安恒玄武盾技术白皮书-网络行为审计分析.doc

1.安全背景 随着越来越多的用户将传统的业务系统迁移至云平台中，而目前众多云平台企业关注的更多是基础实施的完善和业务的开展，对于安全层面的关注较少，对于云端安全形势非常严峻，而目前基本都采用传统的硬件WAF部署，一方面部署比较废时废力，而且用户需要重复投资安全设备，另一方面用户需要自己管理和运营安全产品，对于缺乏安全专业知识的用户带来困扰。 从传统的安全市场总体规模分析，目前的安全市场只是冰山一角，在互联网、大数据、云计算的大趋势下，我们会接触到很多新的领域，相信我们的玄武盾能给安全市场带来新的开始。 2.产品介绍 2.1工作原理 玄武盾基于大数据和云防护平台，采用零部署的云计算解决方案，用户无需在本地部署任何安全设备，只需将DNS映射至玄武盾CNAME别名地址或NS方式，即可完成WEB安全防护、DDOS防护。 2.2产品功能 2.2.1网站防护 玄武盾提供了目前业界覆盖范围最广、防护能力最强的安全防护，对Web网站或应用进行严格的保护。安全策略来自于Snort、CWE、OWASP组织，以及安恒安全研究院对国内典型应用的深入研究成果，覆盖范围如下： HTTP协议规范性检查 检查提交的报文是否符合HTTP协议框架，如异常的请求方法、不同字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击以及对高危文件的访问等，黑客在使用非浏览器工具调试时可迅速拦截。 文件B超 对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问。 注入攻击防护 对用户提交的URL、参数、Cookie等字段进行检查，采用SQL语义解析技术防止风险系数极高的SQL注入攻击，采用字符偏移技术对代码、命令、文件、LDAP、SSI等注入攻击的检测，有效地防护了对操作系统和应用的注入攻击。 跨站脚本攻击防护 采用字符差分技术对用户提交的脚本进行检查，防止不合法跨站脚本。 网页木马防护 对页面内容进行逐行扫描，检查是否存在网页木马，防止客户端被感染。 信息泄漏防护 对服务器响应状态码、服务器错误信息、数据库错误信息、源代码信息泄露进行过滤，防止服务器信息被黑客利用进行有效攻击。 扫描器防护 对常见的wvs、appscan、nessus等扫描器指纹进行有效识别进行防护。 第三方组件漏洞防护 对WEB服务器容器、应用中间件、CMS系统等漏洞进行有效防护。 CSRF跨站请求伪造防护 通过Referer算法和token算法有效对CSRF攻击进行防护。 防盗链 通过Referer和Cookie算法有效防止非法外链，和对用户资源内容的盗链。 2.2.2内容加速 内置Webcache及Webrar模块，Webcache模块对静态页面进行高速缓存，提升WEB服务器连接可用性，Webrar模块对页面内容进行文件压缩，提升服务器带宽使用率。 2.2.3防DDOS、CC攻击 拥有专利级防DDOS/CC算法，有效防护实现对Syn-flood、upd-flood、tcp-flood、应用层CC等DDOS攻击，一方面解决了用户网站被DDOS攻击时的可用性问题，另一方面对玄武盾本身也加强了防护，这样可持续保证用户的网站稳定运行。 2.2.4用户独立数据报表 每个用户拥有自身网站的数据和报表，用户可查看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。 2.3用户接入流程 用户纳入玄武盾防护的流程如下： 2.31.域名登记 用户联系当地销售告知需要防护的域名信息，并提供环境调研表，安恒安全工程师将域名进行登记入库； 2.3.2.配置防护 安恒安全工程师将用户域名添加至防护列表，添加域名、回源IP、策略等信息； 2.3.3.DNS映射 安恒工程师配置完成后会通知用户进行接入，用户可登陆到DNS管理系统，将网站域名解析指向到玄武盾的别名地址，下面以DNSPOD为例： 添加CNAME记录： 停止用A记录： 2.3.4.验证网站 验证网站是否能正常访问； 验证网站是否能被玄武盾正常防护。 2.3.5.索要帐号 用户向当地销售索要玄武盾帐号，可随时查看被防护站点可查看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等报表； 2.3.6.可视化安全防护 可实时查看可视化态势感知，实时了解安全防护状态。 3.玄武盾优势 3.1企业级安全解决方案 安恒具备多年企业级安全解决方案，玄武盾核心防护引擎来源于安恒WEB应用防火墙产品，高效稳定，误判率和漏报率业内最低，产品成熟度高，8年产品研发历程，历经数十万网站的考验。 产品功能完