 (7)
四. 典型应用 (9)
4.1网站访问控制 (9)
4.2网页篡改在线防护 (9)
4.3敏感信息泄漏防护 (9)
4.4DD O S联合防护 (10)
4.5虚拟站点防护 (11)
五. 附录 (11)
5.1业务资产定义 (11)
5.2规则体系定义 (12)
插图索引
图表1 WAF的资产视角 (2)
图表2向导体系过滤站点规则 (3)
图表3资产分层及其防护层级 (5)
图表4 防护体系 (6)
图表5智能补丁 (7)
图表6 WAF的典型部署 (8)
图表7绿盟WAF和绿盟ADS的DDoS联合防护方案 (10)
图表8站点的定义 (11)
图表9主机名的定义 (11)
图表10 URI及相关字段的定义 (12)
一. 概述
绿盟科技Web应用防火墙(简称WAF)将客户资产作为组织Web安全解决方案的依据,用黑、白名单机制相结合的完整防护体系,通过精细的配置将多种Web安全检测方法连结成一套完整(COMPLETE)的解决方案,并整合成熟的DDoS攻击抵御机制,能够在IPV4、IPV6及二者混合环境中抵御OWASP Top 10等各类Web安全威胁和拒绝服务攻击,并以较低的运营成本为各种机构提供透明在线部署、路由旁路部署和云部署,能方便快捷的部署上线,保卫您的Web应用免遭当前和未来的安全威胁。
二. 关键特性
2.1  客户资产视角Customer Asset Perspective
绿盟WAF将站点看做用户的客户资产,用站点树来展示资产列表,直观展示资产清单及各资产的属性,如状态、协议类型、IP地址、端口等。同时,将资产所用的安全策略——各种安全规则的集合视为资产的属性之一,并以模板的方式保存。策略模版可以在IP+端口不同、业务环境相似的站点之间被方便的复用,产品更贴近客户。
图表  1 WAF的资产视角
2.2  优化的向导系统Optimized Configuration Wizard
基于客户资产视角,绿盟WAF提供了一套优化的向导系统,在配置客户信息的过程中询问操作系统、数据库、Web服务器及使用的编程语言信息,同时引入站点组概念,支持将OS、Web Server和应用程序相同或者类似的站点(IP地址+ 端口号)纳入一个站点组,在构建站点资产的同时也完成了针对客户环境的规则过滤,实现了客户环境对规则体系中黑名单规则的精准利用,减少了误报,同时大大简化了配置操作。