一、产品概述
通常,网络攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处,通过发送一系列含有特定企图的请求数据,对Web站点特别是Web应用进行侦测和攻击,攻击的目的包括:非法获取站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。
iWall应用防火墙实现了对Web站点特别是Web应用的保护。它通过全面分析应用层的用户http请求数据(如URL、参数、链接、Cookie、请求行、头部信息、载荷等),区分正常用户访问Web应用和攻击者的恶意行为,对攻击行为进行实时阻断和报警。
iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。
iWall应用防火墙在安全防护体系中的位置和作用如下图所示:
二、工作原理
iWall应用防火墙使用天存HTTP安全模型对所有用户请求数据进行检查。这些请求数据尚未被Web服务器软件和Web应用处理之前即进行检查,确保所有攻击行为被拒之门外。
天存HTTP安全模型采用匹配引擎和安全规则分离的方式。其工作过程如下所示:
三、产品特性
1.二阶段检查
漏判和误判以及准确和效率之间的平衡是应用防火墙最关注的问题。由于天存复杂匹配引擎支持多阶段多流程处理,因此天存核心规则集可以使用二阶段检查技术:对99%的正常访问可以初查后快速通过,对初查不合格的1%的可疑访问可以复杂匹配,精确识别。
2.加扰去除
黑客为了绕过应用安全程序或系统的检测,往往将攻击数据加扰(增加噪声)后提交。天存核心规则集可以有效识别和剔除加扰数据,包括:识别并压缩空格、识别并替换注释、大小写转换等。
3.编码识别
由于黑客攻击或者应用自身的需要,请求数据可能采用各种方式进行编码。天存核心规则集可以识别多种编码数据并进行解码,包括:HTML实体解码、URL解码、Unicode解码等。
4.多规则支持
支持任意多个规则集,可以针对站点、应用、URL甚至访问者IP来制定和应用相应的规则集,并对其中的任意规则进行单独忽略,实现细粒度的安全配置。