【51CTO.com 綜合消息】一、明御TMWEB應(yīng)用防火墻是安恒結(jié)合多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上自主研發(fā)完成，滿足各類法律法規(guī)如PCI、等級保護(hù)、企業(yè)內(nèi)部控制規(guī)范等要求，以國內(nèi)首創(chuàng)的全透明部署模式全面支持HTTPS，在提供WEB應(yīng)用實(shí)時深度防御的同時實(shí)現(xiàn)WEB應(yīng)用加速及敏感信息泄露防護(hù)，為Web應(yīng)用提供全方位的防護(hù)解決方案。該產(chǎn)品致力于解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問題，廣泛適用于“政府、金融、運(yùn)營商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)”等所有涉及WEB應(yīng)用的各個行業(yè)。部署安恒的WAF產(chǎn)品，可以幫助用戶解決目前所面臨的各類網(wǎng)站安全問題，如：注入攻擊、跨站腳本攻擊(釣魚攻擊)、惡意編碼(網(wǎng)頁木馬)、緩沖區(qū)溢出、信息泄露、應(yīng)用層DOS/DDOS攻擊等等。  

二、 產(chǎn)品的功能 

◆深度防御

明御WEB應(yīng)用防火墻基于安恒專利級WEB入侵異常檢測技術(shù)，對WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等）： 

◆SQL注入 

◆命令注入 

◆Cookie 注入 

◆跨站腳本(XSS)  

◆敏感信息泄露 

◆惡意代碼  

◆錯誤配置  

◆隱藏字段  

◆會話劫持  

◆參數(shù)篡改  

◆緩沖區(qū)溢出  

◆應(yīng)用層拒絕服務(wù)  

◆弱口令  

◆其他變形的應(yīng)用攻擊 

◆Web應(yīng)用加速

系統(tǒng)內(nèi)嵌應(yīng)用加速模塊，通過對各類靜態(tài)頁面及部分腳本的高速緩存，大大提高訪問速度。 

◆敏感信息泄露防護(hù)

系統(tǒng)內(nèi)置安全防護(hù)策略，可以靈活定義HTTP/HTTPS錯誤返回的默認(rèn)頁面，避免因?yàn)閃EB服務(wù)異常，導(dǎo)致敏感信息（如：WEB應(yīng)用安裝目錄、WEB服務(wù)器版本信息等）的泄露。 

◆策略配置

自定義策略配置 

◆告警

實(shí)時告警，支持郵件、短信等多種方式告警。 

◆系統(tǒng)報表

支持自定義報表，支持各類導(dǎo)出格式（WORD、EXCEL、PDF、HTML等）。

三、 產(chǎn)品特點(diǎn) 

◆專利級WEB入侵異常檢測引擎

安恒獨(dú)有WEB入侵異常檢測引擎，能夠有效分析和識別各類已知和變形的應(yīng)用攻擊，為防御的準(zhǔn)確性和高效性提供了基礎(chǔ)。 

◆支持全透明部署

業(yè)界首創(chuàng)支持全透明部署，無需更改原有的DNS或IP配置，對原有應(yīng)用不會造成任何影響。 

◆HTTPS支持

國內(nèi)首創(chuàng)全面支持HTTPS，實(shí)現(xiàn)各類高安全要求WEB應(yīng)用系統(tǒng)的深度實(shí)時防護(hù)（如網(wǎng)銀、證券交易等）。 

◆支持多保護(hù)對象  支持多臺主機(jī)對象的保護(hù)，包括不同域名不同IP，不同域名相同IP的情況 

◆支持用戶自定義規(guī)則庫

用戶可以根據(jù)數(shù)據(jù)包的特征關(guān)鍵字等自定義安全策略規(guī)則，來實(shí)現(xiàn)安全檢測及過濾 

◆統(tǒng)一日志平臺接口 

◆支持阻斷、告警、By-Pass等多種應(yīng)用模式

四、 客戶案例

金融--某商業(yè)銀行

客戶面臨的問題：

網(wǎng)上銀行作為電子商務(wù)的基礎(chǔ)應(yīng)用隨著互聯(lián)網(wǎng)的普及而迅速發(fā)展，據(jù)相關(guān)報告顯示2008年底個人網(wǎng)銀用戶覆蓋數(shù)達(dá)6474.5萬，隨著網(wǎng)上銀行業(yè)務(wù)的發(fā)展，各類網(wǎng)上銀行事故越來越多，網(wǎng)上銀行的安全問題日益突出，各類WEB應(yīng)用攻擊（如：SQL注入攻擊、釣魚攻擊等）及盜號木馬日益猖獗，網(wǎng)上銀行交易過程中涉及的大量金融交易數(shù)據(jù)、用戶個人隱私信息已經(jīng)成為攻擊者的首選目標(biāo)。如何加強(qiáng)網(wǎng)上銀行系統(tǒng)的安全防護(hù)能力，防止不法分子竊取銀行客戶的賬號密碼，減少網(wǎng)銀業(yè)務(wù)的風(fēng)險，是某商業(yè)銀行迫切需要解決的問題。

安恒解決方案：

在某商業(yè)銀行的網(wǎng)上銀行服務(wù)器前端直連部署安恒的WEB應(yīng)用防火墻（WAF-500AG），鑒于WAF-500AG全面支持https協(xié)議，因此，WAF-500AG的部署不僅能夠?qū)崟r識別、阻斷來自互聯(lián)網(wǎng)的各類WEB應(yīng)用層攻擊（如：SQL注入攻擊、跨站腳本攻擊（釣魚攻擊）、表單繞過、應(yīng)用層DDOS攻擊、敏感信息泄露等），同時可以通過強(qiáng)大的緩存技術(shù)和負(fù)載均衡技術(shù)提高某商業(yè)銀行的網(wǎng)站訪問速度。

系統(tǒng)部署圖如下：  

WEB應(yīng)用防火墻與網(wǎng)絡(luò)防火墻的區(qū)別：     

◆傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備，工作在OSI1-4層，基于IP報文進(jìn)行狀態(tài)檢測、地址轉(zhuǎn)換、網(wǎng)絡(luò)層訪問控制等，對報文中的具體內(nèi)容不具備檢測能力。因此，對Web應(yīng)用而言，傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供IP及端口防護(hù)，對各類WEB應(yīng)用攻擊缺乏防御能力。     

◆Web應(yīng)用防火墻主要致力于提供應(yīng)用層保護(hù)，通過對HTTP/HTTPS及應(yīng)用層數(shù)據(jù)的深度檢測分析，識別及阻斷各類傳統(tǒng)防火墻無法識別的WEB應(yīng)用攻擊。

法律法規(guī)：

支付卡行業(yè) (PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)（DSS）  

版本1.2 2008年10月

6.6 對于面向公眾的 Web 應(yīng)用程序，經(jīng)常解決新的威脅和漏洞，并確保保護(hù)這些應(yīng)用程序不受到以下任一方法的攻擊：

◆通過手動或自動應(yīng)用程序漏洞安全評估工具或方法檢查面向公眾的 Web 應(yīng)用

程序，至少每年一次并在所有更改后進(jìn)行檢查。

◆在面向公眾的 Web 應(yīng)用程序前端安裝Web 應(yīng)用程序防火墻