為了彌補(bǔ)目前安全設(shè)備對(duì)Web應(yīng)用攻擊防護(hù)能力的不足，我們需要一種新的工具用于保護(hù)重要信息系統(tǒng)不受Web應(yīng)用攻擊的影響。這種工具不僅僅能夠檢測(cè)目前復(fù)雜的Web應(yīng)用攻擊，而且必須在不影響正常業(yè)務(wù)流量的前提下對(duì)攻擊流量進(jìn)行實(shí)時(shí)阻斷。這類工具相對(duì)于目前常見(jiàn)的安全產(chǎn)品，必須具備更細(xì)粒度的攻擊檢測(cè)和分析機(jī)制。

WebRAY Web應(yīng)用防護(hù)系統(tǒng)是遠(yuǎn)江盛邦基于自主知識(shí)產(chǎn)權(quán)的RayOS開(kāi)發(fā)的新一代安全產(chǎn)品，作為網(wǎng)關(guān)設(shè)備，防護(hù)對(duì)象為Web、Webmail服務(wù)器，其設(shè)計(jì)目標(biāo)為：針對(duì)安全事件發(fā)生時(shí)序進(jìn)行安全建模，分別針對(duì)安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描、防護(hù)及診斷，提供綜合Web應(yīng)用安全解決方案。

事前，提供Web應(yīng)用漏洞掃描功能，檢測(cè)Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。

事中，對(duì)黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DD.o.S攻擊進(jìn)行有效檢測(cè)、阻斷及防護(hù)。

事后，針對(duì)當(dāng)前的安全熱點(diǎn)問(wèn)題，網(wǎng)頁(yè)篡改及網(wǎng)頁(yè)掛馬，提供診斷功能，降低安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站的公信度。

WebRAY Web應(yīng)用防護(hù)系統(tǒng)產(chǎn)品提供了業(yè)界領(lǐng)先的Web應(yīng)用攻擊防護(hù)能力，通過(guò)多種機(jī)制的分析檢測(cè)，能夠有效的阻斷攻擊，保證Web應(yīng)用合法流量的正常傳輸，這對(duì)于保障業(yè)務(wù)系統(tǒng)的運(yùn)行連續(xù)性和完整性有著極為重要的意義。同時(shí)，針對(duì)當(dāng)前的熱點(diǎn)問(wèn)題，如SQL注入攻擊、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等，按照安全事件發(fā)生的時(shí)序考慮問(wèn)題，優(yōu)化最佳安全-成本平衡點(diǎn)，有效降低安全風(fēng)險(xiǎn)。

精細(xì)化Web安全防護(hù)

WebRAY Web應(yīng)用防護(hù)系統(tǒng)能防護(hù)7大類Web攻擊威脅。精細(xì)化的規(guī)則配置，發(fā)揮最大的安全防護(hù)功能，有效應(yīng)對(duì)OWASP Top10定義的威脅及其變種。

立體Web安全防護(hù)體系

構(gòu)建多維防護(hù)體系，網(wǎng)絡(luò)層、應(yīng)用層4層Web安全掃描與檢查，網(wǎng)頁(yè)防篡改、Web安全掃描互動(dòng)，網(wǎng)絡(luò)層、應(yīng)用層D.DoS，構(gòu)建立體式防護(hù)網(wǎng)絡(luò)。

一體化應(yīng)用交付+安全解決方案

WebRAY Web應(yīng)用防護(hù)系統(tǒng)具有Web應(yīng)用加速功能，具備系統(tǒng)內(nèi)嵌應(yīng)用加速模塊，通過(guò)對(duì)各類靜態(tài)頁(yè)面及部分腳本高速緩存，大大提高訪問(wèn)速度。

它還具有HTTPS應(yīng)用加速與卸載功能，能為客戶提供無(wú)縫HTTPS服務(wù)，從而最大保護(hù)客戶數(shù)據(jù)安全性

強(qiáng)大的應(yīng)用負(fù)載均衡功能，支持多服務(wù)器的負(fù)載均衡，工作在網(wǎng)關(guān)模式，對(duì)保護(hù)的多臺(tái)負(fù)載WEB服務(wù)器，達(dá)到平均分發(fā)、按比例分發(fā)、負(fù)載分?jǐn)?、響?yīng)比分?jǐn)偟榷喾N負(fù)載均衡模式，并能配合現(xiàn)有的負(fù)載均衡設(shè)備協(xié)同工作，支持任意部署，而不影響客戶現(xiàn)有拓?fù)洹?/p>

WebRAY Web應(yīng)用防護(hù)系統(tǒng)具有統(tǒng)一管理系統(tǒng)，能進(jìn)行集中管理和統(tǒng)一監(jiān)控，并且支持8級(jí)級(jí)聯(lián)部署，真正滿足大型網(wǎng)絡(luò)部署，并能結(jié)合遠(yuǎn)江盛邦公司新推出的統(tǒng)一監(jiān)控平臺(tái)系統(tǒng)，從“評(píng)估”、“防護(hù)”、“檢測(cè)”到“響應(yīng)“循環(huán)管理過(guò)程中各個(gè)環(huán)節(jié)的解決方案，并以Web安全產(chǎn)品的動(dòng)態(tài)聯(lián)動(dòng)和整體分析來(lái)提高統(tǒng)一監(jiān)控平臺(tái)的工作效率、風(fēng)險(xiǎn)呈現(xiàn)能力，為Web網(wǎng)站的運(yùn)行保駕。

圖7一體化安全解決方案

設(shè)備統(tǒng)一監(jiān)管，提高產(chǎn)品相互聯(lián)動(dòng)性，實(shí)時(shí)收集WebRAY Web應(yīng)用防護(hù)系統(tǒng)、掃描器和防篡改等數(shù)據(jù)，讓所有環(huán)節(jié)形成整體數(shù)據(jù)鏈，快速定位網(wǎng)站問(wèn)題。

圖8一體化安全防護(hù)

1) 策略下發(fā)

對(duì)眾多功能進(jìn)行統(tǒng)一管理，策略下發(fā)等工作，提高整體防護(hù)效率。

2) 日志收集

統(tǒng)一日志收集，聯(lián)合評(píng)估網(wǎng)站事態(tài)。

3) 設(shè)備監(jiān)控

統(tǒng)一設(shè)備監(jiān)控，對(duì)所有設(shè)備性能進(jìn)行及時(shí)監(jiān)控，當(dāng)設(shè)備出現(xiàn)問(wèn)題時(shí)，第一時(shí)間報(bào)警響應(yīng)。

4) 級(jí)聯(lián)管控

以省級(jí)、市級(jí)、等以樹(shù)形結(jié)構(gòu)進(jìn)行管理、層層監(jiān)控。

5) 與第三方運(yùn)維管理平臺(tái)兼容

針對(duì)第三方的運(yùn)維管理、日志管理、安全管理平臺(tái)等管理，我們都做了對(duì)外接口，可以對(duì)接其他的管理平臺(tái)，方便客戶對(duì)眾多功能和設(shè)備的管理工作，提高管理員的工作效率。

簡(jiǎn)單易用的管理方式

WebRAY Web應(yīng)用防護(hù)系統(tǒng)支持SSL的Web界面、SSH和Console等多種管理方式，可以根據(jù)需求選擇對(duì)系統(tǒng)進(jìn)行管理的方式。

針對(duì)網(wǎng)絡(luò)應(yīng)用中的配置、管理問(wèn)題，WebRAY提供了遠(yuǎn)程在線支持體系，管理員只需根據(jù)向?qū)渲茫纯缮上嚓P(guān)配置系統(tǒng)，發(fā)送給相關(guān)技術(shù)人員進(jìn)行在線協(xié)助。

運(yùn)營(yíng)商級(jí)可靠性

WebRAY Web應(yīng)用防護(hù)系統(tǒng)支持透明模式部署、路由模式部署、網(wǎng)關(guān)模式部署、旁路模式部署、云部署等多種部署方式，并支持支持VLAN劃分，支持多VLAN環(huán)境下的部署，同時(shí)也支持鏈路聚合(Channel)部署，提高鏈路帶寬，支持Trunk鏈路防護(hù)，并支持IPv6防護(hù)，可以滿足大型網(wǎng)絡(luò)環(huán)境下部署。

WebRAY Web應(yīng)用防護(hù)系統(tǒng)具備真正高性能萬(wàn)兆Web防火墻，最大支持超過(guò)8G的HTTP吞吐的網(wǎng)絡(luò)防護(hù)，滿足各大運(yùn)營(yíng)商需求。

透明網(wǎng)橋模式

透明網(wǎng)橋模式指在兩臺(tái)運(yùn)行的設(shè)備中間插入“ Web應(yīng)用防火墻”，但是對(duì)流量并不產(chǎn)生任何影響。在透明網(wǎng)橋模式下，“Web應(yīng)用防火墻”阻斷Web應(yīng)用層攻擊，而讓其他的流量通過(guò)。透明網(wǎng)橋模式是部署最為簡(jiǎn)便的方式。透明網(wǎng)橋模式是透明的，所以不會(huì)干預(yù)任何網(wǎng)絡(luò)中的設(shè)備

旁路反向代理模式

旁路反向代理模式，可以將“Web應(yīng)用防火墻”與Web服務(wù)器置于內(nèi)網(wǎng)的交換機(jī)下，訪問(wèn)Web服務(wù)器的所有請(qǐng)求都通過(guò)“Web應(yīng)用防火墻”流入流出。然而，這種模式下，Web服務(wù)器無(wú)法獲取訪問(wèn)者的真實(shí)IP，需要借助HTTP報(bào)文中設(shè)置相應(yīng)的字段來(lái)表示訪問(wèn)者IP，這樣需要修改原有的HTTP報(bào)文。