華為WAF5000系列防火墻技術(shù)白皮書

1、華為 WAF5000 系列 Web 應用防火墻技術(shù)白皮書華為 WAF5000 系列 Web 應用防火墻技術(shù)白皮書目錄目錄 HYPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 常見攻擊手法2 HYPERLINK l _bookmark2 下一代防火墻4 HYPERLINK l _bookmark3 入侵防御系統(tǒng)4 HYPERLINK l _bookmark4 WAF 產(chǎn)品介紹5 HYPERLINK l _bookmark5 縱深防御5 HYPERLINK l _bookmark6 網(wǎng)絡主機安全5 HYPERLINK l _bookmark7 Web

2、 服務安全透明代理5 HYPERLINK l _bookmark8 Web 應用安全三大核心技術(shù)6 HYPERLINK l _bookmark9 內(nèi)容分析與響應檢查8 HYPERLINK l _bookmark10 快速應用交付8 HYPERLINK l _bookmark11 TCP 協(xié)議加速8 HYPERLINK l _bookmark12 高速緩存8 HYPERLINK l _bookmark13 安全監(jiān)控與服務發(fā)現(xiàn)9 HYPERLINK l _bookmark14 自動服務發(fā)現(xiàn)9 HYPERLINK l _bookmark15 安全監(jiān)控9 HYPERLINK l _bookmark16

3、 性能監(jiān)控9 HYPERLINK l _bookmark17 多種接口兼容10 HYPERLINK l _bookmark18 SNMP 接口10 HYPERLINK l _bookmark19 Syslog 接口10 HYPERLINK l _bookmark20 郵件與短信告警接口10 HYPERLINK l _bookmark21 WebService 接口10 HYPERLINK l _bookmark22 功能特點11 HYPERLINK l _bookmark23 使網(wǎng)站更安全11 HYPERLINK l _bookmark24 雙模式安全引擎11 HYPERLINK l _boo

4、kmark25 黑名單安全技術(shù)11 HYPERLINK l _bookmark26 白名單安全技術(shù)11 HYPERLINK l _bookmark27 IP 信譽庫12 HYPERLINK l _bookmark28 區(qū)域訪問控制12 HYPERLINK l _bookmark29 智能防護12ii HYPERLINK l _bookmark30 CC 精準防護12 HYPERLINK l _bookmark31 虛擬補丁12 HYPERLINK l _bookmark32 使訪問更快速12 HYPERLINK l _bookmark33 服務優(yōu)先原則的高性能算法12 HYPERLINK l

5、_bookmark34 多種加速方案12 HYPERLINK l _bookmark35 高速緩存12 HYPERLINK l _bookmark36 使運維更簡單13 HYPERLINK l _bookmark37 服務自發(fā)現(xiàn)13 HYPERLINK l _bookmark38 策略自學習建模13 HYPERLINK l _bookmark39 策略規(guī)則在線更新13 HYPERLINK l _bookmark40 支持 PCI-DSS 報表功能13 HYPERLINK l _bookmark41 規(guī)則誤判分析13 HYPERLINK l _bookmark42 部署模式14 HYPERLIN

6、K l _bookmark43 透明直連模式14 HYPERLINK l _bookmark44 反向代理14 HYPERLINK l _bookmark45 旁路監(jiān)控15 HYPERLINK l _bookmark46 HA 雙機模式透明串接15 HYPERLINK l _bookmark47 VRRP反向代理17華為 WAF5000 系列 Web 應用防火墻技術(shù)白皮書華為 WAF5000 系列 Web 應用防火墻 技術(shù)白皮書關(guān)鍵詞：WAF、SQL注入、XSS、CSRF摘要：本文詳細介紹常見攻擊手段、防御技術(shù)、華為WAF功能特點和部署模式。名稱縮寫完整拼寫中文解釋WAFWeb Applica

7、tion FirewallWeb 應用防火墻SQL 注入SQL InjectionSQL 注入XSSXCross-Site Scripting跨站腳本攻擊CSRFCross-site request forgery跨站請求偽造華為 WAF5000 系列 Web 應用防火墻技術(shù)白皮書1 概述 1 概 述Web 網(wǎng)站是企業(yè)和用戶、合作伙伴及員工的快速、高效的交流平臺。Web 網(wǎng)站也容易成為黑客或惡意程序的攻擊目標，造成數(shù)據(jù)損失，網(wǎng)站篡改或其他安全威脅。華為Web 應用防火墻是華為結(jié)合多年在應用安全攻防基礎理論和安全漏洞研究實踐經(jīng)驗基礎研發(fā)完成的針對網(wǎng)站全方位安全防護產(chǎn)品，采用黑名單安全技術(shù)、白名單

8、安全技術(shù)、參數(shù)自學習建模技術(shù)、行為建模分析技術(shù)等先進技術(shù)，提供 Web 應用實時深度防御、Web 應用加速、敏感信息防泄露、網(wǎng)頁防篡改等功能，能夠抵御各類針對 Web 應用的外來攻擊，最大限度的保障網(wǎng)站運行安全。同時，華為 WAF 滿足 PCI、等級保護、企業(yè)內(nèi)部控制規(guī)范等各類法律法規(guī)。該產(chǎn)品致力于解決應用及業(yè)務邏輯層面的安全問題，廣泛適用于涉及Web 應用場景的政府、運營商、金融、企業(yè)等行業(yè)。華為 WAF5000 系列 Web 應用防火墻技術(shù)白皮書2 常見攻擊手法 2 常見攻擊手法目前已知的應用層和網(wǎng)絡層攻擊方法很多，這些攻擊被分為若干類。下表列出了這些最常見的攻擊技術(shù)，其中最后一列描述了華

9、為 WAF 如何對該攻擊進行防護。攻擊方式 描述 華為 WAF 的防護方法 跨站腳本攻擊 跨站腳本攻擊利用網(wǎng)站漏洞攻擊那些訪問該站點的用戶，常見目的是竊取該站點訪問者相關(guān)的用戶登陸或認證信息。 通過檢查應用流量，阻止各種惡意的腳本插入到 URL, header 及form 中。 SQL 注入攻擊者通過輸入一段數(shù)據(jù)庫查詢代碼竊取或修改數(shù)據(jù)庫中的數(shù)據(jù)。 通過檢查應用流量，偵測是否有危險的數(shù)據(jù)庫命令或查詢語句被插入到 URL, header 及form 中。 命令注入 攻擊者利用網(wǎng)頁漏洞將含有操作系統(tǒng)或軟件平臺命令注入到網(wǎng)頁訪問語句中以盜取數(shù)據(jù)或后端服務器的控制權(quán)。 通過檢查應用流量，檢測并阻止危險

10、的系統(tǒng)或軟件平臺命令被插入到 URL, header 及form 中。 cookie/session劫持Cookie/session 通常用于用戶身份認證， 并且可能攜帶用戶敏感的登陸信息。攻 擊者可能被修改 Cookie/session 提高訪問權(quán)限，或偽裝成他人的身份登陸。通過檢查應用流量，拒絕偽造身份登錄的會話訪問。 參數(shù)（或表單） 篡改 通過修改對 URL、header 和form 中對用戶輸入數(shù)據(jù)的安全性判斷，并且提交到服務器。 利用參數(shù)配置文檔檢測應用中的參數(shù)，僅允許合法的參數(shù)通過，防止參數(shù)篡改發(fā)生。 緩沖溢出攻擊 由于缺乏數(shù)據(jù)輸入的邊界條件限制，攻 擊者通過向程序緩沖區(qū)寫入超出其

11、長度 的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞 程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令。如獲取系統(tǒng)管理員的權(quán)限。 用戶可以根據(jù)應用需求設定和限制數(shù)據(jù)邊界條件，確保不危及脆弱的服務器。 日志篡改 黑客篡改刪除日志以掩蓋其攻擊痕跡或改變Web 處理日志。. 通過檢查應用流量，防止帶有日志篡改的應用訪問。 應用平臺漏洞攻擊黑客通過獲悉應用平臺后，可以利用該平臺的已知漏洞進行攻擊。當應用平臺出現(xiàn)漏洞，且沒有官方補丁時，同樣面臨被攻擊的風險。 華為WAF 將阻止已知的攻擊，并提供安全策略規(guī)則升級服務，用戶可以按計劃進行安全應用策略升級。同時，對于高級用戶，華為WAF 提供自定義規(guī)則庫的添加，可以針對某些關(guān)鍵字，特

12、殊應用做特殊安全處理。 CC 攻擊通過 CC 攻擊請求，以達到消耗應用平臺資源異常消耗的一種攻擊，最終造成應用平臺拒絕服務。 通過請求速率和請求集中度多重檢測算法可以有效的對 CC 攻擊進行防御 HTTPS 類攻擊一些狡猾的黑客通過 HTTPS 進行HTTPS 類的攻擊，由于 SSL 加密數(shù)據(jù)包無法進行有效的檢測，導致通用的網(wǎng)絡防火墻和普通Web 應用防火墻無能為力。 支持用戶上傳 HTTPS 證書，在WAF 進行第一輪認證，并對應用流量進行解密和偵測，對 HTTPS 類的所有攻擊進行有效的攔截和防御。 現(xiàn)有防御技術(shù)目前，很多企業(yè)采用網(wǎng)絡安全防御技術(shù)對 Web 應用進行防護，如綜合采用網(wǎng)絡防火

13、墻、IDS、補丁安全管理、升級軟件等措施，然而這些方法難以有效的阻止Web 攻擊，且對于 HTTPS 類的攻擊手段，更是顯得束手無策。下一代防火墻下一代防火墻可以實現(xiàn)對應用、用戶、內(nèi)容、威脅、時間、位置 6 個維度的全面感知， 提供精細的業(yè)務訪問控制和加速。入侵防御（IPS）和防病毒（AV）等應用層深度防御與應用識別相結(jié)合，有效提高了威脅防御的效率和準確性。具備全面的防護功能，一機多能，有效降低管理成本。精細的帶寬管理和 QoS 優(yōu)化能力有效降低企業(yè)的帶寬租用費， 確保關(guān)鍵業(yè)務體驗。持續(xù)、簡單、高效地提供下一代網(wǎng)絡安全。但是無法偵測很多應用層的攻擊，如果一個攻擊隱藏在合法的數(shù)據(jù)包中，它仍然能通

14、過防火墻到達應用服務器； 同樣，如果某個攻擊進行了加密或編碼該防火墻也不能檢測。入侵防御系統(tǒng)IPS（Intrusion Prevention System ）入侵防御系統(tǒng)具有對所保護的網(wǎng)絡環(huán)境感知能力、深度應用感知能力、內(nèi)容感知能力，以及對未知威脅的防御能力，實現(xiàn)了更精準的檢測能力和更優(yōu)化的管理體驗。更好地保障客戶應用和業(yè)務安全，實現(xiàn)對網(wǎng)絡基礎設施、服務器、客戶端以及網(wǎng)絡帶寬性能的全面防護。雖然也可以對一些應用層攻擊進行識別和防御，但是深度不夠，無法實現(xiàn)網(wǎng)站防篡改、掛馬檢測和阻斷等功能。Web 安全需求企業(yè)對 Web 應用的安全防護主要包括如下需求：部署簡便，管理集中，操作簡潔，性能影響甚微。

15、包括：對現(xiàn)有網(wǎng)絡拓撲結(jié)構(gòu)無影響。方便管理，無需進行復雜的配置。對現(xiàn)有 Web 服務器的訪問速率不能造成太大的影響。對正常業(yè)務訪問不能進行錯誤的攔截阻斷。Web 應用防火墻的兩個關(guān)鍵功能是，深入理解HTTP/HTTPS 協(xié)議，可監(jiān)測往返流量， 能對 Web 流量進行安全控制。Web 數(shù)據(jù)中心是經(jīng)常變化的，包括新的應用程序、新的軟件模塊，不斷更新的軟件補丁等。專業(yè)的安全工具和方法應能適應這種動態(tài)環(huán)境，應用配置的升級更新和對監(jiān)測數(shù)據(jù)的分析使得應用防火墻總能適應新的安全需求。華為 WAF5000 系列 Web 應用防火墻技術(shù)白皮書3 WAF 產(chǎn)品介紹 3 WAF 產(chǎn)品介紹華為 WAF 系列 Web 應

16、用防火墻（簡稱：華為 WAF）提供高效的 Web 應用安全邊界檢查功能。華為 WAF 整合了 Web 安全深度防御及站點隱藏等功能，能全方位的保護用戶的 Web 數(shù)據(jù)中心。通過對所有Web 流量（包括客戶端請求流量和服務器返回的數(shù)據(jù)流量）進行深度檢測，提供了實時有效的入侵防護功能。華為 WAF 充分考慮用戶已有環(huán)境的差異性，對環(huán)境兼容性、應用多樣性進行了深入的分析和總結(jié)?？v深防御華為WAF 結(jié)合多年研發(fā)經(jīng)驗，充分考慮 Web 應用系統(tǒng)可能存在的安全風險，通過對網(wǎng)絡層、Web 服務層、Web 應用程序?qū)?、應用?nèi)容屬性四個層面進行全方位安全分析與防御。針對各個層面不同的安全屬性，分別采取相互獨立的

17、安全防御技術(shù)針對性防御，從整體上提升 Web 應用的安全防御能力。如下圖所示華為 WAF 分別在網(wǎng)絡層、Web 服務層、應用程序?qū)?、應用?nèi)容四個層面全面的安全檢測與防御。網(wǎng)絡主機安全Web 應用安全與其他業(yè)務系統(tǒng)一樣，安全與否取決于是否建立了完善的安全機制，因此網(wǎng)絡層的安全也必不可少。尤其是當前一些攻擊行為以DMZ 區(qū)跳板機、旁注、ARP 欺騙等攻擊手段的大量應用，網(wǎng)絡主機安全顯的尤為重要。Web 服務安全透明代理華為WAF 采用當前最為主流的透明代理技術(shù)架構(gòu)，以 Web 服務代理技術(shù)形成的天然屏障解決了傳統(tǒng)網(wǎng)絡重組技術(shù)的在系列難題，主要的技術(shù)優(yōu)勢表現(xiàn)在如下幾個方面：解決了 HTTP 慢攻擊等

18、諸多網(wǎng)絡層問題傳統(tǒng)入侵防御技術(shù)架構(gòu)基于數(shù)據(jù)高速緩存分析機制，安全設備對流經(jīng)的數(shù)據(jù)流量進行緩存分析，安全檢測后針對緩存的數(shù)據(jù)包采取相應的安全措施。HTTP 慢攻擊通常采用較長的時間分多個數(shù)據(jù)包構(gòu)成一個完整的HTTP 請求，而傳統(tǒng)入侵防御技術(shù)引擎為了實現(xiàn)最低的安全檢測延時，必須將緩存時間盡可能縮短，從而無法識別精心構(gòu)架的 HTTP 慢攻擊行為。除此之外網(wǎng)絡層諸如碎片包攻擊行為也通常困繞傳統(tǒng)入侵防御架構(gòu)的 Web 應用防火墻。華為WAF 構(gòu)建了雙向的獨立HTTP 請求與服務，實現(xiàn)對每個 HTTP 事務級別的識別與轉(zhuǎn)發(fā)。如果環(huán)境中存在HTTP 慢攻擊行為，那么 Web 應用防火墻會等待這個HTTP 請

19、求數(shù)據(jù)完全到達或進行超時處理，其余正常的請求將被快速轉(zhuǎn)發(fā)，彼此相互獨立不受影響。實現(xiàn)了全面協(xié)議規(guī)范性審查華為WAF 可以嚴格遵守 RFC 標準或者允許具體應用微小的偏差來實現(xiàn)HTTP 協(xié)議驗證?？蓪崿F(xiàn)快速的防御包括緩沖區(qū)溢出攻擊、惡意編碼、HTTP 走私以及非法服務器操作在內(nèi)的大量協(xié)議濫用行為。華為WAF 的部署可以有效的隱藏 Web 服務容器存在的安全問題，同時也可有效緩解針對 Web 服務容器發(fā)起的攻擊，諸如針對 Apache 容器的分片下載 DDOS 攻擊、針對 PHP 開發(fā)語言的 DDOS 攻擊等。代理架構(gòu)的防護技術(shù)可以實現(xiàn)但不限于如下類型的安全過濾，并解決了跨包攻擊、碎片包攻擊等試圖

20、繞過安全檢測的攻擊行為：雙URL 編碼URL 編碼是用于在HTTP 請求字段 (例如URL)中嵌入非打印字符或特殊字符的標準基本格式。字符以百分符號(%) 后跟其值的 16 進制表示的形式表示 (例如:TAB 字符的ASCII 值為 9，可以表示為%09)。雙 URL 編碼是攻擊者通過對攻擊的URL 多次應用URL 編碼，以繞過訪問控制、授權(quán)和檢測機制的一種規(guī)避技術(shù)。例如:在目錄遍歷攻擊中，/字符將會被編碼為%252F，即兩次應用URL 編碼的結(jié)果。頭名稱中出現(xiàn)非法字節(jié)碼字符HTTP 頭名稱包含HTTP 標準禁止的字符。這些通常是非打印的 ASCII 字符或其它特殊字符(例如等)。根據(jù) RFC

21、(number=2616)允許的字符集來分別檢查各個頭名稱。參數(shù)名中出現(xiàn)非法字節(jié)字符請求內(nèi)容中的參數(shù)名稱包含 HTTP 標準禁止的字符。這些通常是非打印的 ASCII 字符或其它特殊字符(例如 等)。根據(jù)RFC(number=2616)允許的字符集來分別檢查各個參數(shù)名稱。Web 應用安全三大核心技術(shù)安全特征技術(shù)源自于對攻擊樣本的分析，從而形成人們常見的病毒特征庫、木馬特征庫等，而這一切的基礎是源于對安全攻擊的分析與跟蹤。特征庫的精確度通常受到兩個重要因素的影響，其一攻擊樣本是否具有代表性，其二是運行環(huán)境的相對確定性，例如windows 病毒特征庫不能在 Linux 操作系統(tǒng)中直接使用。Web

22、應用程序不同于操作系統(tǒng)的規(guī)范和單一，因此針對 Web 應用層的安全特征通常會因為程序編碼不規(guī)范而導致誤判。另一方面以安全特征匹配技術(shù)為基礎的安全技術(shù)假定所有的請求都不安全，需要對所有的請求進行安全匹配，因此將會帶來極大的檢測負荷與訪問延時。華為結(jié)合多年專業(yè) Web 應用安全研究的經(jīng)驗，采用白名單安全引擎與黑名單安全引擎相結(jié)合的方式工作，為華為 WAF 安全檢測引擎技術(shù)架構(gòu)示意圖，實現(xiàn)了正常請求快速識別與轉(zhuǎn)發(fā)，未知請求進行深度清洗的安全策略，實現(xiàn)了安全性與可用性的最佳結(jié)合。參數(shù)自學習建模與白名單安全技術(shù)華為WAF 引入了安全白名單技術(shù)，從而使華為WAF 實現(xiàn)快速安全檢測，與安全特征庫不同，安全白

23、名單并不是對 Web 攻擊行為的分析與提取，而是對正常訪問行為的分析與總結(jié)規(guī)律，從而實現(xiàn)了假定安全的檢測邏輯。不同網(wǎng)站有著各自獨立的特性與訪問規(guī)律，因此華為 WAF 的白名單安全特征采用了自學習建模技術(shù)，針對所防護的網(wǎng)站進行流量學習，在概率統(tǒng)計學為基礎不斷的安全分析與收斂，最終形成一套針對網(wǎng)站特性的安全白名單規(guī)則。黑名單安全技術(shù)華為WAF 提供默認的安全策略，對 Web 網(wǎng)站或應用進行嚴格的保護。這些安全規(guī)則來自于 Snort、CWE、OWASP 組織，以及華為安全研究部對國內(nèi)典型應用的深入研究成果。除了默認的策略外，用戶還可以創(chuàng)建客戶化的策略。每個策略下分為若干子策略：HTTP 協(xié)議合規(guī)性S

24、QL 注入阻斷跨站點腳本攻擊防護表單/cookie 篡改防護DoS 攻擊防護敏感信息泄漏目錄遍歷掃描器掃描手工探測與滲透惡意攻擊蠕蟲攻擊應用層 CC 攻擊應用層流量攻擊請求包大小限制限制HTTP 請求 Head 大小避免惡意代碼通過，超過規(guī)定大小的請求將被丟棄。正確配置請求限制還能減輕 Dos 攻擊、緩沖區(qū)攻擊。HTTP/HTTPS 請求方法限制限制HTTP/HTTPS 各種方法的訪問，包括：GET、POST、DELETE、HEAD、CONNECT、TRACE、PUT 等。HTTP/HTTPS 請求方法限制支持黑白名單的配置，可以設定可信的訪問客戶端 IP（白名單）而不受安全策略規(guī)則的檢測；設

25、定非法的訪問客戶端（黑名單），直接禁止其任何對 Web 服務器的訪問。用戶自定義規(guī)則庫支持用戶自定義規(guī)則庫，用戶可以根據(jù)業(yè)務需求，針對某些關(guān)鍵字，數(shù)據(jù)段長度等相關(guān)信息，自定義安全過濾規(guī)則。同時，對于多字段，多條件的組合防護需求，華為WAF 仍提供了自定義規(guī)則的解決方案。行為建模分析技術(shù)華為WAF 具有較強的用戶訪問行為建模分析技術(shù)，可以有效的解決如應用層 CC 攻擊、盜鏈攻擊、惡意商業(yè)數(shù)據(jù)抓取等攻擊行為。由于HTTP 協(xié)議是一種無狀態(tài)的協(xié)議，因此通過單次請求分析難以識別上述的攻擊行為。只有通過行為建模分析技術(shù)才能將訪問者行為進行跟蹤與分析，從而區(qū)分正常訪問行為與上述訪問的差異。目前華為WAF

26、已經(jīng)廣泛應用于國內(nèi)知名企業(yè)的在線交易系統(tǒng)專用于防御上述三類常見應用攻擊，詳細信息可查看相關(guān)技術(shù)專刊。內(nèi)容分析與響應檢查華為WAF 內(nèi)置了內(nèi)容安全檢測模塊，可以實現(xiàn)提交敏感言論，敏感內(nèi)容泄露的分析與阻斷?？梢詫崿F(xiàn)對中文詞組的分析與檢測，適用于需要限制提交敏感言論的論壇、留言板、在線業(yè)務系統(tǒng)等；內(nèi)置的防敏感內(nèi)容泄露模塊可以有效防御諸如以下的內(nèi)容泄露： 手機號、身份證號碼、信用卡卡號、郵件地址等，從而防止因為用戶數(shù)據(jù)丟失而給企業(yè)帶來的信任危機。快速應用交付TCP 協(xié)議加速當一個 TCP 連接開始傳輸數(shù)據(jù)時，由于并不知道雙方通道的帶寬，所以為了最大利用帶寬。傳輸是一個逐漸加速的過程，起初，假設帶寬是一

27、個比較小的值，通過另一端的反饋來逐漸增大對帶寬的估計值。通過增大該估計值，TCP 允許在未收到反饋時傳輸更多的包（即在途的包數(shù)目），最終該值達到穩(wěn)定值，接近帶寬，這個過程為TCP 慢啟動，這個時間的長短，直接影響了用戶的 Web 體驗華為WAF 通過優(yōu)化與客戶端的 TCP 協(xié)議棧，優(yōu)化后使得傳輸速度大幅度提升，特別是電信聯(lián)通之間往返時間較長時，效果非常明顯。高速緩存華為WAF 為了提高被保護系統(tǒng)的訪問速度，同時消除WAF 過濾分析過程中帶來的延時，定制提供了應用加速功能，通過高速緩存和相關(guān)算法鏡像及管理相關(guān)的靜態(tài)內(nèi)容， 一旦有用戶訪問，客戶端直接通過 WAF 緩存中獲取，避免了用戶重復通過 W

28、eb 服務器并進行協(xié)議解析等相關(guān)操作，從而加快了訪問速度，減輕了 Web 服務器的負擔。安全監(jiān)控與服務發(fā)現(xiàn)為了更好的監(jiān)控 Web 應用防火墻自身狀態(tài)以及所防護的對象的安全狀態(tài)，華為 WAF 通過自動服務發(fā)現(xiàn)、安全態(tài)勢監(jiān)測、自身健康度監(jiān)測等多個方面進行全面的監(jiān)測與展現(xiàn)。自動服務發(fā)現(xiàn)通常情況下管理員需要手工指定 Web 應用防火墻需要防護哪些 Web 應用，當有大量的網(wǎng)站群需要防護時，或者具有復雜的域名對應關(guān)系時通常難以手工對服務進行確認。另一方面數(shù)據(jù)中心的 Web 服務可能隨著業(yè)務的增加而不斷有新的服務開啟，此時我們的安全管理員可能并未被告知，因此 Web 服務的監(jiān)測與自動發(fā)現(xiàn)有助于 Web 應

29、用的安全管理。開啟華為WAF 服務自動發(fā)現(xiàn)功能，可輕松實現(xiàn) Web 應用防火墻部署的即插即用，不需復雜的環(huán)境調(diào)研和現(xiàn)場確認，加載自動發(fā)現(xiàn)的服務對象即可實現(xiàn)快速安全防護策略的部署。安全監(jiān)控如下圖所示，華為 WAF 實現(xiàn)了基于安全事件級別的安全監(jiān)控，通過對安全日志分析、攻擊者跟蹤等手段，將最具有危害的行為、最需要處理的事件展現(xiàn)給管理員，實現(xiàn)高效管理。性能監(jiān)控Web 應用系統(tǒng)與傳統(tǒng)網(wǎng)絡特性不一樣，決定業(yè)務系統(tǒng)的關(guān)鍵性能指標通常不是由網(wǎng)絡流量或帶寬所決定，而是由HTTP 每秒處理事務數(shù)決定。除此之外 Web 應用系統(tǒng)中通常用負載均衡器的性能指標來衡量業(yè)務系統(tǒng)的性能，因此WAF 本身的性能情況，業(yè)務系統(tǒng)

30、的性能情況均可通過 WAF 直觀的展現(xiàn)出來，有利于管理員對業(yè)務系統(tǒng)性能情況的總體了解，并有利于業(yè)務系統(tǒng)出現(xiàn)故障時輔助分析定位問題。多種接口兼容SNMP 接口可遠程監(jiān)測 WAF 的運行狀態(tài)，支持 SNMP_V2、V3 版本，如 CPU、內(nèi)存、磁盤、端口速率等信息的狀態(tài)檢測，當設備出現(xiàn)異常時可在第一時間發(fā)現(xiàn)。Syslog 接口將日志輸送到 Syslog 服務器或安管平臺，結(jié)合安管產(chǎn)品可關(guān)聯(lián)分析黑客的整個攻擊過程，日志中包含攻擊時間、攻擊 IP、攻擊行為、URL 地址、攻擊特征、攻擊工具等信息。郵件與短信告警接口華為WAF 內(nèi)置郵件與短信告警接口，檢測到入侵攻擊行為時可自動將告警信息發(fā)送到管理員郵箱

31、或管理員手機中。WebService 接口安全管理員面對的安全產(chǎn)品越來越多，需要配置和管理的任務越來越重，因此新引入的安全產(chǎn)品能否接入到統(tǒng)一安全管理平臺是衡量一款安全產(chǎn)品可管理性的重要指標。華為WAF 針對用戶的這種需要開放了 WebService 接口，可將WAF 接入到統(tǒng)一的安全管理平臺中，便于日常維護。華為 WAF5000 系列 Web 應用防火墻技術(shù)白皮書4 功能特點 4功能特點華為WAF 具有使網(wǎng)站更安全、使訪問更快速、使運維更簡單三大功能特點。使網(wǎng)站更安全雙模式安全引擎采用白名單與黑名單相結(jié)合的方式實現(xiàn)安全引擎，白名單可以快速識別安全的請求提升了訪問性能，黑名單基于特征匹配技術(shù)的深

32、入識別，可以將緩存繞過白名單檢測的攻擊行為。黑名單安全技術(shù)華為WAF 提供默認的安全策略，對 Web 網(wǎng)站或應用進行嚴格的保護。這些安全規(guī)則來自于 Snort、CWE、OWASP 組織，以及華為安全研究院對國內(nèi)典型應用的深入研究成果。華為 WAF 內(nèi)置了 30 余類的通用 Web 攻擊特征，集成了 580 多個類別的攻擊特征， 全面覆蓋了 Web 應用安全存在的主要安全威脅，通過規(guī)則庫匹配技術(shù)實現(xiàn)各類 SQL 注入、跨站、掛馬、CC、掃描器等攻擊的安全防護，同時低誤報率、低漏報率。同時， 華為WAF 支持自定義規(guī)則。白名單安全技術(shù)華為WAF 白名單安全技術(shù)通過對正常訪問行為的分析與總結(jié)規(guī)律，從

33、而實現(xiàn)了假定安全的檢測邏輯。由于不同網(wǎng)站有著各自獨立的特性與訪問規(guī)律，因此華為 WAF 的白名單安全特征采用了自學習建模技術(shù)，針對所防護的網(wǎng)站進行流量學習，在概率統(tǒng)計學為基礎不斷的安全分析與收斂，最終形成一套針對網(wǎng)站特性的安全白名單規(guī)則。華為WAF 通過白名單安全技術(shù)有效防護 0day 等攻擊，誤報率低。同時，大大提高了網(wǎng)站訪問性能，避免特征庫黑名單技術(shù)帶來的局限性，如規(guī)則庫的龐大及復雜，對管理員的安全技術(shù)水平要求高等。IP 信譽庫華為 WAF 內(nèi)置 IP 信譽庫，IP 信譽庫中包含惡意的 IP 地址，如果有惡意的 IP 地址訪問網(wǎng)站，WAF 就會進行告警或阻斷。區(qū)域訪問控制華為 WAF 內(nèi)置

34、 IP 地址庫（中國+全球國家），可以有效對某區(qū)域的 IP 進行控制。智能防護華為 WAF 自動跟蹤攻擊者的行為，對于攻擊者 IP 自動進行鎖定，降低網(wǎng)站被入侵的風險。CC 精準防護華為 WAF 采用獨創(chuàng)的檢測算法對 CC 攻擊進行防護。支持多重檢測算法，獨創(chuàng)的集中度和速率雙重檢查算法，減小誤判實現(xiàn)精準防護，可基于 URL、請求頭字段、目標 IP、請求方法等多種組合條件進行檢測，檢測對象支持 IP 或 IP+URL 或者 IP+User-agent 算法，IP 可支持NAT 前的地址解析；支持挑戰(zhàn)模式，客戶端訪問時 WAF 發(fā)起 JS 挑戰(zhàn)驗證是真實客戶還是CC 工具發(fā)起的訪問；支持根據(jù)流量模

35、型監(jiān)控流量是否異常，按需開啟 CC 防護策略；支持基于地理位置的識別，可設置不同地理區(qū)域的防護單元；支持 CC 慢攻擊的防護；支持 CC 規(guī)則的 IP 白名單功能。虛擬補丁華為 WAF 支持將第三方掃描工具的掃描結(jié)果導入 WAF 并生成策略規(guī)則。使訪問更快速服務優(yōu)先原則的高性能算法WAF 產(chǎn)品產(chǎn)生延時的最主要環(huán)節(jié)是特征匹配階段，特征匹配范圍越廣、算法越復雜、特征數(shù)量越多其防護能力理論上將會越好，同時造成的業(yè)務延時也將最大。而且基于黑名單簽名技術(shù)的 WAF 產(chǎn)品正常請求者的延時影響最大。華為 WAF 產(chǎn)品采用了白名單簽名技術(shù)，對正常的請求只需要進行一次特征匹配即可實現(xiàn)快速轉(zhuǎn)發(fā)，從而極大的降低了黑名單匹配數(shù)百條甚至上萬條特征匹配帶來的業(yè)務延時。多種加速方案除安全檢測方面的性能優(yōu)化之外，華為 WAF 產(chǎn)品還提供了多種加速方案，從而使部署WAF 后的整體效果不是訪問延時增加了，反而具有減小訪問延時的明顯差異。高速緩存華為 WAF 支持將 jgp、html、txt 等靜態(tài)文件進行緩存，用戶訪問這些靜態(tài)文件時，WAF 可以直接將本地的靜態(tài)文件返回給客戶端。使運維更簡單WAF 產(chǎn)品屬應用層安全產(chǎn)品，國外也稱為程序防火墻，因此需要管理人員對程序代理有一定理解，對各常見 Web 開發(fā)語言非常熟悉才能用好產(chǎn)品。這無形中增加了運維人員的技術(shù)要求和人員資源本成。華為 WAF 產(chǎn)