web应用防火墙

一、web应用防火墙产品简介

     随着信息化技术的不断发展，企业电子商务和政府电子政务，社交Web应用日益增多，随之而来，也面临着Web滥用、病毒泛滥和黑客攻击等安全问题，导致政府门户网站被篡改、企业用户数据信息被窃取或丢失。根据艾瑞咨询的统计当前网络上85%的攻击是针对Web门户应用和后端数据的攻击。黑客通过应用层协议进入网络内部，如Web门户、企业电子邮件系统、聊天工具、P2P等攻击各种应用网络。网络技术的流行，现在不坏好意的人员想要攻击企业或政府，随时都可以在网上下载专业的攻击软件，不需要对网络协议的深厚理解基础，即可完成诸如更换门户网站主页，盗取后台管理员密码，删除网站后端数据库等等攻击。而这些攻击过程中产生的网络层数据和正常数据没有什么区别。因此，传统的一般防火墙根本无法进行Web应用防护的。我们都知道传统的防火墙工作在网络层，防火墙通过NAT地址转换、ACL访问控制及状态检测等功能，对我们的内部网络进行保护。但传统的防火墙对应用最广泛的Web服务器缺不能做到很好的防护。传统防火墙由于其工作原理，对外部网络必须完全开放http应用端口，由于对外完全开放端口，可以说对黑客就是敞开了攻击的大门。
     据最近的美国计算机安全协会和美国联邦调查局对网路攻击的研究表明，在接受调查的企业中有 62% 的企业网路系统遭受过外部黑客的入侵，但事实上这些企业中有 98% 的企业都装有防火墙。而这些黑客攻击为452家受访公司带来巨大的经济损失，主要攻击手段包括：系统内部入侵、web应用系统篡改、网页置换、盗取私人信息、后端数据库篡改及拒绝服务共计超过 10.41 亿美元。
    入侵检测系统作为传统防火墙的有利补充，加强了企业网络的安全防御能力。但是，入侵检测技术的作用仍然存在一定的局限性。由于需要预先构造攻击特征库来匹配网络数据，对于未知攻击和或伪装成正常流量的攻击，入侵检测系统不能检测和防御。更重要的是，对于应用系统中某一漏洞的目标攻击，他们没有任何防御能力，因为这些攻击没有明显的特征可供判断。另外就是其技术实现的矛盾，如果需要防御更多的攻击，那么就需要很多的规则，但是随着规则的增多，系统出现的虚假报告（对于入侵防御系统来说，会产生中断正常连接的问题）率会上升，同时，系统的效率会降低。
     梭子鱼提供的强大的web应用防火墙产品线，能够为Web应用服务器和Web的各种应用提供全面的保护，梭子鱼web应用防火墙既可防范已知的对Web应用系统及基础设施漏洞的攻击，也可抵御更多的恶意及目标攻击。梭子鱼web应用防火墙基于梭子鱼专利的NCOS体系，对HTTP请求进行终止、防护和加速。梭子鱼web应用防火墙集中化GUI控制界面可以让系统的配置和管理变得十分简单。 特别是，梭子鱼应用防火墙完全符合WAFEC & OWASP提出的标准。并且是世界上唯一被ICSA在网络层和应用层上通过认证的产品。

二、梭子鱼web应用防火墙产品特性

1、梭子鱼web应用防火墙工作原理
    梭子鱼web应用防火墙通过反向代理(Proxy)帮助企业建起防线! 基于会话的双向代理不仅能应用在网络层，同时还能应用在应用层（HTTP）上，确保内部服务器操作系统和TCP堆栈不直接暴露于Internet，保障Web应用的安全。
2、梭子鱼应用防火墙三层防护机制

1、终止：

    梭子鱼web应用防火墙有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。 梭子鱼web应用防火墙将对应用流量（向内和向外）进行全面的检查，并管理每一个会话。通过TCP握手切断任何基于TCP的DOS攻击。在终止会话的同时，梭子鱼web应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权，检查所有的HTTP 内容，解释和建立规则。

2、安全：

     一旦某个会话被梭子鱼web应用防火墙终止并被控制，将会对向内或向外的流量进行多种检查，以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进行检查。
3、加速：

     除了Web应用的安全性，数据中心还负责应用的可用性和响应时间。将加速功能(TCP 池，缓存，GZIP压缩)和可用性功能（内容交换、负载均衡、健康检查）在一个单一的节点处结合起来会显著地简化数据中心的体系结构，以此来降低成本。

三、梭子鱼web应用防火墙功能特性    

     梭子鱼web应用防火墙在服务器前端保护您的web网站免受协议或应用层攻击：如DOS拒绝攻击、数据欺骗、网站篡改以及非认证用户访问等等。与传统的防火墙和IDS不同，梭子鱼web应用防火墙它仅仅转发HTTP，HTTPS或FTP的应用层流量，梭子鱼web应用防火墙代理这些流量，将用户的web服务器和外部黑客隔绝。

    梭子鱼Web应用防火墙保护Web应用以及Web服务器免受各种恶意攻击，web应用防火墙还能提高这些应用的性能及可测量性。梭子鱼web应用防火墙具备投递、安全、加速并管理政府和企业的web应用安全。且其用户界面友好直观，操作简单。

• 以最优安全的方式投递流量。
• 所有web应用进出流量单点防护。
• 监控流量并提供攻击或攻击尝试报告。
• 保护web网站和web应用免受应用层攻击。

全面的web网站防护

    梭子鱼web应用防火墙能对各种针对web应用的攻击进行有效防护，如：SQL 注入攻击，进程窃取，跨站点脚本攻击，缓冲区溢出等等。

   几乎所有的应用都容易被上述方式攻击，因为应用程序开发者不可能做到每行代码都严格遵循安全编码规范。而梭子鱼web应用防火墙就是设计用来抵抗各类攻击和安全威胁的，包括：

• 跨站点脚本攻击
• OS命令注入攻击
• 进程劫持
• SQL注入攻击
• Cookie/进程窃取攻击
• 网站侦测攻击
• 路径模式发掘攻击
• 信息泄露攻击
• 应用拒绝服务攻击
• 恶意探测与网站爬行
• 头信息窃取攻击

对政府和企业一揽子web应用问题的简单解决方案

    在线web应用面临越来越多的职业黑客的威胁。它们通过web应用窃取或伪造数据。损害公司信誉、造成客户流失并冲击公司的底线。

    特别是，从事在线交易的公司面临着越来越严格的产业法规。例如信用卡行业数据安全标准(PCI DSS), 该标准要求所有的企业的web应用必须通过复杂且成本高昂的应用代码审计。不过用户可以选择另一种符合PCI DSS的方法，即安装应用防火墙。

    所有的这些因素加上PCI DSS的行业规定大大促进了对技术先进、性价比高的web应用安全防护解决方案的需求。梭子鱼继成为国际邮件安全和web安全市场领导者后，梭子鱼web应用防火墙通过在技术上的不断突破，也已经占领了市场的主体地位。

应用案例

       成都高新区科技局、重庆广播电视集团、厦门移动、普尔公安局、上海市环保局、大连工业大学

----------------------------------------------------------------------------------------------------------------------

     更多邮件系统、反垃圾邮件网关、邮件归档、负载均衡、web应用防火墙、上网行为管理等产品的介绍请登录公司产品中心了解详情。

如果您对此感兴趣,可以通过以下联系方式与我们联系：

成都区销售    重庆区销售    云贵区销售    华南区销售 华北区销售 华东区销售

华为企业邮箱销售热线：400-0828-083