【文档说明】Web应用安全产品简介及主流品牌产品对比讲义(PPT-41张)课件.ppt，共(42)页，3.488 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-3303.html

以下为本文档部分文字说明：

深圳市信息网络中心内网加固研讨深圳市能士信息安全有限公司2011.3目录背景12网页防篡改3Web应用防火墙4结束Web安全威胁成为政府机关及企业最猛烈的攻击之一在Internet大众化及Web技术飞速演变的今

天，在线安全所面临的挑战日益严峻；Web架构在成本与应用能力方面的优势，使得越来越多的企业和机构将应用迁移到基于Web的基础架构；政府单位web应用作为信息公开的窗口，需要提供优质服务、整合政府资源、增强政府与公众的互动以及增加亲和贴身的服务形式；伴随着

在线信息和服务可用性的提升，以及基于Web的攻击和破坏的增长，安全风险达到了前所未有的高度；Web威胁所具备的渗透性和利益驱动性，已经成为当前网络中增长最快的风险因素；Web安全威胁已经成为对政府

机关及企业来说最为猛烈的攻击之一。Web安全都涉及哪些方面的内容？广义上，Web安全包括Web服务器安全、Web客户端（即浏览器）安全；一般情况下，谈到的Web安全主要指Web服务器安全。Web服务器可以分三层，底层是操

作系统，中间层是Web服务程序、数据库服务、其他通用组件（如ASP、PHP等）、上层是实现特定应用的网页程序。根据Web服务器的层次架构，Web服务器安全包括了底层操作系统安全、中间层通用组件的安全、上层网页程序的安全。Web安全主要面临的威胁

网页篡改（Web服务器层次架构的任何一层出现安全问题都可能导致“网页篡改”，底层操作系统的漏洞可能会导致整台Web服务器都被黑客非法控制，从而篡改任意网页；中间层通用组件的安全问题会导致Web业务相关的权限被黑客非法获取，从而被上传恶意网页；上层网页程序相关的安

全漏洞有SQL注入漏洞、跨站脚本漏洞等，攻击者可以利用这些漏洞造成“网页篡改”。）SQL注入攻击（利用Web网页程序对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞，攻击者将恶意的SQL命令注入到后台数据库的

攻击方式；SQL注入对Web网站的攻击后果：非法获得网站权限、网页篡改、网页挂马、窃取网站数据等。）DDOS攻击(分布式拒绝服务攻击)“网页篡改”只是暴露Web安全问题的一种形式，事实上，存在着比“网页篡改”更严重的Web安全问题，如网页挂马、敏感信息失窃、数据破坏、网站成为

傀儡机等。被篡改网站统计WEB应用价值的破坏与损失信息泄露拒绝服务监管部门投诉网页篡改非法入侵网站访问者服务提供者+基础网络提供者社会公信力下降名誉受损用户流失经济损失追责网页被篡改非法内容用户信息泄露个人信息丢失个人信息被篡改恶意程序下载网站无法访问Web安全防范网页防篡改系统

（通过WEB防护、实时阻断、流出检测等方式进行网页保护，可以有效地防止WEB非法访问，SQL注入攻击，网页文件篡改等操作。）Web应用防火墙（WAF）（Web应用防火墙是通过执行一系列针对HTTP

/HTTPS的安全策略来专门为Web应用提供保护的一款产品。）目录背景12网页防篡改3Web应用防火墙4结束目录2网页防篡改1网页防篡改技术介绍2主流产品品牌和技术路线3InforGuard与iGuard对比网页防篡改系统功能功能简

述：实时监控网站状态，自动快速恢复网站应用保障网站系统持续可用网页防篡改工作流程目录2网页防篡改1网页防篡改技术介绍2主流产品品牌和技术路线3InforGuard与iGuard对比网页防篡改系统主流产品品牌及技术路线Unis

Guard1、UnisGuard产品概述UnisGuard网页防篡改系统是一款网站页面级防护产品。UnisGuard的主要功能是通过文件底层驱动技术对Web站点目录提供全方位的保护，防止入侵者或病毒等对

目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。UnisGuard保护网站安全运行，维护政府和企业形象，保障互联网业务的正常运营，彻底解决了网站的非法修改的问题，是高效、安全、易用的新一代网页防篡改系统。2、iGuard产品概述iGuard网页防篡改系统是目前国内能

够完全保护网站不发送被篡改的页面内容的Web页面保护软件。iGuard以国家863项目先进技术为基础，使得其性能和安全性大大优于同类产品。iGuard支持网页的自动发布、篡改检测、警告和自动恢复，保证传输、鉴别、审计等各个环节的

安全。iGuard使用了先进和可靠的Web服务器核心内嵌技术，在部分操作系统上辅助以事件触发式技术，从而完全实时地杜绝篡改后的网页被访问的可能性。支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统，支持IIS、Apach

e、iPlanet、SunONE、Weblogic、WebSphere等主流的Web服务器软件。网页防篡改系统主流产品品牌及技术路线iGuard3、InforGuard产品概述InforGuard网页防篡改系统是目前国内采用四重防护技术、既完全保护网站不发送被篡改的页面内容又保证

网站内无被篡改页面滞留的Web页面保护软件。InforGuard的主要功能是实时监控用户的Web站点，洞察黑客、病毒等对网站的网页、电子文档、图片等文件进行破坏或非法修改。一旦文件遭到破坏，系统会立即恢复被破坏的文件，并向管理人员

报警。InforGuard的四重防护技术使其在防篡改理念、安全性及性能等诸多方面远远领先于同类产品。支持Windows、Linux和Solaris、HP-UX、AIX等多种Unix操作系统，支持IIS、Apache、Weblogic、WebS

phere等主流的Web服务器软件。网页防篡改系统主流产品品牌及技术路线InforGuard目录2网页防篡改1网页防篡改技术介绍2主流产品品牌和技术路线3InforGuard与iGuard对比InforGuard与iGuard对比-防篡改机制

防篡改机制对比InforGuard采用了独特的四重防护技术。第一重防护——采用实时阻断技术，实现进程式篡改检测引擎，阻断非法进程对网站的篡改；第二重防护——采用事件触发技术，实现触发式篡改检测引擎，瞬间清除被非法篡改的网页，并实时恢复；第三重防护——采用核心内嵌技术，实现内嵌服务器式

篡改检测引擎，实时确保每个对外发送的网页的正确性；第四重防护——结合事件触发技术，实现灾难型篡改检测引擎，与服务器联动，应对灾难式网络攻击事件。iGuard采用双引擎防护技术。引擎1——实时阻断，使用增强型事件触发式

技术，截获所有写文件调用，对于其中的非法写行为实施了实时阻断，让常规黑客的篡改行为即时落空，同时发出报警。引擎2——核心内嵌，将篡改检测的核心内嵌到Web服务器中，仅在网页信息流出Web服务器时进行检测。InforGuard与iGuard对

比-功能比较监控与恢复1功能列表InforGuardiGuard篡改检测与恢复机制四重防护双引擎防护保护文件类型所有所有断线状态下的自动监控与保护支持（但是仅清除篡改文件，不恢复）支持（但不清除和恢复

篡改文件）支持网页发送时的水印比较，确保网页的合法性支持支持支持多Web/应用服务器的并发验证支持支持Web服务器负载低低带宽占用无无检测时间实时或者接近实时接近实时InforGuard与iGuard对比-功能比较监控与恢复2功能列表InforGuardiGu

ard绕过检测机制不可能不可能防范连续篡改攻击能（一定程度上）能保护所有网页能能动态网页脚本支持支持适用操作系统所有所有上传时检测能能断线时保护能能是否可能漏过检测不能不能InforGuard与iGuard对比-功能比较发布与同步功能功能列表InforGuardiGuard支持自动/手动精确同

步支持支持支持自动/手动增量同步支持支持支持集群、多机热备，自动执行多个Web/应用服务器的同步支持支持，但没有集群的概念支持多虚拟主机/目录的并发同步支持支持支持各种发布工具或发布方式支持不支持支持内容管理系统支持不支持支持网络异常的自动恢复支持支持支持发布失败的自动重新发布

支持支持InforGuard与iGuard对比-功能比较服务器联动功能列表InforGuardiGuard封锁服务端口联动支持不支持断开网络联动支持不支持关闭服务器联动支持不支持停止Web服务联动支持不支持自定义联动条件和联动措施支持不支持InforG

uard与iGuard对比-资质比较InforGuard所获资质国家公安部颁发的计算机信息系统安全专用产品销售许可证国家保密局颁发的涉密信息系统产品检测证书国家信息安全测评认证中心颁发的信息安全产品认证iGuard所获资质国家信息安全测评认证中心的信息安全产品认证公安部计算机信

息系统安全专用产品销售许可证目录背景12网页防篡改3Web应用防火墙4结束目录3Web应用防火墙1Web应用防火墙技术介绍23安恒与绿盟产品对比主流产品品牌和技术路线Web应用防火墙（WAF）技术介绍Web应用防火墙（WebApplicationFirewall，简

称WAF）基于对HTTP/HTTPS流量的双向解码和分析，可应对HTTP/HTTPS应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击（CSRF）、Cookie篡改以及应用层DDoS等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障Web应用

的高可用性和可靠性。WAF不同于传统防火墙传统防火墙的弱点：工作在三四层，攻击可以从80或443端口顺利通过防火墙检测。传统防火墙需要架设在网关处，而Web应用防火墙则部署在Web客户端和Web服务器之间。传统防火墙只是针对一些底层

（网络层、传输层）的信息进行阻断，提供IP、端口防护，对应用层不做防护和过滤；而Web应用防火墙则专注在应用核心层，对所有应用信息进行过滤，从而发现违反预先定义好的安全策略的行为。Web应用防火墙（WAF）技术介绍

WAF不同于IPS（入侵防御系统）IPS入侵防御的弱点在于它基于已知漏洞和攻击行为的防护，而且不能终止和处理SSL流量。WAF能完整地解析HTTP，支持各种HTTP编码，提供严格的HTTP协议验证，提供HTML限制，支持各类字符集编码，具备r

esponse过滤能力。WAF提供应用层规则：Web应用通常是定制化的，传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则，且具备检测变形攻击的能力，如检测SSL加密流量中混杂的攻击。目录3Web应用防火墙1Web应用防火墙技术介绍23安恒与

绿盟产品对比主流产品品牌和技术路线主流WAF产品品牌及技术路线国内外主流WAF厂商主要有：安恒信息(DBAPPSecurity)、绿盟(NSFOCUS)、铱讯信息、天泰、宝界、中软华泰、金电网安、梭子鱼(BARRACUDA)，思科(Cisco)，思杰

(Citrix)，飞塔(Fortinet)、F5、Radware、Imperva、Fortiweb等其中安恒信息(DBAPPSecurity)、绿盟(NSFOCUS)、铱讯信息、天泰、宝界、中软华泰、金电网安为国内厂商WEB应用防火墙的工作机理Web应用防火墙主要致力于提

供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。•WEB应用防火墙•局域网交换机•Web服务器•1•2•80端口HTTP请求•http://192.168.3.25/

web/n2/productview.asp?id=97;•drop%20table%20dbappsecurity_new--•检测到如下异常：•类型异常•长度异常•值异常•3•4•防火墙•5深度防

御引擎深度检测有效识别、阻止日益盛行的WEB应用黑客攻击•跨站点脚本(XSS)•注入式攻击，包括SQL注入、命令注入•恶意编码•非法编码•已知弱点和错误配置•隐藏字段•会话劫持•参数篡改•缓冲区溢出•Cookie更改•应用层拒绝服务•输入信息控制•扫描防护•爬虫防护•盗链防

护•CSRF防护•……HTTPS深度解析32目录3Web应用防火墙1Web应用防火墙技术介绍23安恒与绿盟产品对比主流产品品牌和技术路线安恒信息与绿盟WAF产品对比核心技术与价格安恒绿盟品牌厂家情况国内自主研发品牌国内品牌国内自主知识产权有有产品资质公安部销售许可证书、软件著作

权证书、中国国家信息安全测评认证中心强制认证证书、入围2010中央国家机关政府采购协议供货名单。公安部销售许可证书、软件著作权证书、军用产品认证部署模式网络及应用透明支持支持多路由环境支持支持Trunk支持支持支持多链路支持支

持支持旁路审计支持不支持SSL支持支持SSL透传仅支持SSL代理，不支持服务器为HTTPS类型的防护安恒信息与绿盟WAF产品对比核心技术与价格安恒绿盟应用兼容性请求头全透明支持支持头部重点字段可控支持HTTP协议版本统一不支持虚拟主机支持支持主流认证方式支持支持单点冗余方案双机热备

支持支持网桥BYPASS支持支持物理BYPASS支持支持御功能协议规范性检查有有请求头字段识别能力支持支持响应头识别能力支持支持响应体识别能力支持不支持基于字符特征匹配能力支持支持基于行为特征匹配能力支持支持Cookie支持支持User-Agent支持不支持POST大包支持

不支持URL编码绕过支持不支持安全引擎健壮性（禁止绕过安全引擎检查）支持支持安恒信息与绿盟WAF产品对比核心技术与价格安恒SQL注入攻击GET及POST和Cookie漏报率10%。User-Agent内的漏报率100%GE

T及POST和Cookie漏报率10%。User-Agent内的漏报率100%跨站脚本攻击GET、POSTCookie及User-Agent内的漏报率漏报率10%。GET及POST漏报率20%。Cookie

和User-Agent内的漏报率100%敏感信息泄露支持支持上传攻击支持不支持抗扫描支持支持自定义规则支持支持请求头识别能力支持不支持响应头识别能力支持不支持响应体识别能力不支持支持设备带外管理方式支持支持日志存储介质支

持支持告警接口支持支持报表功能支持支持分级管理权限支持支持管理与维护便捷性支持支持可结合用户需要进行定制需求开发支持不支持WAF产品综合对比国内厂商:品牌功能性能防护能力技术品牌政策安恒★★★★★★★★★

★★★★★★★★★★★★★★★★★绿盟★★★★★★★★★★★★★★★★★铱迅★★★★★★★★★★★★★★★★★★★★★★★天泰★★★★★★★★★★★宝界★★★★★★★★★★★★中软华泰★★★★★★★★★★★★★★

★金电网安★★★★★★★★★★★★★★★WAF产品综合对比国外厂商：品牌功能性能防护能力技术品牌政策Fortiweb★★★★★★★★★★★★★★★★★★★★－Imperva★★★★★★★★★★★★★★★★★★★－Barracuda★★★★

★★★★★★★★★★★－F5★★★★★★★★★★★★－citrix★★★★★★★★★★★－Radware★★★★★★★★★★★－WAF产品对比总结从目前的市场技术资料来看，目前国内性能、防护能力较好首选“安恒”、“铱迅”；其次可选择“绿盟”或其他产品目录背景12网页防篡改3Web应用防火

墙4结束•1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。•2、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。•3、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力!•4、心中

没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，

岂不自在，哪里来的尘埃!•5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。•6、无论你正遭遇着什么，你都要从落魄中站起来

重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受伤过一样。•7、生命的美丽，永远展现在她的进取之中;就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽，是展现在它波涛汹涌一泻千里的奔流中。•8、有些事，不可避免地发生，阴晴圆

缺皆有规律，我们只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改变它的轨迹。•9、与其埋怨世界，不如改变自己。管好自己的心，做好自己的事，比什么都强。人生无完美，曲折亦风景。别把失去看得过重，放弃是另一种拥有;不要经

常艳羡他人，人做到了，心悟到了，相信属于你的风景就在下一个拐弯处。•10、有些事想开了，你就会明白，在世上，你就是你，你痛痛你自己，你累累你自己，就算有人同情你，那又怎样，最后收拾残局的还是要靠你自己。•11、人生的某些障碍，

你是逃不掉的。与其费尽周折绕过去，不如勇敢地攀登，或许这会铸就你人生的高点。•12、有些压力总是得自己扛过去，说出来就成了充满负能量的抱怨。寻求安慰也无济于事，还徒增了别人的烦恼。•13、认识到我们的所见所闻都是假象，认识到此生都是虚幻，我们才能真正认识到佛法的真相。钱多了会压死你，你

承受得了吗?带，带不走，放，放不下。时时刻刻发悲心，饶益众生为他人。•14、梦想总是跑在我的前面。努力追寻它们，为了那一瞬间的同步，这就是动人的生命奇迹。•15、懒惰不会让你一下子跌倒，但会在不知不觉中减少你的收获;勤奋

也不会让你一夜成功，但会在不知不觉中积累你的成果。人生需要挑战，更需要坚持和勤奋!•16、人生在世：可以缺钱，但不能缺德;可以失言，但不能失信;可以倒下，但不能跪下;可以求名，但不能盗名;可以低落，但不能堕落;可以放

松，但不能放纵;可以虚荣，但不能虚伪;可以平凡，但不能平庸;可以浪漫，但不能浪荡;可以生气，但不能生事。•17、人生没有笔直路，当你感到迷茫、失落时，找几部这种充满正能量的电影，坐下来静静欣赏，去发现生命中真正重要的东西。•18、在人生的舞台上，当有人愿意

在台下陪你度过无数个没有未来的夜时，你就更想展现精彩绝伦的自己。但愿每个被努力支撑的灵魂能吸引更多的人同行。