《A系列：Web應用安全網關(WAF)》課件

《A系列：Web應用安全網關（WAF）》《A系列：Web應用安全網關（WAF）》引言：網頁防篡改引言：網頁防篡改目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和選型產品需求背景和定位目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和為什么需要WAF？-需求背景

hypecycle模型由Gartner總結:WebApplicationFirewall產品處于成長上升期。曲線中體現(xiàn)，最接近上量的產品為WebApplicationFirewall(WAF)Frost&Sullivan2013年市場分析：

WAF市場在未來幾年內將會高速增長，復合增長率達到30.5%，2020年中國區(qū)市場規(guī)模約為13.6億人民幣。

Frost&Sullivan分析：

85%的用戶認識到商業(yè)環(huán)境中Web應用的重要性，這與IT發(fā)展大趨勢以及WEB2.0技術日趨成熟是一致的；為什么需要WAF？-需求背景hypecycle模型由Ga政策驅動型目標客戶—金融行業(yè)【政策法規(guī)驅動-（一）】網上銀行信息安全規(guī)范(銀發(fā)[2010]19號)要求對象:中國人民銀行上?？偛?，各分行，營業(yè)管理部，各省會（首府）城市中心支行，副省級城市中心銀行；各政策性銀行，國有商業(yè)性銀行，股份制商業(yè)銀行，中國郵政儲蓄銀行；簡要說明：1）是在網上銀行系統(tǒng)信息安全問題和已發(fā)生過的網上銀行案件的基礎上，有針對性提出的安全要求，內容涉及網上銀行系統(tǒng)的技術、管理和業(yè)務運作三個方面；2）分為基本要求和增強要求，基本要求為最低安全要求，增強要求為下發(fā)之日起的三年內應達到的安全要求；3）旨在有效增強現(xiàn)有網上銀行系統(tǒng)安全防范能力，促進網上銀行規(guī)范、健康發(fā)展。既可作為網上銀行系統(tǒng)建設和改造升級的安全性依據(jù)，也可作為各單位開展安全檢查和內部審計的依據(jù)。政策驅動型目標客戶—金融行業(yè)【政策法規(guī)驅動-（一）】網上銀行《網上銀行信息安全規(guī)范》Web安全要求《網銀規(guī)范》安全技術規(guī)范中明確Web應用安全:資源控制：編碼規(guī)范約束：會話安全：源代碼管理：防止敏感信息泄漏：防止SQL注入攻擊：防止跨站腳本攻擊：防止拒絕服務攻擊：《網上銀行信息安全規(guī)范》Web安全要求PCI-DSS規(guī)范PCI-DSS適用對象PCI-DSS標準主要針對網上商家、金融機構、信用卡和借計卡處理商、卡公司和端點POS終端。根據(jù)v1.1規(guī)范：“存儲、處理或傳輸主賬號（PAN）時可以使用PCI-DSS規(guī)范。如果不存儲、處理或傳輸PAN，不能使用PCI-DSS規(guī)范?！比绻麢C構通過基于Web的應用或接口直接進行或支持網上信用卡交易，必須遵守PCI規(guī)范。6.5–基于OpenWebApplicationSecurityProject等安全編碼指南開發(fā)所有的Web應用。查看自定義應用代碼來識別編碼漏洞。防御軟件開發(fā)過程中普遍的編碼漏洞，包括以下幾方面：6.5.1–失效的輸入6.5.2–失效的接入控制（例如，惡意使用用戶ID）6.5.3–失效的驗證和會話管理（賬戶證書和會話cookie的使用）6.5.4–跨站點腳本（XSS）攻擊6.5.5–緩沖區(qū)溢出【政策法規(guī)驅動-（二）】PCI-DSS規(guī)范【政策法規(guī)驅動-（二）】6.5.6–注入缺陷（例如，結構化查詢語言（SQL）注入）6.5.7–不當?shù)腻e誤處理6.5.8–不安全的存儲6.5.9–拒絕服務6.5.10–不安全的配置管理6.6–采用以下任意一種方法確保所有面向Web的應用免受已知的攻擊：讓專門從事應用安全的機構檢查所有的自定義應用代碼是否存有普遍的漏洞。在面向Web應用的前端安裝應用層防火墻注意：這種方法一直被認為是最佳的做法，2008年6月30日以后這種做法成為一種必須的要求。6.5.6–注入缺陷（例如，結構化查詢語言（SQL）注入GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求要求對象:1）政府機關：各大部委、各省級政府機關、各地市級政府機關、各事業(yè)單位等；2）金融行業(yè)：金融監(jiān)管機構、各大銀行、證券、保險公司等3）電信行業(yè)：各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等4）能源行業(yè)：電力公司、石油公司、煙草公司

5）企業(yè)單位：大中型企業(yè)、央企、上市公司等

6）其它有信息系統(tǒng)定級需求的行業(yè)與單位

政策驅動型目標客戶—等級保護【政策法規(guī)驅動-（三）】GB/T22239-2008信息安全技術信息系統(tǒng)安全等Web應用安全要求《等級保護》中相關Web應用安全要求:《GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求》應用安全訪問控制a)應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；

b)訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；f)應依據(jù)安全策略嚴格控制用戶對敏感標記重要信息資源的操作應用安全安全審計a)應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要的安全事件進行審計；應用安全軟件容錯a)應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求；應用安全資源控制d)應能對一個時間段內可能的并發(fā)會話連接數(shù)進行限制f)應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；Web應用安全要求《GB/T22239-2008信息安全以太信御Web安全解決方案——A系列：Web應用安全網關（WAF）

規(guī)范要求WAF解決方案訪問控制，a)以太信御應用防火墻提供全面的應用分析，可針對各種網頁應用對象進行規(guī)則設置，進行精細化的訪問控制和用戶控制。訪問控制，b)訪問控制可完全針對各種資源訪問的主體和客體，并可進行各種關系的邏輯與、或、非等操作。訪問控制，f)提供敏感信息防護功能，可對預先定義好的敏感數(shù)據(jù)和重要信息資源進行監(jiān)測和泄露保護。安全審計，a）以太信御WAF提供全局用戶跟蹤功能，可有效識別每一個應用用戶，并根據(jù)應用用戶設置對應的安全規(guī)則。軟件容錯，a）以太信御WAF提供http協(xié)議合規(guī)自學習功能，可自動學習應用系統(tǒng)正常的輸入數(shù)據(jù)格式、長度等，并可在不修改應用的情況下，利用WAF來規(guī)范數(shù)據(jù)輸入的有效性。資源控制，d）以太信御WAF可根據(jù)需要控制用戶對應用訪問的每秒最大請求數(shù)、每秒最大速率，避免應用層DDos的攻擊資源控制，f）以太信御WAF并可根據(jù)第三方網頁應用漏洞掃描工具對現(xiàn)有應用進行安全滲透檢查，發(fā)現(xiàn)弱點后，可直接對WAF進行虛擬補丁。以太信御Web安全解決方案——A系列：Web應用安全網關互聯(lián)網安全保護技術措施規(guī)定（公安部令第82號）互聯(lián)網安全保護技術措施規(guī)定

第四條

互聯(lián)網服務提供者、聯(lián)網使用單位應當建立相應的管理制度。未經用戶同意不得公開、泄露用戶注冊信息，但法律、行政法規(guī)另有規(guī)定的除外。第七條

互聯(lián)網服務提供者和聯(lián)網使用單位應當落實以下互聯(lián)網安全保護技術措施：

（一）防范計算機病毒、網絡入侵和攻擊破壞等危害網絡安全事項或者行為的技術措施；第九條

提供互聯(lián)網信息服務的單位除落實本規(guī)定第七條規(guī)定的互聯(lián)網安全保護技術措施外，還應當落實具有以下功能的安全保護技術措施：（三）開辦門戶網站、新聞網站、電子商務網站的，能夠防范網站、網頁被篡改，被篡改后能夠自動恢復；【政策法規(guī)驅動-（四）】互聯(lián)網安全保護技術措施規(guī)定（公安部令第82號）【政策法規(guī)驅動中華人民共和國通信行業(yè)標準移動互聯(lián)網聯(lián)網應用安全防護要求.7其他1）應用技術手段檢測和避免WEB業(yè)務系統(tǒng)域名、訪問鏈路的異常、訪問延遲、解析錯誤等情況，并有應急處理能力2）應避免存在常見的WEB漏洞（如，SQL注入、跨站腳本、CSRF等）；3）應能檢測掛馬、暗鏈等WEB業(yè)務系統(tǒng)入侵事件，并有應急處理能力。【政策法規(guī)驅動-（五）】中華人民共和國通信行業(yè)標準【政策法規(guī)驅動-（五）】國務院辦公廳關于進一步加強政府網站管理工作的通知國辦函〔2011〕40號各省、自治區(qū)、直轄市人民政府，國務院各部委、各直屬機構：四、規(guī)范管理，不斷提升政府網站工作水平政府網站管理單位要建立網站鏈接審批制度，嚴格審核把關；運行維護單位要定期檢查鏈接的有效性，發(fā)現(xiàn)鏈接錯誤，要及時查明原因，加以更正。網站管理和運行維護單位要建立值班讀網制度，安排值班人員每日登錄網站讀網，檢查網站運行和頁面顯示是否正常，特別要認真審看重要稿件和重要信息，及時發(fā)現(xiàn)和糾正錯情。要不斷完善政府網站防攻擊、防篡改、防病毒等安全防護措施，做好日常巡檢和監(jiān)測，發(fā)現(xiàn)問題或出現(xiàn)突發(fā)情況要及時妥善處理。對于缺乏技術保障力量的政府網站，上級政府、部門和主管單位要主動協(xié)調有關方面提供技術支持，幫助其做好網站的安全防范工作。政府網站運行維護單位要按照信息安全等級保護的要求，定期對網站進行安全檢查，及時消除隱患。【政策法規(guī)驅動-（六）】國務院辦公廳關于進一步加強政府網站管理工作的通知【政策法規(guī)驅中央網絡安全和信息化領導小組辦公室文件（中網辦發(fā)文【2014】1號）2014年5月9日發(fā)文關于加強黨政機關網站安全管理的通知主要針對中央及各級黨政機關網站其中第七部分為“加強黨政機關網站技術防護體系建設”提到了建立以網頁防篡改、域名防劫持，網站防攻擊以及密碼技術、身份認證、訪問控制、安全審計等為主要措施的網站安全防護體系提高網站防篡改、防病毒、防攻擊、防癱瘓、防泄密能力?！菊叻ㄒ?guī)驅動-（七）】中央網絡安全和信息化領導小組辦公室文件（中網辦發(fā)文【2014防火墻的主要功能職責和局限Port80Port443“75%的安全事件由通過80端口進行的攻擊造成”

InformationWeek防火墻需要開放80端口，無法保護通過80端口提供服務的Web服務器！防火墻和WAF協(xié)同關系包過濾防火墻：檢測數(shù)據(jù)包包頭信息進行訪問控制狀態(tài)檢測防火墻：根據(jù)IP報文之間的關系區(qū)分出不同會話，可以基于會話進行訪問控制，屬于會話層的安全防御手段，對HTTP內容仍然無法識別。防火墻的主要功能職責和局限Port80“75%的安全事件IDS的主要工作職責和局限IDS能對通用操作系統(tǒng)、數(shù)據(jù)庫漏洞進行檢測，但無法保護個性化的Web網站IDS和WAF協(xié)同關系檢測數(shù)據(jù)包有效負載，比對特征進行攻擊防御IDS防御特征碼主要針對通用的協(xié)議或應用漏洞，但是Web網站代碼往往由用戶自行編寫，沒有通用補丁IDS能識別網絡協(xié)議，根據(jù)每個數(shù)據(jù)包作出允許還是拒絕的決定，但不還原識別具體的內容，例如不識別網頁內容、URL參數(shù)、cookie內容、表單輸入等。IDS的主要工作職責和局限IDS能對通用操作系統(tǒng)、數(shù)據(jù)庫漏洞IPS/NGFW的主要工作職責和局限Gartner2014分析報告IPS/NGFW無法取代WAF，Gartner2014分析報告中羅列功能IPS/NGFW防護效果不如WAF，IPS/NGFW和WAF協(xié)同關系IPS/NGFW的主要工作職責和局限Gartner2014SQL注入跨站腳本網頁掛馬敏感信息泄露目錄遍歷SynFloodXMLDosHttpGetFlood攻擊者WEB服務器FWIDS、IPS、NGFW網頁篡改信息竊取非法入侵拒絕服務+產品定位SQL服務器WAF的定位工作原理：

WAF支持串行、反向代理、單臂部署模式，防御Web應用和數(shù)據(jù)庫中的數(shù)據(jù)被攻擊和篡改；關鍵價值：WEB應用防火墻（簡稱WAF),是專門針對網站防護所設計的安全產品；一句話介紹WAF：WAF可以對HTTP/HTTPS協(xié)議進行深入分析處理，彌補防火墻、IDS及IPS等傳統(tǒng)安全產品對于WEB應用威脅防護上的缺陷；SQL注入跨站腳本網頁掛馬敏感信息泄露目錄遍歷SynFloo目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和選型產品需求背景和定位目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和產品特色功能對用戶的實際作用和價值SQL注入防護1、防御用戶的Web站點被黑客攻擊篡改2、防御用戶的Web站點后臺數(shù)據(jù)被竊取3、防御用戶的Web站點敏感信息泄露Web惡意掃描防護1、防御爬蟲工具對用戶Web網站進行抓取2、防御CGI工具對用戶Web網站進行掃描試探性攻擊3、防御Web掃描工具對用戶Web網站進行漏洞掃描探測XSS攻擊防護1、防御用戶的Web站點被黑客攻擊掛馬2、防御用戶的Web站點cookie信息被竊取3、防御用戶的Web站點敏感信息泄露HTTP協(xié)議合規(guī)1、HTTP合規(guī)性規(guī)則是基于正常流量對網站的各個字段進行自學習建模，防御用戶的Web站點被未知的攻擊URL流量控制1、防御用戶的某些URL遭遇到CC攻擊2、防御用戶的某個URL遭遇到大量用戶訪問，導致服務器系統(tǒng)資源大量被占用客戶端識別1、客戶網絡環(huán)境有經過NAT地址轉換，且WAG設備部署在NAT地址轉換設備之后時，源IP地址都被轉換，WAG設備將會啟用客戶端識別技術來有效識別攻擊源IP產品特色功能產品特色功能對用戶的實際作用和價值SQL注入防護1、防御用戶Web攻擊防護VSID專有檢測算法HTTP正向安全模型SQL注入攻擊防護VXID專有檢測算法HTTP正向安全模型XSS攻擊防護專有檢測算法特征檢測自定義特征檢測爬蟲Web惡意掃描防護CGI掃描漏洞掃描HTTPFlood防護CC攻擊防護XMLDoS防護應用層DoS防護產品優(yōu)勢功能：Web攻擊防護Web攻擊防護VSID專有檢測算法SQL注入攻擊防護VXIDWeb非授權訪問防護Cookie篡改防護Cookie簽名：對關鍵Cookie進行簽名保護HTTPonly：保護Cookie不被JavaScript訪問Secure：瀏覽器在HTTP時不返回CookieCSRF攻擊防護/paymoney.php被保護URL允許“訪問被保護URL的來源地址”/index.php/shop.php其它來源地址/....../......網站盜鏈防護產品優(yōu)勢功能：Web非授權訪問防護Web非授權訪問防護Cookie篡改防護Cookie簽名：對Web惡意代碼防護以太信御云惡意腳本惡意腳本防護網頁掛馬網頁掛馬防護WebShellWebShell防護惡意URL庫WebShell特征庫專有檢測算法產品優(yōu)勢功能：Web惡意代碼防護Web惡意代碼防護以太信御云惡意腳本惡意腳本防護網頁掛馬網頁Web應用合規(guī)文件上傳下載控制HTTP請求長度HTTP協(xié)議參數(shù)最大個數(shù)、參數(shù)值最大長度、參數(shù)名最大長度最大Cookie個數(shù)單一URL最大長度、查詢字符串最大長度HTTP協(xié)議合規(guī)服務器類型信息Web錯誤頁面信息身份證信息敏感信息泄露防護銀行卡卡號信息基于URL的訪問控制Web表單關鍵字過濾文件大小、文件名大小反動詆毀不良敏感產品優(yōu)勢功能：Web應用合規(guī)Web應用合規(guī)文件上傳下載控制HTTP請求長度HTTP協(xié)議合Web應用交付WeightedRoundRobinRoundRobinLeastConnections多服務器負載均衡Web應用加速CacheMemory網頁防篡改返回先前保存的正確頁面出現(xiàn)網頁被篡改情況無需在服務器安裝Agnet，不影響業(yè)務應用基于URL的流量控制每秒最大請求數(shù)每秒最大速率產品優(yōu)勢功能：Web應用交付Web應用交付WeightedRoundRobin多服務研究漏洞機理研究新攻擊特征研究攻擊躲避機理設計抗躲避機制/算法發(fā)現(xiàn)新漏洞ADLABTMCVECNCVECERTCNCERT/CC披露信息安全事件M2S-遠程監(jiān)控Web攻擊特征無法精確定義客戶/其它廠家披露漏洞研發(fā)中心列入Web應用防護事件庫精確識別Web攻擊基于Web攻擊躲避機理的精確識別程序包在線升級引擎，加載新算法快速響應最新Web攻擊Web攻擊事件特征可被精確定義信息安全博士后工作站圖例人/組織資源使命價值公司優(yōu)勢-Web應用防護事件庫，快速響應最新攻擊研究漏洞機理研究攻擊躲避機理發(fā)現(xiàn)新漏洞ADLABTMCVEC目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和選型產品需求背景和定位目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和某省運營商網絡拓撲圖部署網絡特點：通過虛擬防火墻對流量進行分配，使WAF達到集群防護效果WAF部署在核心位置核心功能的運用特點：SSL卸載，對HTTPS流量進行攻擊檢測。對其他運營商省的借鑒意義：運營商網絡部署環(huán)境要求WAF支持集群，可以考慮該部署方式對HTTPS流量進行攻擊檢測需求產品實際應用-某省運營商行業(yè)部署（一）二級數(shù)據(jù)中心某省運營商網絡拓撲圖部署產品實際應用-某省運營商行業(yè)部署（一二級數(shù)據(jù)中心產品實際應用-某省運營商行業(yè)部署（二）某省運營商網絡拓撲圖部署網絡特點WAF產品部署在防火墻和交換機之間核心功能的運用特點：防護運營商總部對各省運營商Web網站進行Web漏洞掃描檢查防護Web網站遭受攻擊對其他運營商省的借鑒意義：運營商總部對各省運營商進行Web漏洞檢查二級數(shù)據(jù)中心產品實際應用-某省運營商行業(yè)部署（二）某省運營商服務器集群服務器區(qū)Web服務器DMZ區(qū)核心交換防火墻某金融客戶全網部署網絡特點WAF主主模式部署WAF部署在核心交換機和防火墻之間核心功能的運用特點：敏感信息保護，防止網站重要資產如：銀行卡、身份證等重要信息泄露PCI-DSS規(guī)范的安全內容防護對其他銀行的借鑒意義：主主模式部署需求Web網站攻擊防護需求PCI-DSS規(guī)范檢查防護需求產品實際應用-某金融行業(yè)部署二級數(shù)據(jù)中心服務器集群服務器區(qū)Web服務器DMZ區(qū)核心交換防火墻某金融客I/OI/O實時進程監(jiān)控分析進程1分析進程2……物理接口硬件異常/斷電→Bypass啟動無源通道WatchDog探測CPU、MEM、CHIP等硬件狀態(tài)物理接口分析引擎進程進程異?！鶥YPASS啟動異?；謴汀鶥YPASS關閉InternetWeb服務器Bypass–充分保障Web業(yè)務連續(xù)性I/OI/O實時進程監(jiān)控分析進程1分析進程2……物理硬件異常目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和選型產品需求背景和定位目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和《A系列：Web應用安全網關(WAF)》課件進入網絡配置>接口>透明橋，點擊新建。進入網絡配置>接口>透明橋，點擊新建。進入對象管理>地址對象，點擊新建進入對象管理>地址對象，點擊新建《A系列：Web應用安全網關(WAF)》課件《A系列：Web應用安全網關（WAF）》《A系列：Web應用安全網關（WAF）》引言：網頁防篡改引言：網頁防篡改目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和選型產品需求背景和定位目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和為什么需要WAF？-需求背景

hypecycle模型由Gartner總結:WebApplicationFirewall產品處于成長上升期。曲線中體現(xiàn)，最接近上量的產品為WebApplicationFirewall(WAF)Frost&Sullivan2013年市場分析：

WAF市場在未來幾年內將會高速增長，復合增長率達到30.5%，2020年中國區(qū)市場規(guī)模約為13.6億人民幣。

Frost&Sullivan分析：

85%的用戶認識到商業(yè)環(huán)境中Web應用的重要性，這與IT發(fā)展大趨勢以及WEB2.0技術日趨成熟是一致的；為什么需要WAF？-需求背景hypecycle模型由Ga政策驅動型目標客戶—金融行業(yè)【政策法規(guī)驅動-（一）】網上銀行信息安全規(guī)范(銀發(fā)[2010]19號)要求對象:中國人民銀行上?？偛?，各分行，營業(yè)管理部，各省會（首府）城市中心支行，副省級城市中心銀行；各政策性銀行，國有商業(yè)性銀行，股份制商業(yè)銀行，中國郵政儲蓄銀行；簡要說明：1）是在網上銀行系統(tǒng)信息安全問題和已發(fā)生過的網上銀行案件的基礎上，有針對性提出的安全要求，內容涉及網上銀行系統(tǒng)的技術、管理和業(yè)務運作三個方面；2）分為基本要求和增強要求，基本要求為最低安全要求，增強要求為下發(fā)之日起的三年內應達到的安全要求；3）旨在有效增強現(xiàn)有網上銀行系統(tǒng)安全防范能力，促進網上銀行規(guī)范、健康發(fā)展。既可作為網上銀行系統(tǒng)建設和改造升級的安全性依據(jù)，也可作為各單位開展安全檢查和內部審計的依據(jù)。政策驅動型目標客戶—金融行業(yè)【政策法規(guī)驅動-（一）】網上銀行《網上銀行信息安全規(guī)范》Web安全要求《網銀規(guī)范》安全技術規(guī)范中明確Web應用安全:資源控制：編碼規(guī)范約束：會話安全：源代碼管理：防止敏感信息泄漏：防止SQL注入攻擊：防止跨站腳本攻擊：防止拒絕服務攻擊：《網上銀行信息安全規(guī)范》Web安全要求PCI-DSS規(guī)范PCI-DSS適用對象PCI-DSS標準主要針對網上商家、金融機構、信用卡和借計卡處理商、卡公司和端點POS終端。根據(jù)v1.1規(guī)范：“存儲、處理或傳輸主賬號（PAN）時可以使用PCI-DSS規(guī)范。如果不存儲、處理或傳輸PAN，不能使用PCI-DSS規(guī)范?！比绻麢C構通過基于Web的應用或接口直接進行或支持網上信用卡交易，必須遵守PCI規(guī)范。6.5–基于OpenWebApplicationSecurityProject等安全編碼指南開發(fā)所有的Web應用。查看自定義應用代碼來識別編碼漏洞。防御軟件開發(fā)過程中普遍的編碼漏洞，包括以下幾方面：6.5.1–失效的輸入6.5.2–失效的接入控制（例如，惡意使用用戶ID）6.5.3–失效的驗證和會話管理（賬戶證書和會話cookie的使用）6.5.4–跨站點腳本（XSS）攻擊6.5.5–緩沖區(qū)溢出【政策法規(guī)驅動-（二）】PCI-DSS規(guī)范【政策法規(guī)驅動-（二）】6.5.6–注入缺陷（例如，結構化查詢語言（SQL）注入）6.5.7–不當?shù)腻e誤處理6.5.8–不安全的存儲6.5.9–拒絕服務6.5.10–不安全的配置管理6.6–采用以下任意一種方法確保所有面向Web的應用免受已知的攻擊：讓專門從事應用安全的機構檢查所有的自定義應用代碼是否存有普遍的漏洞。在面向Web應用的前端安裝應用層防火墻注意：這種方法一直被認為是最佳的做法，2008年6月30日以后這種做法成為一種必須的要求。6.5.6–注入缺陷（例如，結構化查詢語言（SQL）注入GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求要求對象:1）政府機關：各大部委、各省級政府機關、各地市級政府機關、各事業(yè)單位等；2）金融行業(yè)：金融監(jiān)管機構、各大銀行、證券、保險公司等3）電信行業(yè)：各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等4）能源行業(yè)：電力公司、石油公司、煙草公司

5）企業(yè)單位：大中型企業(yè)、央企、上市公司等

6）其它有信息系統(tǒng)定級需求的行業(yè)與單位

政策驅動型目標客戶—等級保護【政策法規(guī)驅動-（三）】GB/T22239-2008信息安全技術信息系統(tǒng)安全等Web應用安全要求《等級保護》中相關Web應用安全要求:《GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求》應用安全訪問控制a)應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；

b)訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；f)應依據(jù)安全策略嚴格控制用戶對敏感標記重要信息資源的操作應用安全安全審計a)應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要的安全事件進行審計；應用安全軟件容錯a)應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求；應用安全資源控制d)應能對一個時間段內可能的并發(fā)會話連接數(shù)進行限制f)應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；Web應用安全要求《GB/T22239-2008信息安全以太信御Web安全解決方案——A系列：Web應用安全網關（WAF）

規(guī)范要求WAF解決方案訪問控制，a)以太信御應用防火墻提供全面的應用分析，可針對各種網頁應用對象進行規(guī)則設置，進行精細化的訪問控制和用戶控制。訪問控制，b)訪問控制可完全針對各種資源訪問的主體和客體，并可進行各種關系的邏輯與、或、非等操作。訪問控制，f)提供敏感信息防護功能，可對預先定義好的敏感數(shù)據(jù)和重要信息資源進行監(jiān)測和泄露保護。安全審計，a）以太信御WAF提供全局用戶跟蹤功能，可有效識別每一個應用用戶，并根據(jù)應用用戶設置對應的安全規(guī)則。軟件容錯，a）以太信御WAF提供http協(xié)議合規(guī)自學習功能，可自動學習應用系統(tǒng)正常的輸入數(shù)據(jù)格式、長度等，并可在不修改應用的情況下，利用WAF來規(guī)范數(shù)據(jù)輸入的有效性。資源控制，d）以太信御WAF可根據(jù)需要控制用戶對應用訪問的每秒最大請求數(shù)、每秒最大速率，避免應用層DDos的攻擊資源控制，f）以太信御WAF并可根據(jù)第三方網頁應用漏洞掃描工具對現(xiàn)有應用進行安全滲透檢查，發(fā)現(xiàn)弱點后，可直接對WAF進行虛擬補丁。以太信御Web安全解決方案——A系列：Web應用安全網關互聯(lián)網安全保護技術措施規(guī)定（公安部令第82號）互聯(lián)網安全保護技術措施規(guī)定

第四條

互聯(lián)網服務提供者、聯(lián)網使用單位應當建立相應的管理制度。未經用戶同意不得公開、泄露用戶注冊信息，但法律、行政法規(guī)另有規(guī)定的除外。第七條

互聯(lián)網服務提供者和聯(lián)網使用單位應當落實以下互聯(lián)網安全保護技術措施：

（一）防范計算機病毒、網絡入侵和攻擊破壞等危害網絡安全事項或者行為的技術措施；第九條

提供互聯(lián)網信息服務的單位除落實本規(guī)定第七條規(guī)定的互聯(lián)網安全保護技術措施外，還應當落實具有以下功能的安全保護技術措施：（三）開辦門戶網站、新聞網站、電子商務網站的，能夠防范網站、網頁被篡改，被篡改后能夠自動恢復；【政策法規(guī)驅動-（四）】互聯(lián)網安全保護技術措施規(guī)定（公安部令第82號）【政策法規(guī)驅動中華人民共和國通信行業(yè)標準移動互聯(lián)網聯(lián)網應用安全防護要求.7其他1）應用技術手段檢測和避免WEB業(yè)務系統(tǒng)域名、訪問鏈路的異常、訪問延遲、解析錯誤等情況，并有應急處理能力2）應避免存在常見的WEB漏洞（如，SQL注入、跨站腳本、CSRF等）；3）應能檢測掛馬、暗鏈等WEB業(yè)務系統(tǒng)入侵事件，并有應急處理能力?！菊叻ㄒ?guī)驅動-（五）】中華人民共和國通信行業(yè)標準【政策法規(guī)驅動-（五）】國務院辦公廳關于進一步加強政府網站管理工作的通知國辦函〔2011〕40號各省、自治區(qū)、直轄市人民政府，國務院各部委、各直屬機構：四、規(guī)范管理，不斷提升政府網站工作水平政府網站管理單位要建立網站鏈接審批制度，嚴格審核把關；運行維護單位要定期檢查鏈接的有效性，發(fā)現(xiàn)鏈接錯誤，要及時查明原因，加以更正。網站管理和運行維護單位要建立值班讀網制度，安排值班人員每日登錄網站讀網，檢查網站運行和頁面顯示是否正常，特別要認真審看重要稿件和重要信息，及時發(fā)現(xiàn)和糾正錯情。要不斷完善政府網站防攻擊、防篡改、防病毒等安全防護措施，做好日常巡檢和監(jiān)測，發(fā)現(xiàn)問題或出現(xiàn)突發(fā)情況要及時妥善處理。對于缺乏技術保障力量的政府網站，上級政府、部門和主管單位要主動協(xié)調有關方面提供技術支持，幫助其做好網站的安全防范工作。政府網站運行維護單位要按照信息安全等級保護的要求，定期對網站進行安全檢查，及時消除隱患?！菊叻ㄒ?guī)驅動-（六）】國務院辦公廳關于進一步加強政府網站管理工作的通知【政策法規(guī)驅中央網絡安全和信息化領導小組辦公室文件（中網辦發(fā)文【2014】1號）2014年5月9日發(fā)文關于加強黨政機關網站安全管理的通知主要針對中央及各級黨政機關網站其中第七部分為“加強黨政機關網站技術防護體系建設”提到了建立以網頁防篡改、域名防劫持，網站防攻擊以及密碼技術、身份認證、訪問控制、安全審計等為主要措施的網站安全防護體系提高網站防篡改、防病毒、防攻擊、防癱瘓、防泄密能力?！菊叻ㄒ?guī)驅動-（七）】中央網絡安全和信息化領導小組辦公室文件（中網辦發(fā)文【2014防火墻的主要功能職責和局限Port80Port443“75%的安全事件由通過80端口進行的攻擊造成”

InformationWeek防火墻需要開放80端口，無法保護通過80端口提供服務的Web服務器！防火墻和WAF協(xié)同關系包過濾防火墻：檢測數(shù)據(jù)包包頭信息進行訪問控制狀態(tài)檢測防火墻：根據(jù)IP報文之間的關系區(qū)分出不同會話，可以基于會話進行訪問控制，屬于會話層的安全防御手段，對HTTP內容仍然無法識別。防火墻的主要功能職責和局限Port80“75%的安全事件IDS的主要工作職責和局限IDS能對通用操作系統(tǒng)、數(shù)據(jù)庫漏洞進行檢測，但無法保護個性化的Web網站IDS和WAF協(xié)同關系檢測數(shù)據(jù)包有效負載，比對特征進行攻擊防御IDS防御特征碼主要針對通用的協(xié)議或應用漏洞，但是Web網站代碼往往由用戶自行編寫，沒有通用補丁IDS能識別網絡協(xié)議，根據(jù)每個數(shù)據(jù)包作出允許還是拒絕的決定，但不還原識別具體的內容，例如不識別網頁內容、URL參數(shù)、cookie內容、表單輸入等。IDS的主要工作職責和局限IDS能對通用操作系統(tǒng)、數(shù)據(jù)庫漏洞IPS/NGFW的主要工作職責和局限Gartner2014分析報告IPS/NGFW無法取代WAF，Gartner2014分析報告中羅列功能IPS/NGFW防護效果不如WAF，IPS/NGFW和WAF協(xié)同關系IPS/NGFW的主要工作職責和局限Gartner2014SQL注入跨站腳本網頁掛馬敏感信息泄露目錄遍歷SynFloodXMLDosHttpGetFlood攻擊者WEB服務器FWIDS、IPS、NGFW網頁篡改信息竊取非法入侵拒絕服務+產品定位SQL服務器WAF的定位工作原理：

WAF支持串行、反向代理、單臂部署模式，防御Web應用和數(shù)據(jù)庫中的數(shù)據(jù)被攻擊和篡改；關鍵價值：WEB應用防火墻（簡稱WAF),是專門針對網站防護所設計的安全產品；一句話介紹WAF：WAF可以對HTTP/HTTPS協(xié)議進行深入分析處理，彌補防火墻、IDS及IPS等傳統(tǒng)安全產品對于WEB應用威脅防護上的缺陷；SQL注入跨站腳本網頁掛馬敏感信息泄露目錄遍歷SynFloo目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和選型產品需求背景和定位目錄產品透明模式簡單介紹產品特色功能和優(yōu)勢產品應用部署和產品特色功能對用戶的實際作用和價值SQL注入防護1、防御用戶的Web站點被黑客攻擊篡改2、防御用戶的Web站點后臺數(shù)據(jù)被竊取3、防御用戶的Web站點敏感信息泄露Web惡意掃描防護1、防御爬蟲工具對用戶Web網站進行抓取2、防御CGI工具對用戶Web網站進行掃描試探性攻擊3、防御Web掃描工具對用戶Web網站進行漏洞掃描探測XSS攻擊防護1、防御用戶的Web站點被黑客攻擊掛馬2、防御用戶的Web站點cookie信息被竊取3、防御用戶的Web站點敏感信息泄露HTTP協(xié)議合規(guī)1、HTTP合規(guī)性規(guī)則是基于正常流量對網站的各個字段進行自學習建模，防御用戶的Web站點被未知的攻擊URL流量控制1、防御用戶的某些URL遭遇到CC攻擊2、防御用戶的某個URL遭遇到大量用戶訪問，導致服務器系統(tǒng)資源大量被占用客戶端識別1、客戶網絡環(huán)境有經過NAT地址轉換，且WAG設備部署在NAT地址轉換設備之后時，源IP地址都被轉換，WAG設備將會啟用客戶端識別技術來有效識別攻擊源IP產品特色功能產品特色功能對用戶的實際作用和價值SQL注入防護1、防御用戶Web攻擊防護VSID專有檢測算法HTTP正向安全模型SQL注入攻擊防護VXID專有檢測算法HTTP正向安全模型XSS攻擊防護專有檢測算法特征檢測自定義特征檢測爬蟲Web惡意掃描防護CGI掃描漏洞掃描HTTPFlood防護CC攻擊防護XMLDoS防護應用層DoS防護產品優(yōu)勢功能：Web攻擊防護Web攻擊防護VSID專有檢測算法SQL注入攻擊防護VXIDWeb非授權訪問防護Cookie篡改防護Cookie簽名：對關鍵Cookie進行簽名保護HTTPonly：保護Cookie不被JavaScript訪問Secure：瀏覽器在HTTP時不返回CookieCSRF攻擊防護/paymoney.php被保護URL允許“訪問被保護URL的來源地址”/index.php/shop.php其它來源地址/....../......網站盜鏈防護產品優(yōu)勢功能：Web非授權訪問防護Web非授權訪問防護Cookie篡改防護Cookie簽名：對Web惡意代碼防護以太信御云惡意腳本惡意腳本防護網頁掛馬網頁掛馬防護WebShellWebShell防護惡意URL庫WebShell特征庫專有檢測算法產品優(yōu)勢功能：Web惡意代碼防護Web惡意代碼防護以太信御云惡意腳本惡意腳本防護網頁掛馬網頁Web應用合規(guī)文件上傳下載控制HTTP請求長度HTTP協(xié)議參數(shù)最大個數(shù)、參數(shù)值最大長度、參數(shù)名最大長度最大Cookie個數(shù)單一URL最大長度、查詢字符串最大長度HTTP協(xié)議合規(guī)服務器類型信息Web錯誤頁面信息身份證信息敏感信息泄露防護銀行卡卡號信息基于URL的訪問控制Web表單關鍵字過濾文件大小、文件名大小反動詆毀不良敏感產品優(yōu)勢功能：W