天泰WAF产品技术白皮书v3.30

密级：限定发布天泰WEB安全网关产品技术白皮书V3.30上海天泰网络技术有限公司2011年1月版权声明上海天泰网络技术有限公司2011版权所有，保留一切权力。包含但不限于本册中出现的任何文字叙述、文挡格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海天泰网络技术有限公司所有，受有关产权及版权法保护。©Jan.2011上海天泰网络技术有限公司限定发布第2页共29页商标信息天泰、TiTan、TiTansec、T2S2、WAF-T3等标识及其组合是上海天泰网络技术有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。限定发布第4页共29页天泰WAF产品白皮书目录（CONTENTS）TU第一章UTTUWEB应用安全现状UT...........................................................................................5TU第二章WEB应用安全分析UT..........................................................................................7TU2.1WEB应用安全存在的问题UT...............................................................................7TU2.2WEB应用安全漏洞分析UT..................................................................................8TU第三章WEB应用安全需求UT..........................................................................................12TU第四章天泰WEB安全保障平台UT..................................................................................14TU4.1安全防护功能UT................................................................................................16TU4.1.1主动防御UT...........................................................................................16TU4.1.2应用控制UT...........................................................................................17TU4.1.3策略覆盖的完整度UT.............................................................................17TU4.1.4策略适应性UT.........................................................................................18TU4.1.5基于状态的分析UT.................................................................................18TU4.1.6与网络层联动的防御技术UT..................................................................18TU4.2日志审计与管理UT.............................................................................................18TU4.3行为审计提供辅助决策功能UT.........................................................................19TU4.4性能优化方案UT................................................................................................19TU4.4.1站点集群技术UT.....................................................................................20TU4.4.2负载均衡UT............................................................................................20TU4.4.3策略源路由UT.........................................................................................21TU4.4.4WEB加速UT...........................................................................................21TU4.5访问控制与SSL加速UT......................................................................................22TU4.5.1时域、地域锁定服务UT..........................................................................22TU4.5.2SSL认证服务UT.....................................................................................23TU4.5.3URL认证技术UT.....................................................................................23TU4.6产品部署方式UT................................................................................................24TU4.6.1路由方式UT...........................................................................................24TU4.6.2单臂方式UT...........................................................................................24TU4.6.3透明方式UT...........................................................................................25TU第五章典型应用UT........................................................................................................26TU5.1大型站点应用UT................................................................................................26TU5.2中小型站点应用UT.............................................................................................26TU5.3负载均衡UT........................................................................................................27限定发布第5页共29页天泰WAF产品白皮书第一章WEB应用安全现状随着网络技术快速发展以及互联网服务的快速延伸，WEB应用渗透到社会生活的方方面面。与此同时，承载着丰富功能与用途的WEB应用程序也成为恶意用户与黑客等攻击者的主要攻击目标，因此，如何确保WEB应用程序的安全已成为政府、企业、事业单位、国防部门等各类机构所面临的主要挑战。与任何新兴技术一样，WEB应用程序也会带来一系列的安全方面的漏洞，不时有报道知名WEB应用系统被攻破的消息。截至到今天，这种情况似乎并未好转，也没有迹象表明这些安全问题已经得到解决。可以说，如今的WEB应用系统被攻击、内容被篡改的情况有越演越烈的趋势。工业和信息化部、国家互联网应急中心(CNCERT)发布的报告称，2010年中国大陆有3.5万个网站被黑客篡改，其中被篡改的政府网站高达4635个，比上年上升67.6%。政府网站安全性如果不能进一步提高，将不仅影响政府形象和电子政务的开展，也会给不法分子发布虚假信息造成可乘之机。此外，CNCERT去年共接到网络钓鱼事件举报1597件，较上年增长33.1%。与此同时，CNCERT去年共发现近500万个境内主机IP地址感染了木马和僵尸程序，较上年大幅增加。报告认为，金融行业网站正成为不法分子骗取钱财和窃取隐私的重点目标。图1-12009年-2010年的WEB安全漏洞比例限定发布第6页共29页天泰WAF产品白皮书当今影响应用服务昀流行的漏洞类型毫无疑问是Web应用相关的漏洞，五年来影响Web应用的漏洞数目一直处于高速增长阶段，IBMX-Force的数据显示2010年的WEB安全漏洞仍处于增长期，从2009年的49%增长到2010年的56%。研究WEB安全漏洞，找到防范对策，有针对性地进行检测、防护、审计和应急处理，是提高WEB应用系统防护能力的技术路线，也是网站防篡改、防入侵的根本之道。限定发布第7页共29页天泰WAF产品白皮书第二章WEB应用安全分析2.1WEB应用安全存在的问题通常一提到网络安全，我们就会想到防火墙、入侵检测和防病毒。传统的网络安全设备对网络能起到一定的防护做用。据CSI/FBI的信息安全研究报告表明，遭受攻击的系统虽然98%部署了网络防火墙等传统防护手段，但仍然有52%来自外部的攻击成功。成功的攻击包括系统被入侵、Web系统被滥用、站点被篡改、关键信息被窃取以及拒绝服务。IDC的报告表明，传统的网络防火墙在应用层保护方面的能力非常薄弱，需要新型的应用安全防护设备与之互补。图2-1当前安全现状统计分析图依据Gartner数据分析，目前安全投资中，只有10％投入到如何保障应用安全方面，但75％的攻击来源于此，而防护25％的攻击来源却消耗90％的投入――10％Vs90％，安全防护方面投入的失衡，也是造成当前Web应用频频被攻陷的一个重要因素。为什么传统的网络安全设备不能起到对WEB应用的防火作用呢？主要是通常存在以下误区：“Web网站使用了防火墙，所以很安全”无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问