1.产品简介
ZiTrust公司结合多年在应用安全理论与应急响应实践经验积累的基础上自主研发完成的一款应用级防火墙产品。ZiTrust公司一直把操作系统安全和信息应用系统安全作为产业方向。WebTrust系列应用防火墙可以保护您的WEB网站免受来自协议层和应用层的攻击,有效阻止SQL注入攻击、跨站脚本攻击(XSS)、网站篡改等攻击种类。应用防火墙与传统的防火墙不同,传统防火墙仅仅是转发HTTP,HTTPS或FTP的应用层流量,而应用防火墙则是检查这些流量,将用户的WEB服务器和外部黑客隔绝。
WebTrust应用防火墙可以有效提高WEB应用的性能和安全性,具备管理方便、部署简单、配置简单的特点。
WebTrust系列应用防火墙有ZAFW-3000,ZAFW-3500等多种型号,适应于不同的应用场景。
WebTrust应用防火墙可保护Web应用免受复杂而隐秘的攻击,阻止在线身份窃取,并防止Web应用中敏感和机密数据的泄露。多个配置选项使部署非常简单,而且不需要对现有应用或网络进行任何更改。因为有了市场领先的 Web 应用防火墙,所以比起任何其他同类产品,更多企业愿意选择WebTrust来监控和保护其关键 Web 应用。ZiTrust公司为您的业务提供切实可行而且高度安全的解决方案,确保您的 Web应用和数据安全无忧。
2.功能概述
WebTrust应用防火墙引擎采用智能的模式匹配语言进行规则设定,针对当前最流行的攻击方式和攻击载荷,采用标准的CRS(核心规则集),能为几乎全部的WEB架构提供关键性保护。
WebTrust应用防火墙的核心规则集与基于特征检测和已知漏洞的入侵检测系统不同,CRS基于攻击载荷标识的通用规则,能够保护WEB应用中大部分由代码造成的0 day和未知漏洞。为了提供通用的WEB应用保护,WebTrust应用防火墙核心规则使用了以下技术:
2.1 协议匹配技术
2.1.1 HTTP请求验证
是防御的第一道防线,保证所有的异常HTTP请求都被检测出来。在保护WEB服务器时消除大量的自动和非针对性攻击。
2.1.2 HTTP协议异常检查
HTTP协议异常通常意味着攻击。
2.1.3全局约束
限制不同HTTP协议属性的大小和长度,例如请求的全长和参数的数量和长度。确保这些属性能预防缓冲区溢出和参数操纵许等多种攻击。
2.1.4 HTTP使用策略
验证请求是否违反预先定义的策略。例如设置对请求方法、内容类型和扩展等请求属性的限制。
2.2 攻击检测技术:
2.2.1 恶意客户端软件检测
检测恶意自动程序,例如机器人、爬虫、安全扫描器的请求。恶意自动程序会从网站收集信息,耗费带宽和搜索网站漏洞。检测恶意爬虫能有效抵抗内容垃圾。
2.2.2 通用攻击检测
检测像OWASP TOP 10中描述的应用层攻击。这些规则基于内容上下文匹配,在规范化的域中检测攻击载荷。能检测以下攻击:
l 注入攻击(Injection flaws):包括SQL注入,系统命令注入,程序参数注入,Xpath查询注入等。
l 跨站脚本(Cross Site Scripting -- XSS):包括最常见的三种跨站攻击方式1、存储式跨站攻击(Stored XSS Attacks);2、反射式跨站攻击(Reflected XSS Attacks);3、基于DOM的跨站攻击(DOM Based XSS)
l 不安全的直接对象引用(Insecure Direct Object References)。
l 跨站请求欺骗(Cross-Site Request Forgery (CSRF))。
l 配置安全缺陷(Security Misconfiguration)。
l 访问限制失败(Failure to Restrict URL Access URL)。
l 恶意探测与网站爬行(Anti-scan and Site Crawl)。
l Cookie假冒与Session劫持。
l HTTP头信息篡改攻击等。
l DOS(拒绝服务)攻击。
2.2.3木马和后门检测
检测已经安装在系统中的木马和后门的尝试接入行为。在一些后门已经被非法上传和恶意利用的时候非常重要。
2.3 动态攻击阻断
系统动态监测每个IP在单位时间(每分钟)内的攻击次数(包括探测和扫描性攻击),对于超过一定阈值的IP(如每分钟攻击次数超过60次),进行三层阻断。
2.4 其它保护功能
2.4.1错误检测
阻止应用程序的出错信息发给用户,能提高服务器攻击的难度,也是防御攻击的最后一道防线。
2.4.2 XML保护
核心规则集能设置成检查多种XML载荷。
2.4.3搜素引擎监控
记录搜索引擎爬虫访问网站时的行为。
2.5网站加速功能
系统提供512M的网站内容动态内存级缓存,提高网页的访问速度。
2.5.1 灵活部署
WebTrust应用防火墙可以根据客户需要进行灵活部署。目前应用最广泛的部署有两种,分别是串联部署,和并联部署。
串联部署:
又称堡垒部署,用户的WEB服务器被完全屏蔽,实现完美隐身。
串联部署方式的优点是完全隐藏客户的WEB服务器,使得从互联网无法直接访问客户的WEB服务器。
并联部署:
并联部署不需要修改客户现有的配置,只需要把DNS解析的地址指向WebTrust应用防火墙的公网地址。
无论串联还是并联部署方式,应用防火墙的部署都无需改造网络和应用,具有亚毫秒级延迟的高性能,并适应各种架构。
2.5.2 动态防护效果图
ž 说明:动态阻断模块判断来自单个IP地址每分钟的攻击次数。对攻击次数超过设定阈值的IP地址,自动设置阻断规则,在一段时间内(如一小时,精确到秒)阻止来自该IP的连接。
开启动态阻断前后日志记录:
|
开启前 |
开启后 |
|
Fri Mar 18 15:53:56 2011
Fri Mar 18 15:54:56 2011
365 184.154.65.5
90 222.184.88.38
15 211.68.3.254
Fri Mar 18 15:54:56 2011
Fri Mar 18 15:55:56 2011
1137 184.154.65.5
42 79.142.79.12
16 222.184.88.38 |
Fri Mar 18 15:46:59 2011
Fri Mar 18 15:47:54 2011
8 79.142.79.12
6 58.242.207.122
5 212.235.113.158
Fri Mar 18 15:49:00 2011
Fri Mar 18 15:49:54 2011
6 58.243.229.89
6 58.242.207.122
5 212.235.113.158 |
2.6 产品性能参数
|
性能参数 |
ZAFW3000 |
ZAFW3500 |
|
接入WEB流量 |
50Mbps |
80Mbps |
|
HTTP连接/秒 |
4,000 |
8,000 |
|
SSL连接/秒 |
2,500 |
3,500 |
|
支持后端服务器数量 |
1-8 |
6-12 |
|
硬 件 |
|
机箱 |
1U,19"标准上架机箱,重型钢箱体 |
2U,19"标准上架机箱,重型钢箱体 |
|
尺寸(mm) |
44.5x440x400 |
88x440x550 |
|
前面板网络接口 |
6个千兆RJ45扩展卡(带二路BYPASS) |
6个千兆RJ45扩展卡(带二路BYPASS),可选4千兆光纤接口 |
|
COM口 |
前置一个COM口 |
前置一个COM口 |
|
环境参数 |
工作温度: 0~60℃ |
|
相对湿度:5%~95%@40℃(不凝露) |
|
抗冲击:10G峰-峰加速度(11ms) |
|
抗振动、电磁干扰:5-17HZ, 0.1"双峰位移; 17-640Hz,1.5G峰-峰加速度;符合FCC/VDE A级标准 |
|
功能特性 |
|
多网口聚合 |
支持 |
支持 |
|
网页加速 |
支持(250M内存cache) |
支持(512M内存cache) |
|
动态IP地址阻断 |
支持 |
支持 |
|
协议匹配检测 |
支持 |
支持 |
|
恶意客户端检测 |
支持 |
支持 |
|
通用攻击检测 |
支持(符合OWASPTOP10) |
支持(符合OWASPTOP10) |
|
木马和后门检测 |
支持 |
支持 |
|
DOS防范 |
支持 |
支持 |
|
攻击审核与监控 |
支持(可分离、集中管理) |
支持(可分离、集中管理) | | 
