国产WEB应用防火墙案例一、背景近年来,由于国外设备、软件隐藏的“后门”和漏洞造成的失泄密事件已严重威胁到我国的安全。我国计算机网络系统中的操作系统、数据库、芯片等大多由国外厂商生产,很难判断设备是否存在“后门”或软件陷阱等安全漏洞,信息安全风险非常高。
为应对日益复杂多变的信息安全威胁,西安交大捷普网络科技有限公司推出了基于国产芯片和国产操作系统的防火墙产品。捷普国产WEB应用防火墙采用国产“飞腾FT-1500A”中央处理器及“银河麒麟”操作系统,秉承下一代主动安全防护理念,设计和开发过程遵循软硬件模块的自主化与可靠性,可广泛应用于政府、能源等需要国产化产品的重点行业。
据调研统计,75%网络攻击行为都来自于应用层面而非网络层面,并且国内有超过50%的站点存在各种WEB层面的完全问题。虽然大部分企业部署了入侵检测系统、网络防火墙、网络防病毒等防护系统,但是企业在面对来自WEB应用层的安全威胁仍然应对乏力。
针对我国境内的网站的仿冒钓鱼站点成倍增长,境外攻击、控制事件不断增加,中国网站安全问题形势依然严峻。据CNCERT,2019年我国境内遭遇篡改攻击的网站共有24550个,尽管数量较2018年有所下降(16758个、下降幅度31.7%),网页安全的整体形势依然不容乐观。在篡改和植入后门上,据CNCERT监测,境内被篡改网站36969个,较2018年大幅曾展 53.8%,被植入后门的网站达到40186个,其中位于境外的4761个IP地址通过植入后门控制了我国境内5580个网站,侵入网站数量居首位。
网络攻击呈现出明显的以利益为导向的特征,大量网站遭到入侵后被留下后门。通过后门,黑客可以对服务器进行控制,查看、修改其中的文件,窃取数据。2019年CNCERT检测到82072个网站存在被植入后门的情况,其中2361个为政府网站。我国网站应用安全问题形势严峻,WEB防护亟需升级。
二、产品简介捷普 WEB 应用防火墙系统是一款基于软硬件自主且可控的 WAF 系统,硬件平台核心处理器采用了国产飞腾和国产海光处理器,搭配国产麒麟操作系统。捷普 Web 应用防火墙是捷普为解决 Web 应用安全问题而专门研发的专业 Web 应用安全产品。为用户提供事前风险扫描、事中 Web 防护、事后防篡改的全面防护体系,帮助客户构建风险预警、实时防护、追溯分析的一整套自主且可控的 Web 安全处理流程,全方位保障客户网站业务安全运行。
三、业务架构系统主要由系统监控、数据中心、防火墙、安全防护、风险分析、网络管理、用户管理、系统管理等几大模块组成,系统主要分为系统管理员、系统审计员、日志管理员三个角色,通过不同的角色完成不同的配置和统计分析。
四、功能特点1.专业精细的Web安全防护
预定义特征库涵盖了SQL注入、XSS、CSRF、爬虫等二十多类Web攻击威胁,能够识别各类高危Web攻击,通过精细化的规则配置,误报率极低,能有效应对OWASP Top10定义的威胁及其变种,保障网站业务安全。
2.最可靠的可控系统
捷普Web应用防火墙在硬件层面采用了具有我国自主知识产权的飞腾处理器,不仅使产品安全性获得巨大提升,同时使系统具备高效的网络安全处理与转发能力,在软件层面,捷普Web应用防火墙基于银河麒麟自主知识产权的操作系统,具备开放性的系统架构及模块化的设计思想。
3.优异的应用交付能力
提供服务器负载均衡、Web应用加速、HTTPS卸载/加速及专业的抗DDoS能力,一台设备提供多种业务交付价值,一站式解决网站安全和应用交付需求。
全方位网站安全体系融合事前预防、事中防护、事后补救的全方位安全体系,网站业务安全有保障。在攻击发生之前能够发现网站漏洞,指导管理者修补;在攻击过程中提供静态规则和动态逻辑特征的有效防护;攻击发生之后实现全面溯源,提供详实全面的攻击日志、访问日志。领先的可靠性设计融合了服务器状态监控、服务器负载均衡、硬件Bypass等多重可靠性技术能力,确保网站业务的稳定可靠运行。
五、产品优势用户已有网络环境、应用服务是复杂并经过精心设计的,具有一定的稳定性与成熟性,捷普国产WEB应用防火墙通过透明模式可以简单的接入网络中,无需对现有网络和应用系统进行任何改动,可充分保护用户现有资产;
捷普国产WEB应用防火墙可以有效的隐藏后台WEB服务器类型、应用服务器类型、操作系统、版本号、已知安全漏洞、IP地址等信息,利于提高整个系统的安全性;
捷普国产WEB应用防火墙可以通过一个单独网关管理多个独立的WEB应用服务器,而各个WEB应用服务可以采取不同的安全策略,同时系统也支持双机热备、Bypass功能,对http协议、https协议均可支持;
捷普国产WEB应用防火墙采用模块化设计方案,可极大程度降低系统部署、安装、维护的复杂度与工作量。同时在管理上采取面向资源的管理的设计思想,极大降低了各种安全策略的设计复杂度,有效的降低了管理员工作负担;
该产品无论是桥模式接入,路由模式接入或是旁路接入,都可以保证对WEB应用透明,即不改变用户对原有应用服务的使用方式和习惯,实现应用服务“零改造”;
六、成功案例某大学作为国家重点高校,师生人数众多,校园教务系统日均业务量庞大,由于针对网上业务系统的攻击种类繁多,防不胜防,学校急需升级Web安全防护系统,保证日常教学业务的稳定。通过透明部署该产品在数据中心内部,对从客户到网站服务器的访问流量和从网站服务器到客户的响应流量进行双向安全过滤,来提供WEB应用攻击防护、DDOS防御、URL访问控制、网页防篡改等功能,能够有效的抵御针对Web应用的攻击而导致的网站被恶意篡改、敏感信息泄露、网站服务器被控制等事件的发生,保证学校官方网站、教务系统安全。