...

产品简介

一、产品概述

通常,网络攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处,通过发送一系列含有特定企图的请求数据,对Web站点特别是Web应用进行侦测和攻击,攻击的目的包括:非法获取站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。

iWall应用防火墙实现了对Web站点特别是Web应用的保护。它通过全面分析应用层的用户http请求数据(如URL、参数、链接、Cookie、请求行、头部信息、载荷等),区分正常用户访问Web应用和攻击者的恶意行为,对攻击行为进行实时阻断和报警。

iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。

拓扑图

二、工作原理

iWall应用防火墙使用天存HTTP安全模型对所有用户请求数据进行检查。这些请求数据尚未被Web服务器软件和Web应用处理之前即进行检查,确保所有攻击行为被拒之门外。

天存HTTP安全模型采用匹配引擎和安全规则分离的方式。

三、产品特性

1. 二阶段检查

漏判和误判以及准确和效率之间的平衡是应用防火墙最关注的问题。由于天存复杂匹配引擎支持多阶段多流程处理,因此天存核心规则集可以使用二阶段检查技术:对99%的正常访问可以初查后快速通过,对初查不合格的1%的可疑访问可以复杂匹配,精确识别。

2. 加扰去除

黑客为了绕过应用安全程序或系统的检测,往往将攻击数据加扰(增加噪声)后提交。天存核心规则集可以有效识别和剔除加扰数据,包括:识别并压缩空格、识别并替换注释、大小写转换等。

3. 编码识别

由于黑客攻击或者应用自身的需要,请求数据可能采用各种方式进行编码。天存核心规则集可以识别多种编码数据并进行解码,包括:HTML实体解码、URL解码、Unicode解码等。

4. 多规则支持

支持任意多个规则集,可以针对站点、应用、URL甚至访问者IP来制定和应用相应的规则集,并对其中的任意规则进行单独忽略,实现细粒度的安全配置。

产品部署

一、软件版部署

iWall应用防火墙软件版在每台受保护的Web服务器上部署iWall核心模块,每个核心模块可独立工作。在管理服务器(独立设备)上部署iWall管理中心,对上述模块进行统一的监控和管理。

iWall应用防火墙软件版部署示意图

二、硬件版部署

iWall应用防火墙硬件版采用完全反向代理机制,部署于Web服务器前端,在部署时需要重新规划网络的IP地址分配,并需要对网络防火墙作相应调整。

针对iWall应用防火墙硬件版的配置管理、日志查询等操作均可通过内置的可视化管理界面完成。iWall应用防火墙硬件版的管理界面采用B/S架构,可直接通过网络访问。