Total Web Security Enabler
网站安全守护者

为何需要网站应用程序防火墙?

网络与系统安全保护不等同于网站应用程序的安全。传统网络安全或边沿安全(perimeter security)科技只防守网路层与传输层的攻击,然而对于新一代网站应用程序的攻击手法,如跨站脚本攻击(Cross Site Scripting --XSS)或SQL注入,却无能为力。这些攻击手法对商业营运产生冲击,会造成网站业务中断、公司财务损失、客户资料外泄的法律责任与难以衡量的商业信誉损失。 在线服务的风险越来越大,不论在产品销售或服务提供,一旦决定要搭上Web2.0 Ineternet网络的列车,享受其便利性及无边的爆发力之时,在线应用程序就得面对成为攻击目标的风险。

何谓 SmartWAF

SmartWAF 是主机式网站应用程序防火墙(Web Application Firewall),简称WAF,可以直接安装在 Windows 或 UNIX 操作系统的网站主机上,与现有 Web 服务器整合,如IIS、Apache,或者安装在网关的代理服务器(Proxy Server)或防火墙如ISA Server之上,可帮助企业阻止针对网站应用程序的各种攻击,是下一代防火墙的最新应用。SmartWAF的特色在于提供绝佳的可扩充性与布署的灵活性,可以避免硬件式防火墙所造成的流量瓶颈与单点失效的问题。SmartWAF 同时提供易于操作的管理接口与设定向导,并可以整合阿码科技CodeSecure源码分析平台,找出网站有安全漏洞的网页,用SmartWAF预先防御。同时可以通过阿码科技HackAlertTM恶意程序监控服务,从外部24小时持续监测网站的安全。

灵活的部署SmartWAF

SmartWAF 主机式应用防火墙可以以软件方式灵活地部署于网站服务器、逆向代理服务器(reverse proxy)或是安全网关上,成本较低廉而且不像网络式WAF存在诸多部署限制。

SmartWAF可安装于外部火墙与信任网段之间,以提供对外网站的保护。与网关式WAF的差异在于网关式WAF会变成网络流量的瓶颈与发生单点失效的机会大增,一旦网站架构复杂度提高,便需要更多的规则设定来处理多个网站的需求,效能上就没有办法提供可接受的响应时间,而造成新的流量瓶颈,当网关式WAF发生问题时,所有网站服务器都会受到影响。 使用SmartWAF,以软件方式安装在网站服务器上,提供高扩充性的网站安全防护,也不会有流量瓶颈与发生单点错误而造成整个企业网站停止等问题。

SmartWAF 系统架构

SmartWAF 可以整合IIS、Apache或 Java-based 的网站服务器,同时支持 Windows 与多种 UNIX平台,有三大主要系统组件:

  • 拦截模块 : 捕捉每个HTTP Request数据包且传递给Decider进行分析
  • 判断模组 : 评估判断HTTP封包是否符合规则(Rule set),产生审计记录与统计数据
  • 管理接口 :提供易于使用的网页式使用者界面,可以同时管理一台或多台使用SmartWAF?的网站服务器,产生安全管理与存取记录统计数据。

SmartWAF 可以轻松设定阻止常见的网站攻击手法,包括 SQL 注入(SQL Injection)、跨网站脚本攻击 (Cross Site Scripting)、HTTPHTTP Response Splitting、Application Fingerprinting、Directory Indexing、 Session Fixation、 Content Spoofing 及Web Server Fingerprinting。

SmartWAF 管理功能

提供直观的网页管理接口,对于管理者而言可以轻易地完成组态与安全功能设定。在基本模式(Basic Mode)中,提供逐步式的操作向导(Wizards);专家模式(Expert Mode)则提供许多可以手动修改的规则参数,可针对特定的网站应用程序弱点做定制管理,可以应用在所有群组中,也可指定特殊应用程序才开启特殊的规则。

SmartWAF 提供集群式集群管理(cluster management),通过单一管理接口可同时管理多台网站服务器上的SmartWAF?。规则管理可选择应用范围,记录规则组态历史变动,并提供”回滚”(Rollbacks)功能,以符合未来审计及组态管理需求。

同时提供所有审计记录的集中管理分析,可以即时查看网站存取行为、违规的恶意行为与阻止措施,并将数据统计后提供完整的网站安全与风险评估指标数据。

SmartWAF 特色一览

  • 主机式网站应用程序防火墙,可直接安装于网站服务器,部署不需调整IT架构
  • 提供 Web 服务应用层的安全防护,强化Web 2.0应用程序保护,让网络防御更完整
  • 检测传统防火墙未深入检查的 HTTP, HTTPS, SOAP, XML-RPC 资料数据包数据侦测常见的网站攻击手法,如恶意AJAX执行、跨网站脚本攻击(XSS, Cross-Site Scripting), SQL 注入攻击(SQL Injection)、连线劫持(Session Hijacking)、档案引用与泄漏资讯(File Inclusion)、 跨网站的伪要求(CSRF,Cross-site Request Forgery)
  • 提供易于使用的组态设定与安全管理界面,针对特殊网站应用程序提供规则范本
  • 可与阿码科技 CodeSecureTM及 HackAlertTM配套,先扫后挡并持续监控可依照网站规模采购,安全成本线性成长,不会随网站架构而倍增
  • 不会产生流量瓶颈与单点错误
  • 集中群集管理(Cluster Management),管理百台如同管理一台
  • 提供完整的统计报表能力,可产生满足法规遵循要求的报表

SmartWAF 支持的网站服务器

  • Microsoft IIS
  • Microsoft ISA
  • Apache
  • WebSphere
  • WebLogic
  • Tomcat

SmartWAF 支持的操作系统

  • Microsoft Windows
  • Linux
  • FreeBSD
  • OpenBSD
  • Sun Solaris