安数云WEB应用防火墙
优选

安数云WEB应用防火墙

适用云环境及传统环境的新一代应用级综合防护系统。帮助用户解决目前所面临的各类常见及最新的应用安全问题,保护您的WEB网站免受众多已知或未知的应用层攻击,诸如SQL注入、XSS跨站、木马上传、CC攻击

WEB网络安全防火墙
4407/
4407/
规格:
  • 标准版
周期:
  • A套餐/1个月
立即购买
,
加入购物车
  • 百度智能云优选认证
  • 平台担保交易
  • 全程服务监管
  • 退款售后无忧

产品参数

  • 人工交付
  • 实时
  • BCC

产品详情

产品概述

安数云WEB应用防火墙是北京安数云信息技术有限公司结合多年在应用安全领域理论研究与攻防实践经验积累的基础上,自主研发的新一代应用级综合防护系统。保护您的WEB网站免受众多已知或未知的应用层攻击,诸如SQL注入、XSS跨站、木马上传、CC攻击等。安数云WEB应用防火墙能够帮助用户解决目前所面临的各类常见及最新的应用安全问题,同时满足如等级保护、行业规范等政策法规的安全建设要求。

安数云WEB应用防火墙拥有多种不同硬件型号,充分满足各种类型客户需求,提高WEB业务的可用性和安全性,确保WEB业务能够快速、安全、可靠地运行。

产品功能

2.1 安全防护功能

2.1.1 防SQL注入

SQL注入:SQL注入是利用现有应用程序参数接口,将(恶意)的SQL命令注入到后台数据库引擎执行,以到达特定攻击目的的攻击方式。随着WEB应用的广泛应用,由于开发人员的水平和安全经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是WEB请求数据中所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得一些他想得到的数据。SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的WEB访问没有区别,隐蔽性极强,不易被发现。

安数云WAF提供了完善的SQL注入特征规则库,能够准确识别网络数据包中的SQL注入攻击威胁。

2.1.2 防XSS注入

XSS(Cross Site Script)跨站脚本攻击,这类攻击通常是服务器端程序对客户端所提交的数据内容不做安全检查和转换,直接将客户端提交的数据显示到页面上,从而导致攻击的产生。

以客户端向论坛服务器发布消息为例,当客户端向论坛服务器发布一个消息,此消息中包含一段页面可执行的脚本,而服务器端对于这段提交的内容没有进行严格检查,这条消息就会保存到数据库,当有客户再次访问含有此消息的页面时,包含的脚本会被客户端浏览器执行,弹出如下对话框:

XSS攻击的危害包括:

1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

安数云WAF提供了完善的XSS特征规则库,能够识别网络数据包中的XSS注入攻击。

2.1.3 扫描

恶意扫描是指针对网站进行的高频扫描,这种扫描方式通常会将自己伪装成浏览器,发出的扫描报文没有明显特征;而高频扫描会对网站负载和网络带宽带来较大危害。这种攻击方式因为没有明显特征,所以在检测防护上比较困难。

安数云WAF通过概率统计方式来识别这种扫描行为。当出现扫描行为时,可以精确定位到发起扫描的客户端进行阻断。

2.1.4 防CC攻击

CC攻击是一种以网站为主要攻击目标的应用层拒绝服务攻击,这种攻击会选择WEB服务中比较消耗资源的页面作为攻击目标,例如需要占用服务器大量的CPU资源进行运算的页面或者需要大量访问数据库的页面。这样,通过一定频率的WEB请求访问就可以导致WEB服务器内存或者CPU大量占用,从而实现拒绝服务攻击。

安数云WAF的CC攻击防护模块通过特定算法和模型可保护指定页面免于遭受CC攻击,并且通过特定方法来区分是人工的正常访问还是机器自动攻击。

2.1.5  COOKIED防护

COOKIE是WEB服务器下发给浏览器的一段文本,当再次进行HTTP请求时,客户端浏览器会将COOKIE带给WEB服务器,其目的是为服务器提供记忆功能,如记录用户登录状态与访问状态,记录用户信息和记录用户的行为。存放在客户端的COOKIE可能会被攻击者使用各种手段盗取,网络中传输的COOKIE也可被攻击者恶意修改。

COOKIE防护功能可对服务器返回给客户端的COOKIE进行签名或加密操作,从而隐藏COOKIE中携带的敏感信息,以及能够检测到COOKIE是否被恶意修改,避免COOKIE篡改导致的各种安全问题。COOKIE防护也可对COOKIE设定HTTPONLY属性,防止攻击者使用JS脚本盗取存储在客户端的COOKIE。另外WAF可对COOKIE设定SECURE属性,仅允许COOKIE以HTTPS的形式进行传输,防止COOKIE被第三方攻击者窃听。

2.1.6 防CSRF

跨站脚本请求伪造(CSRF)可以在受害者毫不知情的情况下,以受害者的身份向服务器发送伪造请求,伪造合法的身份能够做的事情包括:发送邮件,发送社交消息,盗取账号,甚至于购买商品,虚拟货币转账等等,具有很大的危害性。

安数云WAF能够通过配置访问URL的来源来确定所访问的URL是否合法,从而避免遭受CSRF攻击。

2.1.7 防盗链

盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。

安数云WAF能够检查访问资源的请求的来源是否属于合法范围,从而判定是否发生盗链行为。

2.1.8 文件上传、下载防护

WEB应用大多具有文件上传和下载的业务,但是有些文件类型是不希望或者不允许被上传的,如可执行脚本文件,有些文件也不希望或者不允许被下载的,例如直接获取 ACCESS 数据库而导致的数据库信息泄露。

安数云WAF文件上传防护和文件下载防护功能可控制客户端对于指定扩展名的文件和指定文件大小的文件进行上传和下载控制,另外该功能还具备真实文件识别能力,不仅仅通过扩展名对文件类型进行判断,从而避免企图通过修改文件扩展名而绕过检测的攻击方式。

2.1.9 防撞库

撞库攻击是对注册类网站的账号具有巨大威胁的攻击方式。用户在各种网站注册账号时,通常会使用固定的一个或者几个用户名和密码;当某个安全防护水平比较差的网站被攻击者拖库,导致账号信息泄露以后,攻击者会使用这些账号信息在其他网站上逐个进行尝试,如果用户在后续网站上使用的用户名和密码和被拖库的网站一致,那么这些网站上的账号信息也都泄露了。因此,对于安全防护要求比较高的网站,存在这种方式,不是因为自身被拖库导致用户账号信息泄露,但一旦账号信息泄露,会给用户资产安全带来重大威胁。这种情况下就要求WAF能抵御撞库行为,在攻击者批量验证账号的时候能及时发现并阻止。安数云WAF根据撞库行为的行为特点,总结了撞库的行为模型,在这基础上进行撞库攻击检测,能有效识别并阻断撞库行为发生。

2.1.10 客户端访问频率控制和区域控制

恶意客户端访问控制是针对特定的页面,对客户端访问频率进行控制;这种控制在防止票务系统遭受恶意刷票方面具有较好的防护效果。如火车购票系统、飞机购票系统,正常的客户在一定的时间内只会访问几次购票页面,而恶意刷票客户会使用购票软件或脚本频繁访问购票页面,这样就会大大加大服务器的负荷,造成其他的正常用户不可访问服务器,导致应用业务无法提供正常服务。

基于此,安数云WAF的恶意客户端访问控制功能可控制每个客户端在指定时间内对特定WEB页面的访问次数,这对于类似票务系统的业务具有较好保护效果。

有些WEB服务具有区域性特点,提供的WEB服务绝大部分是对某些特定地理区域的用户适用,比如教育类或者政府类网站。安数云WAF的源区域访问控制模块提供了这种功能,可以控制某些网站允许访问的地理区域范围,控制的粒度国内到省一级,国际按国家控制。这样当这些网站如果遭受恶意流量攻击或者分布式大规模攻击时,可以通过这个功能来限制客户端来源,保障网站提供正常业务。

源区域访问控制支持允许模式和禁止模式,允许模式下,允许配置地区或者用户自定义区域的客户端访问WEB服务器。禁止模式下,禁止配置地区或者用户自定义区域的客户端访问WEB服务器。

2.1.11 流量控制

流量控制可限制对指定URL的并发连接请求数(个/秒)和并发访问速率(BK/秒), 确保一些性能消耗比较大的 WEB页面能在 WEB服务器承受的性能范围之内被访问。

2.1.12 防绕过

在网络攻击和应用攻击中,攻击者会分析攻击目标前面是否已经部署了相关的安全设备,如果发现已经部署了安全设备,则会进一步分析这些安全设备的厂商,以及分析如何绕过这些安全设备的检测实现攻击的目的。

因此对于安全设备来说,如何保证自身检测防御机制不被绕过是产品有效性的基本要求,从技术方案来说,攻击者要绕过安全设备检测进行攻击,通常是需要构建各种特殊报文,利用安全设备和目标服务器处理这些特殊报文方式的差异性,从而实现躲避安全设备检测,而又能有效攻击目标服务器的目的。

对于WAF产品而言,主要处理的是HTTP协议,因此绕过技术主要是在HTTP请求报文中构建一些特殊格式的数据,对这些企图绕过设备检测的异常报文进行检测,防止逃逸行为的发生。

2.1.13 HTTP协议校验

HTTP协议校验是对 HTTP 请求做合规性检查,如果不符合设置规定的请求将被按设定的响应方式进行相应的处理,符合规定的请求按正常请求进行处理。

安数云WAF的HTTP协议校验功能分两种粒度进行合规配置和处理,一种是针对所有请求的,主要是针对请求头中的各个字段进行合规性设置,或者针对请求参数的通用性设置,例如请求头长度,COOKIE最大个数,特殊字符设置等;另一种是针对指定URL,安数云WAF能够定义指定页面允许的方法(如POST、OPTION、TRACE、DELETE 等)、URL 长度以及查询字符串长度,检查各种应用的参数的合理取值,对于检测出的不合规请求,则进行相应处理。

HTTP协议校验功能支持自学习功能,自学习结果可以作为参考依据,便于管理员制定更准确的合规策略。

2.1.14  敏感信息防护

安数云WAF提供了敏感信息保护功能。可以防止泄露操作系统信息,服务器信息和个人信息。

2.1.15 关键字过滤

安数云WAF通过检查用户提交表单或者URL中的参数内容,识别和阻断提交请求中包含的指定关键字的文字内容,避免造成恶劣影响。

2.1.16  防篡改

网页篡改,就是部署在服务器上的网页文件被攻击者使用技术手段进行了恶意修改,当正常用户再次访问网页时,就会浏览到被篡改后的信息。网页被篡改会引起各种麻烦,对于企业来说,可能会泄露企业机密,对于政府网站来说,可能会对政府的形象带来负面影响。所以防止网页被篡改,提高网页防篡改能力是WAF产品的重要特性。

安数云WAF的网页防篡改模块使用主动轮询技术,以轮询方式读出要监控的网页,通过与保存的基线网页相比较来判断网页内容的是否被篡改。WAF有页面缓存机制,当判别页面已经被篡改的情况下向客户端提交被篡改前的页面,并进行系统告警,提醒管理员处理网页篡改风险。

2.1.17 FLOOD防护

安数云WAF提供基本的网络层FLOOD防护能力,提供了包括TCP、UDP、ICMP三种FLOOD检测防御功能。

2.1.18  SSL支持

目前越来越多的WEB应用都开始采用HTTPS加密,以防止数据传输过程中敏感信息泄露以及数据被篡改。安数云WAF支持对HTTPS流量的解密,从而检测HTTPS流量所包含的攻击。

2.2 系统管理功能

安数云WAF采用B/S架构,提供了简单易用WebUI操作界面,用户登录之后能够对WAF进行详细的配置管理,能够添加、编辑及删除被防护主机及对应的安全策略,能够管理系统统计日志及报表,能够实现对系统的远程管理及维护。

系统还提供了串口管理及远程协助管理接口,方便设备的本地及远程管理和调试。

2.3 快捷升级功能

(1)支持规则、系统在线升级。

(2)支持系统离线升级。

产品优势

3.1 强大的攻防能力

(1)多年安全策略积累,专业安全团队,规则误报率低。

(2)Web 0day漏洞补丁24小时内全国同步。

(3)OWASP TOP10精确防护,智能攻击者锁定,智能补丁,驱动防篡改,全方位防护网站安全。

3.2 高效的处理性能

(1)基于插件式的高效策略处理引擎。

(2)性能与规则数量无关,高性能不牺牲安全。

3.3 简单的应用部署

(1)透明部署、即插即用。

(2)站点自动发现,降低配置复杂度。

(3)配置变更平滑,安全应用不影响客户业务。

3.4 增值的核心功能

(1)实时对http站点进行https加密与防护。

(2)智能防护,实时封锁恶意攻击者。

(4)智能学习,智能学习站点特征,定制防护策略。

(5)IPV6站点防护支持。

产品部署

安数云WEB应用防火墙支持透明桥模式、反向代理模式、单臂模式和旁路模式。

4.1 透明桥模式

透明桥模式下,业务口工作在桥接口下,用户无需改变网络中拓扑,将WAF串联到网络中即可,达到即插即用就能实现保护WEB服务器的效果,这是一种极为简单和普遍的使用方式。

在桥模式下,支持双机备份,包括主备模式和主主模式;支持软件BYPASS和硬件BYPASS,具备高可用性。

4.2 反向代理

反向代理模式和单臂模式实现原理相同,不同的是反向代理模式使用两个业务接口,而单臂模式只使用一个业务接口。在反向代理模式下,用户需要改变原有拓扑模型,客户端访问的目的地址是WAF代理的接口IP,WAF再将访问请求转发到后台服务器,此模式可以隐藏服务器的真实IP地址,在反向代理模式下,也支持双机热备,包括主备模式和主主模式;并且具备服务器存活探测功能,可以根据特定算法实现负载均衡,用以保障服务器业务的连续性和连通性。

 

4.3 镜像模式

WAF不串联到网络环境中,而是旁挂在交换机设备上,通过流量镜像方式对网络中的流量进行检测和告警。其部署方式与IDS相似。


客户案例


某房产互联网公司企业网络

 

该公司网络结构简单,公司人员流动量大,移动办公人员相对较多,员工安全意识薄弱,整个网络安全生态环境恶劣,主要安全隐患来自员工自带的笔记本、移动智能设备、U盘等内部因素。而公司服务系统存有大量客户数据以及业务信息,需要进行综合性安全防护。

经过客户充分对比考虑,最终选择安数云入侵防御系统对服务器进行安全加固。


产品使用指南

使用指南.doc

产品价格

规格周期首次购买价续费价
标准版A套餐/1个月¥4407¥4407

此处价格仅供参考,实际价格以选定规格周期后的显示价格为准。

购买须知

以上产品为第三方服务商提供,其知识产权和版权归服务商所有,百度云并不拥有任何权利。

绝大部份的欺诈、纠纷、资金盗取均由线下交易导致。请通过云市场平台交易为您提供保障!了解更多须知 >

服务商:
北京安数云信息技术有限公司
客服热线:
4008777898转10528
服务时间:
周一至周五9:00-17:30
电子邮件:
hzj@datacloudsec.com
在线客服:
公司致力于云安全领域研发,丰富的公有云、私有云、混合云的安全建设经验;为用户提供云上业务系统安全建设和云安全产品,虚拟化安全产品一揽子云安全解决方案,产品稳定功能齐全,能快速交付,满足等保2.0需求。

联系我们