华为WAF安全网关产品售前专家培训

Version:V1.0(2013-6-20)华为WAF应用网关产品售前专家培训1目录1市场概述与定位ClicktoaddTitle2产品亮点ClicktoaddTitle3竞争分析ClicktoaddTitle4行业方案介绍ClicktoaddTitle5订购指南ClicktoaddTitle6如何获取资源2黑客的攻击目标已从个人用户逐渐转向银行、证券、政府等单位的网站。我国与互联网相连的网络节点95%都遭到过攻击或侵入，被攻击篡改的政府网站数量与去年相比大幅增长。随之而来的是，2009年，Web应用防火墙（WAF）在国内市场出现并逐步升温。2010年，越来越多的厂商看好这一市场的潜力并加入了竞争行列。2009年，中国WAF市场容量约为2000万元左右，而2010年至少达到4000万元以上。据第三方研究机构分析，中国Web应用防火墙市场在未来3年内将保持年均3倍以上的增长速度。IDC报告：WAF国内市场容量（千万）步入青年期的WAF市场WebApplicationFirewall，简称：WAF，Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。3政府文件《国务院办公厅关于进一步加强政府网站管理工作的通知》国办函〔2011〕40号将网站防攻击放在了首位。同时国家加大了对电子商务行业的监管力度，其中《非金融机构支付管理办法》对部分电子商务公司明确了信息安全要求。无论政府还是企业依然面临严峻考验国内市场需求旺盛金融行业如银行业信息安全通用规范、证券业行信息安全指引、等级保护要求等均对WEB应用安全提出较为明确的要求。2012年出台的《关于大力推进信息化发展和切实保障信息安全的若干意见》明确提出了重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行。4产品市场定位市场定位政府行业金融行业大企业(能源)电子商务主要驱动力源自政府门户网站绩效考核制度，以及政府门户网站成为网上办事窗口的业务重要性。如《国务院办公厅关于进一步加强政府网站管理工作的通知》国办函〔2011〕40号文件明确指出政府网站必须部署网站防攻击的产品。门户网站公众服务平台门户网站在线客服系统银行网银电子商务平台门户网站在线业务平台金融行业相关指引：证券行业信息安全指引、期货行业信息安全技术指引行等。银行业银监会加大监管力度、人民银行发布19号《网上银行系统信息安全通用规范》明确要求部署WAF。证券、期货、保险业的主要用于防护门户网站。银行业主要市场在商业银行、如城市商业银行、农商银行、农村信用合作社等商业银行。电子商务业务自身安全要求，以及国家对非金融电子支付行业要求等促进了电子商务行业对WEB应用防火墙的需求。电子商务网站的流量大，对业务延时敏感高、对WAF性能功能要求苛刻。企业市场客户化服务需求促进大型企业客户门户网站，在线业务平台增长，随着web安全隐患增加，以及各类针对web应用安全事故发生。使得大型企业客户开始着重考虑针对门户，以及各类在线业务防护投入。5系统应用相对单一，以简单门户网站宣传应用为主，网站规模不大，交换机下直接部署了若干个服务器，无链路冗余、无负载均衡等设备，WAF部署在网络传统防火墙与交换机之间。典型部署场景一：小型门户网站Web防护6系统规模比较大，具备链路及设备冗余，建议部署方式如图：复杂网络环境，应用系统访问规模大，交互性强。链路及设备冗余。高安全性要求，系统采用SSL加密进行业务运行。高可用性要求，系统具有负载均衡设备。典型部署场景二：企业Web应用平台防御7目录2产品亮点ClicktoaddTitle1市场概述与定位ClicktoaddTitle3竞争分析ClicktoaddTitle4行业方案介绍ClicktoaddTitle5订购指南ClicktoaddTitle6如何获取资源8华为WAF产品特点主要体现在以下几个方面：使网站更安全使访问更快速使运维管理更智能华为WAF产品特点使网站更安全•深度安全防御•白名单安全技术•黑名单安全技术使访问更快速•高速缓存•TCP协议加速使运维管理更智能•WEB服务自发现•安全策略自学习•攻击者自动锁定功能华为WAF特性9正常访问敏感言论提交SQL注入CC攻击服务器漏洞攻击网络安全检查正常访问SQL注入CC攻击服务器漏洞攻击WEB服务安全检查WEB应用安全检查内容安全检查敏感言论提交动态生成安全规则阻断经常攻击网站的IP安全白名单检查正常访问正常请求us级转发高性能处理架构更安全更快速更轻松10链路层网络层应用服务层应用程序层应用内容层端口访问控制只允许必须的端口开放WEB服务FullProxy运行联动引擎锁定攻击者IP协议规范性检查访问频率规范性限制安全黑名单技术对可疑行为进行深入安全检查安全白名单技术通过自学习生成网站定制化策略对正常请求快速转发未知请求深入清洗内容提交与响应检测30%70%的威胁来自应用层纵深WEB安全防御更安全更快速更轻松11华为WAF集成了580多个类别的攻击特征，全面覆盖了WEB应用安全存在主要安全威胁。通过大量的漏洞挖掘与实践工作，吸纳了国内外主流的安全漏洞库特库、主流CMS漏洞特征库、主流扫描器特征库，从而使防御能力全面提升。经权威WEB漏扫测试漏报率0%，CMS兼容性测试，误报率3%。NiktoParosproxyWebScarabWebInspectJBroFuzzWhisker/libwhiskerBurpsuiteWiktoAcunetixWebVulnerabilityScannerWatchfireAppScanN-Stealth扫描器防护测试动易CMS、TRSCMS、EmpireCMS、SiteServerCMS、PHPCMSdedecms常见CMS兼容测试同时也是各网监、证监、等保、分保信息监测机构进行扫描的检测工具。黑名单安全规则的优势12攻击的特征有数万种正常请求的规律相对唯一请求的URL提交方式为:POST用户名为：8位字母和数字组合密码为：6位数字组合身份证为：18位数字字母组合自学习建模使检测既快又准自学习建模更安全更快速更轻松13对网站访问流量进行学习，滤出安全噪音后自动形成安全规则。基于学习的规则在防御参数型攻击如（注入攻击、跨站攻击）方面更高效、安全级别更高自学习生成的白名单高性能低误判而广泛应用于WEB应用系统防护中基于白名单的安全检测技术实现对0day攻击的主动防御自学习建模生成白名单规则更安全更快速更轻松14标准Web页面应用报表查询高速缓存高速缓存更安全更快速更轻松TCP协议加速15应用加速更安全更快速更轻松16全透明部署镜像模式部署代理模式部署部署方式、应用兼容性支持多种部署方式更安全更快速更轻松华为WAF支持全透明直接、镜像监测、单臂部署、负载均衡模式部署适应各种环境的需要。适应复杂的网络环境，针对网上银行、电子商务环境中的https、CDN、多级代理均能够良好的兼容。17复杂网络环境中服务器IP、域名众多，WAF实施过程经常询问多人，甚至配置错误的对象导致网站中断情况时有发生。自发现可实现即插即用勿须询问。WEB服务自发现更安全更快速更轻松18WAF策略自学习实现对客户业务的真实理解，定制化安全规则生成，一次请求仅需一次匹配即可识别安全行为。安全策略自学习更安全更快速更轻松19目录3竞争分析ClicktoaddTitle4行业方案介绍ClicktoaddTitle1市场概述与定位ClicktoaddTitle2产品亮点ClicktoaddTitle5订购指南ClicktoaddTitle6如何获取资源20竞争性分析IMPERVA梭子鱼启明星辰绿盟科技VS华为21优势劣势华为1.配置界面简洁，容易安装配置2.支持自学习建模能力3.大部分安全防护功能比较全面，攻击防护的准确率比较高4.支持日志分级记录，可记录请求头、请求体、返回头、返回体等内容5.支持访问审计，具备审计网站正常访问流量的能力6.识别真实IP，能识别SSL网关前端的真实客户端地址，并可以根据真实客户端地址提供访问控制7.支持统一管理，可对多台WAF设备进行集中统一管理8.支持防篡改功能，能够防止被篡改内容被浏览者访问到,一旦检测到被篡改，实时发送告警信息给管理员1.不支持堆叠2.不支持会话劫持攻击、不支持URL参数篡改攻击行为3.挂马攻击检测不好，部分攻击无法识别，对跳转钓鱼网站，无法检测和联动4.无钓鱼网站监测能力5.不支持故障诊断和升级回滚功能华为WAF产品竞争性分析22优势劣势IMPERVA1.web安全的领导厂商，产品功能性能都较高,单台设备达到2G，通过5台设备堆叠最大支持到10G2.自学习为其有竞争力的功能，能够让用户方便的做精细化安全防护策略制定3.支持与主流web扫描器的集成，提升命令注入、信息防泄漏等的安全防护能力4.透明桥接模式，产品性能做的较高5.与其数据库审计产品结合，提供全套的数据防泄漏解决方案1.对注入采用模式匹配的方式，存在误报2.WAF产品侧重安全防护，对国内各行业客户日前较为关注的网页篡改问题缺乏解决方案3.不支持应用加速4.不具备防挂马、防扫描工具恶意扫描、防Webshell功能5.不支持代码注入攻击防护，WSDL注入攻击防护支持不好，不支持防XML格式类型攻击6.敏感文件下载支持不好，不支持mdb文件7.误报处理时Imperva需要对整个大类进行调整，而且无法细化到某个URL8.价格比较高9.配置很细，对维护人员要求比较高，易用性不好，技术支持能力相对而言比较弱10.不支持用户安全策略快速配置11.国内技术支持服务较弱，基本是外包给代理商，不支持二次开发能力12.目前汉化做得还不够，部分策略还是以英文作为说明。华为VSIMPERVA(1)23华为VSIMPERVA(2)子项华为IMPERVA型号WAF2210WAF2230WAF5220WAF5230SecureSphereG4SecureSphereG8SecureSphereG16尺寸1U1U2U2U1U1U2U防御性能200M500M1G2G500M1G2G每秒最大处理事务数1400020000460006600022,00036,00044,000中英文支持支持中文支持中文支持中文支持中文仅支持英文仅支持英文仅支持英文支持SYSLOG、邮件、SNMP支持支持支持支持不支持SNMP不支持SNMP不支持SNMP提供PCI合规报告不支持不支持不支持不支持支持支持支持支持反向代理模式、透明模式、网关模式、旁路模式、单臂模式部署模式支持支持支持支持不支持网关模式不支持网关模式不支持网关模式系统管理可限制访问IP支持支持支持支持不支持不支持不支持固定接口6（电口）6（电口）10（电口/光口）8（电口/光口）6（电口/光口）6（电口/光口）6（电口/光口）硬盘1T1T1T1T250G250G250G供电模式ACACACACACACAC设备功耗250W250W300W460W750W750W750W24优势劣势梭子鱼1.海外知名度高，防护功能较全面2.支持IPv63.支持XML防火墙防护4.产品的性价比较高5.单臂部署模式是其特点，不用改变网络结构能保护投资1.易用性不好，策略配置复杂，初始化安装较难2.性能偏低，高端产品缺失，在IDC和应用交互领域无竞争力3.HTTPPS协议攻击不支持、对SQL命令注入支持不好，对SOAP、命令注入攻击防护、WSDL支持很差，漏报率很高防不住，直接导致受攻击数据泄露4.不支持防扫描和爬虫、对上传文件限制少，直接导致防挂木马功能差，容易被挂马5.不支持溢出攻击防护6.只有两个业务口，网络拓展性不强7.攻击防护漏报率高，又无网页防篡改功能，直接导致网站防不住8.WAF产品侧重安全防护与应用交付的整合，国内市场拓展能力弱，公司动荡影响产品发展华为VS梭子鱼(1)25华为VS梭子鱼(2)子项华为梭子鱼型号WAF2210WAF2230WAF5220WAF5230