欢迎来到天天文库
浏览记录
ID:40587311
大小:721.31 KB
页数:22页
时间:2019-08-04
《中新金盾WEB应用防护系统技术白皮书》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、中新金盾WEB应用防护系统产品白皮书版本号:20120710金盾防火墙系统产品白皮书©2012中新金盾版权信息©安徽中新软件有限公司,版权所有2002-2012本文件所有内容受版权保护并且归中新软件所有。未经中新软件明确书面许可,不得以任何形式复制、传播本文件(全部或部分)。中新软件、ZXWAF、金盾WEB应用防护系统、金盾互联网应用防火墙及其它中新商标均是安徽中新软件有限公司注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标,特此鸣谢。中新金盾WEB应用防护系统产品白皮书I©2012中新金盾目录概述11WEB应用安全现状21.1WEB安全威胁概述
2、21.2WEB面临的挑战32WEB安全需求42.1安全需求42.2WEB应用防护系统(WAF)53金盾WAF产品特点63.1符合国家信息安全等级保护相关要求63.2专利级WEB入侵异常检测引擎73.3HTTPS/SSL协议支持83.4敏感词过滤94金盾WAF产品的功能104.1WEB防护功能104.2网络设备安全防护114.3HTTPS/SSL应用安全检测124.4日志与告警135金盾WEB应用防火墙型号及参数145.1金盾ZXWAF-100145.2金盾ZXWAF-500155.3金盾ZXWAF-1000166金盾WEB应用防护系统产品部署176.1单臂模式176.2牵引
3、模式187结论19中新金盾WEB应用防护系统产品白皮书I©2012中新金盾概述当今世界各国非常重视信息安全,纷纷投入巨资建设本国的信息安全保障体系。我国高度重视信息安全,早在1994年就颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号令),2003年国家信息化领导小组发布了《关于加强信息安全保障工作的意见》(中办发【2003】27号文),明确提出了我国今后信息安全建设和发展的根本性指导思想:“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,以安全促发展,在发展中求安全”。作为信息化建设重中之重和关键信息的重要承载组织,互联网网站建设工作推进至今
4、,规模日益庞大、平台日趋定型,但仍然存在较大隐患,例如网络攻击、黑客入侵、数据库信息泄漏、网站被挂木马等安全事件层出不穷,信息安全面临极大威胁。中新金盾WEB应用防护系统(简称:中新金盾WAF)是中新软件结合了多年的应用安全攻防理论研究与应急响应实践,在丰富经验积累的基础上,主动创新、自主研发完成。中新金盾WAF产品的研制,基于中新软件研发团队对网站运营总体战略的深刻理解,该产品针对网站运营面临的安全性问题,提供全面解决方案,为客户网站安全运营与长远发展提供安全保障。中新金盾WEB应用防护系统产品白皮书18©2012中新金盾1WEB应用安全现状1.1WEB安全威胁概述在技术
5、飞速演变、电子商务蓬勃发展的今天,随着Web2.0等互联网新应用的发展,新一代黑客技术对Web的攻击不断增多且难于防范,事实上,Web应用和服务带来的安全性问题,已经超越了程序开发人员所接受的安全培训和安全意识能够解决的范围。Web应用安全领域权威的世界性组织OWASP(全称为OpenWebApplicationSecurityProject),统计了当前最为严重的几种Web安全威胁,包括:u跨站脚本CrossSiteScripting(XSS)当Web应用程序提取用户提供的数据并发送到Web浏览器时,数据内容没有先经过验证或编码导致的安全漏洞。攻击者可借此在受害者的计算机
6、执行各种指令,破坏Web站点、劫持用户会话或导致停机等。u注入攻击InjectionFlaws尤其是SQL注入攻击,就是当Web应用程序使用用户输入的内容构造动态SQL语句以访问数据库时,输入SQL语句未经过验证或限制导致的安全漏洞。攻击者可借此在受害者的计算机执行各种指令,造成破坏或盗取重要数据。u恶意文件执行MaliciousFileExecution当Web应用程序存在代码缺陷时,如远程文件包含缺陷,攻击者可提交恶意代码或数据,导致破坏性的攻击,如服务器被攻陷。恶意文件执行攻击会影响PHP、XML以及任意从用户接收文件名或文件的网站设计架构。u信息泄漏及错误处理Inf
7、ormationLeakageandImproperErrorHandlingWeb应用程序可能因为各种自身设计问题导致的配置、内部结构等信息泄漏,被攻击者利用来盗窃重要数据或导致更多严重的攻击。各种针对Web以及借由Web对网络深层次服务进行的各类攻击防不胜防,任何一个Web安全漏洞都可能对用户造成难以弥补的损失。其中跨站脚本是目前最普遍的Web漏洞。以下是一种跨站脚本攻击的实例:某论坛对上传文件名没有做严格的限制,可以用动态语言编写的某个应用程序作为文件名上传文件,其它用户一旦点击该文件的链接,就会执行其中的应
此文档下载收益归作者所有