YD_T 2384-2011Web应用防火墙技术要求.pdf

ICS 35.240L 67YD中华人民共和国通信行业标准YD/T 2384-2011Web应用防火墙技术要求Web application firewall technical requirements2011-12-20 发布2012-02-01实施中华人民共和国工业和信息化部发布 YD/T 2384-2011目次前 言·IT1 范围·2术语和定义3缩略语:24　部署方式·4.1部署能力要求.·4.2串联方式部署4.3旁路方式部署..5产品安全功能要求·5.1网络层防护功能（可选要求）5.2对HTTP（s）协议的安全防护功能·5.3Web服务器防护功能5.4Web应用的防护功能·5.5其他可选功能要求6产品管理及审计功能·6.1规则库管理·6.2安全属性的设置·6.3审计日志6.4　日志管理功能·6.5可理解的格式6.6防止审计数据丢失6.7用户角色管理功能 YD/T 2384-2011前 言本标准由中国通信标准化协会提出并归口。本标准起草单位：北京神州绿盟科技有限公司、北京启明星辰信息安全技术有限公司、中兴通讯股份有限公司、华为技术有限公司。本标准主要起草人：秦波、袁智辉、高峰、樊洞阳。II YD/T 2384-2011Web应用防火墙谱技术要求1 范围本标准规定了Web应用防火墙产品的部署方式、安全功能要求、产品管理及审计功能。本标准适用于Web应用防火墙设备。2 术语和定义下列术语和定义适用于本文件。2.1Web应用防火墙Web Application FirewallHTTP（s）协议标准，对HTTP（s）实行双向流量清洗和过滤，并使用预先定义的规则允许和禁止其连接，保护Web服务器。2.2防盗链 Anti Leech盗链是指服务提供商自已不提供服务的内容，通过技术手段绕过其他对内容原始提供商有利益的最终用户界面（如广告），直接在自已的网站上向最终用户提供其他服务提供商的服务内容，骗取最终用防盗链是对盗链的遏制技术。2.3防扫描Anti Scanner扫描是用自动检测本地或远程主机安全弱点的程序，去发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包，收集目标计算机操作系统类型、端口、Web漏洞、敏感信息等。防扫描是对扫描的遏制技术。2.4肥虫Spider或Crawlei一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。2.5SQL注入攻击 SQL Injection一种代码注入技术，它利用一个Web应用程序的安全漏洞，在数据库层实施攻击。如果对用户输入的非法字符串（如Web表单递交或输入域名或页面请求的查询字符串）过滤不严谨，则会把构建的恶意SQL语句传递到数据库，欺骗服务器执行恶意的SQL命令。2.6跨站脚本攻击 Cross Site Scripting-种Web应用程序的漏洞类型，能令攻击者插入客户端脚本到Web页面，当其他用户查看时被攻击。2.71 YD/T 2384-2011CSRFCross-site Request Forgery利用网站合法用户对网站的信任，构造未经授权的命令，通过诱骗等手段让合法用户的浏览器实施攻击。2.8网页木马WebTrojan表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。2.9TCP拒绝服务TCP Flood一种拒绝服务攻击，利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式，常见的包括SYN Flood、ACK Flood等。2.10ARP欺骗 ARP Spoofing或ARP Flooding、ARP Poisoning、ARP Poison Routing)攻击以太网有线或无线网络，允许攻击者嗅探局域网（LAN）内的数据顿，并可修改或中断传输中的数据。3缩略语下列缩略语适用于本文件。ACLAccess Control List访问控制列表ARPAddress Resolution Protocol地址解析协议CSRFCross-site request forgery跨站请求伪造DDoSDistributed Denial of Service分布式拒绝服务攻击 High AvailabilityHA高可用性HTTPHypertext Transfer Protocol超文本传输协议HTTPsHypertext Transfer Protocol Secure安全超文本传输协议IDC Internet Data Center互联网数据中心IP网间互连协议Internet ProtocolLANLocal Area Network局域