aqgg
产品介绍

山石网科W系列国产化Web应用防火墙
SG-6000-W5160-GC

山石网科Web应用防火墙是新一代专业Web应用安全防护产品,其中,W5160-GC是山石网科公司基于国产关键元器件和国产操作系统,推出的国产化Web应用防火墙(以下简称:山石网科WAF),专注于为网站及Web应用系统提供专业的应用层深度防御。广泛适用于政府、企业、金融、教育等行业中涉及Web应用安全防护的场景,满足如PCI-DSS、等级保护、行业规范等政策法规的安全建设要求。
山石网科WAF采用双安全检测引擎,通过透明代理、智能自学习、数字水印等多种先进技术,能够有效抵御SQL注入攻击、跨站脚本(XSS)攻击、挂马、恶意扫描等常见Web攻击,支持敏感信息防泄露、网页防篡改、应用层DDoS防护、防暴力破解攻击等功能,最大限度的保障网站运行安全;同时,山石网科WAF支持Web应用加速、应用负载均衡、Bypass和HA等功能,为Web应用提供全方位的防护解决方案。

产品价值

保护网站和关键业务系统
网站是政府机关和企事业单位对外展示形象的窗口,对于一些行业来说,网站也是重要的业务支撑系统。山石网科WAF能够对各种网络层和应用层攻击进行检测和防御,比如包括注入攻击、跨站脚本(XSS)攻击、漏洞攻击在内的OWASP(Open Web Application Security Project,开放Web应用安全项目)十大安全风险,网络层及应用层DDoS攻击,暴力破解攻击等,确保网站和关键业务系统的稳定运行。

满足等级保护合规要求
根据网络安全法和《网络安全等级保护条例》的要求,网络运营者应当”…保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。相对于内网,暴露在互联网中的网站更容易遭受黑客的攻击和篡改,在这种情况下,网站运营者既是受害者,又是责任的承担者。山石网科WAF帮助网站运营者防患于未然,满足合规要求。

可持续安全运营
山石网科WAF支持威胁情报中心情报推送&查询;检测数据可以上送态势感知平台进行全网智能运维分析;同时还可以结合山石网科安全服务团队,以硬件+服务的形式提供服务,助力客户实现可持续安全运营。

智能的Web资产自发现
随着应用的扩展,需要保护的网站可能达上百个之多,且分散于不同的业务部门。山石网科WAF支持智能Web资产自发现,可以自动侦测系统中的 Web网站,并一键添加为保护对象,不漏掉一个保护。

静态及动态网页防篡改
网站篡改的技术门槛低,传播速度快,社会影响大,是黑客经常采用的攻击手段。山石网科WAF通过缓存技术对静态网站提供防篡改功能,同时对基于SQL注入的篡改行为进行阻断。配合山石网科网页防篡改系统,可以实现对动态网页的篡改防护,确保从源头解决篡改难题。

双引擎检测-语义分析+规则匹配
通过业内创新的语义分析+规则匹配双引擎检测技术,结合词法/语法分析,基于理解语言规范基础上,结合上下文进行关联分析,支持多层递归解码还原威胁,检测率大幅上升。

大屏可视
山石网科WAF支持大屏可视,支持中国地图与世界地图切换,更动态、直观的展示攻击趋势;支持展示设备热点威胁事件,最新威胁事件;支持展示站点威胁的等级分布,风险站点,站点总数,站点性能。

实时检测网站健康,异常一键关停
敏感网站一旦被黑客攻破或篡改,就需要快速关停避免损失扩大。通过山石网科云景APP,联动山石网科WAF防篡改功能,可以实时监测网站是否被篡改,自动实现3分钟快速关停被篡改网站,避免损失进一步扩大。

敏感信息防泄露(Web)
敏感信息(加*),不影响正常业务:个人信息防泄漏∶手机,邮箱,身份证,银行卡号等;敏感词防泄漏∶敏感政治倾向、暴力倾向、不健康色彩。  

智能日志分析+多级日志聚合
智能日志分析(误报分析+威胁分析) + 多级日志聚合,精简海量日志,降低运维成本。

多级逃生机制
多级逃生机制,逃生方式包括引擎检测耗时超时放行;Fail-open;基于硬件Bypass的过载保护。层次化的多级逃生机制可提高业务的高可用性,保障业务平稳运行。

功能规格

Web应用防护

  • 系统具备HTTP协议异常防御能力
  • 支持SSL透明代理,可以对HTTPS网站进行保护
  • HTTPS站点支持证书链检测
  • 针对HTTP快速Flood和慢速Flood攻击进行防护
  • HTTP Flooding,暴力破解攻击支持基于用户IP统计以及验证码,速率限制等多种防护方式
  • 系统具备注入攻击防御能力,可以对SQL注入、LDAP注入、SSI指令注入、Xpath注入、命令注入、远程文件包含、本地包含、代码注入、邮件注入、XML注入以及其它注入进行防御
  • 系统具备跨站攻击防御能力,可以对XSS和CSRF攻击进行防御
  • 系统具备对SQL注入和XSS攻击的智能语义检测能力
  • 支持配置不同的XSS /SQL注入语义检测规则敏感度,以防护不同级别的威胁,提高检测的精准度
  • 系统具备信息泄露防御能力,可以防止服务器错误、数据库错误、Web目录内容、程序代码、关键字(支持中文)等信息的泄露
  • 具备个人敏感信息防泄漏功能,可以检测到个人身份信息(包括中国大陆身份证号、港澳台身份证号、美国社会安全号)、银行卡号、信用卡号、邮件账号的信息泄露,支持对敏感信息的脱敏操作(替换为指定字符)
  • 系统具备保护Cookie安全能力,可以防止Cookie被恶意篡改、Cookie被恶意劫持,支持Cookie签名和Cookie加密功能
  • 系统具备探测访问控制能力,可以对扫描器的扫描行为、爬虫行为、目录遍历行为进行防御
  • 支持基于客户端IP对HTTP访问进行细粒度控制,可以匹配HTTP操作方法、HTTP头名称、HTTP内容类型、HTTP协议版本、URI路径等
  • 系统具备特殊漏洞攻击防御能力,针对Web服务器、Web框架、Web应用程序的漏洞及其它漏洞攻击进行防御
  • 系统具备防御资源非法访问能力,可以对非法上传、非法下载和盗链攻击进行防御,支持根据文件大小、MIME文件类型、扩展名进行非法下载控制,非法上传支持依据文件内容和文件扩展名检测文件类型
  • 系统具备恶意软件防御能力,针对WebShell、木马攻击等进行防御
  • 系统具备防暴力破解攻击能力
  • 部署在负载均衡设备或代理服务器之后时,可以解析源IP地址,支持X-Forward-For和TCP Option获取客户端真实源IP,对客户端的真实IP进行阻断
  • 支持用户自定义规则
  • 提供预定义防护策略模板,支持自定义防护策略
  • 特征库支持网络实时更新
  • 支持API的安全检测和防护功能,可基于OpenAPI规范文档,实现合规性检测
  • 支持配置站点状态为网站维护状态
  • 支持配置站点状态为转发状态
  • 支持批量修改站点配置(站点状态、安全策略仅告警、Web访问日志状态、站点安全策略、SSL/TLS证书链、报表)
  • 支持重保模式,重保模式推荐配置,重保模式配置还原;新增加重保策略,重保策略模板;

网页篡改检测

  • 支持学习模式和保护模式两种运行模式
  • 支持防护内容的相似度比较
  • 支持自定义防护的静态网页类型,支持对例外URL不做防篡改保护,支持时间表设置防护时间段
  • 内置同步引擎同步服务器内容并建立基线
  • 支持篡改监控和正常修改监控
  • 支持篡改内容取证
  • 发现篡改行为时,支持一键断网阻止对网站的访问

Web漏洞扫描及虚拟补丁

  • 产品支持Web应用漏扫
  • 支持扫描各种类型的Web漏洞包括:SQL注入漏洞、XSS攻击漏洞、Web服务漏洞、信息泄露漏洞、异常访问漏洞
  • 支持普通扫描和侵入式扫描
  • 支持对需要认证的Web页面进行扫描
  • 支持对目录深度、链接总数、文件数进行限制
  • 支持手动扫描和定期扫描,可以定期自动扫描
  • 扫描报告支持导出,支持PDF、XML文件报告

网络安全防护

  • 支持根据漏洞扫描结果,或者导入的报告生成虚拟补丁,对网站的漏洞进行快速保护
  • 支持抗拒绝服务攻击,包括:Ping of Death、Teardrop攻击、IP分片攻击、Smurf及 Fraggle攻击、Land攻击、ICMP大包攻击等
  • 支持对DNS查询洪泛攻击进行防护,可以根据源和目的设置警戒值
  • 针对TCP协议异常的防护
  • 针对IP地址扫描/欺骗、端口扫描进行防护
  • Flood防护包括ICMP Flood、UDP Flood、SYN Flood等
  • 支持IP信誉库,阻断恶意IP
  • 联动山石云·景APP,实现一键断网
  • 支持Host 、User-Agent 、Accept 、Accept-Language、Accept-Encoding、 Referer、Cookie等HTTP头部的策略控制
  • 在串联、牵引、单臂和反向代理模式支持HTTP2
  • 在旁路监听模式下支持HTTPS解析,支持IPv6流量的检测
  • 访问控制策略支持时间表

IPv6协议

  • 支持IPv4、IPv6双栈部署,可同时添加IPv4和IPv6地址为保护站点

自学习策略

  • 支持对IPv4/IPv6访问流量的检测和保护
  • 支持对保护站点的流量进行智能学习,并根据学习结果生成针对性的防护策略
  • 学习的内容包括:动态URL地址、URL参数、HTTP访问方法、Cookie等信息
  • 支持学习模式和保护模式,学习完成后可以自动切换到保护模式
  • 支持对特定URL例外,不进行学习

防御动作

  • 支持对触发规则行为仅告警
  • 支持针对触发安全规则的行为进行阻断并发出告警页面
  • 支持用户对阻断告警页面进行自定义
  • 支持告警页面重定向至其它URL
  • 支持以安全日志为入口添加白名单(例外规则),支持基于URL、源IP、HTTP头部、请求行参数和请求体的例外规则,支持基于全局和基于站点的规则例外
  • 支持将攻击者加入黑名单,对后续的访问进行阻断
  • 支持IP,URL白名单
  • 支持与防火墙联动,下发黑名单
  • 根据GeoIP进行访问控制,支持限制国外地区的访问
  • 联动威胁情报平台,对发现的威胁事件,查询相关IP、文件的威胁情报详情
  • 支持从威胁情报平台获取热点威胁情报信息

部署模式

  • 支持透明串接部署,无需变更网络配置
  • 支持镜像监听部署,无需变更网络配置
  • 支持反向代理部署
  • 支持单臂部署模式
  • 支持牵引部署模式
  • 支持串联监听部署,无需变更网络配置,支持MPLS流量检测
  • 支持站点自发现,能够发现网络中的Web网站,并一键添加为保护站点
  • 支持默认站点,提高上线的效率
  • 支持单臂模式和反向代理模式下,站点配置非接口IP,并支持ARP应答
  • 支持图形化部署向导
  • WAF多站点支持路由隔离

虚拟化部署

  • 支持虚拟化,可以在VMware 、KVM 、Openstack、Xen平台上部署
  • 支持内置Agent,如VMware Tools和Cloud-init
  • 支持阿里云,华为云,天翼云,腾讯云,AWS,移动云,百度智能云,EasyStack,华云,宝之云
  • 支持在国产ARM平台(飞腾、鲲鹏)部署
  • 公有云环境中支持HA部署(阿里云、AWS)
  • 支持通过授权管理系统(LMS)进行授权管理
  • 支持Restful API,可以通过第三方云管理平台进行安全编排
  • 支持网卡热插拔、SR-IOV和弹性扩容,为用户提供可扩展的安全防护能力
  • 支持RESTful API

高可用性

  • 支持HA-AP双机热备功能
  • 支持HA-AA双主Peer Mode模式
  • 通过内置或外置的组件,支持断电Bypass功能
  • 所有标配业务电口都支持硬件Bypass功能
  • 扩展接口支持内置硬件Bypass
  • 支持软件Bypass(透明和代理模式下),在CPU、并发连接数超过阈值时,可优先确保业务连通性
  • 支持多级逃生机制
  • 支持引擎检测耗时超时放行逃生方式
  • 在串联和串联监听模式下,支持基于硬件Bypass的过载保护逃生方式
  • 在串联、反向代理、单臂、牵引模式下,支持开启Fail-open逃生方式

应用加速及服务器负载均衡

  • 支持Web Cache、页面压缩和TCP连接复用,支持SSL卸载/SSL代理,降低Web服务器压力
  • 支持SSL硬件加速
  • 支持服务器负载均衡(反向代理和单臂模式下),支持加权轮询、最少连接以及IP Hash算法
  • 服务器负载均衡支持IPv6,支持网站IPv6改造
  • 支持对服务器的健康检查,可以自定义健康检查所使用的URL对象
  • 支持X-Header用作负载均衡IP
  • 支持对HTTP GET、HEAD、POST和PUT请求的响应内容进行静态资源缓存,减少客户端与服务器的交互次数,加快站点的处理速度

网络及接口配置

  • 支持静态路由
  • 支持集聚接口
  • 支持Vlan子接口
  • 支持多vSwitch、virtual-wrie
  • 支持LLDP协议

设备管理

  • 支持HTTP、HTTPS、SSH、Console等多种管理方式,支持配置可信管理主机
  • 支持多级管理权限设置功能,预定义系统管理员、操作员、审计员等管理角色
  • 管理员认证支持:本地认证、Radius、TACAS-C+认证
  • 设备运行状态显示,包括硬盘、内存和CPU、温度利用率的概览显示和详细信息显示
  • 支持通过山石网科HSM进行集中管理,可以通过山石网科HSM进行多台WAF设备的集中升级
  • 支持山石云景,用户可以方便的通过手机客户端了解WAF的运行状态
  • 系统支持hping/tcpdump/curl/dpdump运维工具

日志、报表和告警

  • 提供丰富的日志信息,包括设备管理日志、网络安全日志、Web安全日志、防篡改日志、访问控制日志、自学习模型违背日志、Web访问日志等
  • 支持记录攻击事件的HTTP所有请求信息, 含请求的URL、UserAgent、POST内容, Cookie等
  • 支持记录服务器响应内容信息
  • 支持通过电子邮件、SNMP、SYSLOG、短信等多种响应方式进行告警
  • 支持多维度日志聚合,可以根据防护规则、客户端IP对威胁日志进行聚合显示
  • 支持智能日志分析,包括威胁分析和误报分析,可以根据分析结果,对安全策略进行一键优化,提升防护效果
  • 支持攻击回放,可帮助管理员快速分析、定位网络中的威胁与攻击。
  • 支持误报反馈,将管理员怀疑为误报的日志进行上报
  • 支持Web安全日志删除功能
  • 支持Web安全日志导出攻击内容
  • 支持日志转存到FTP功能
  • 支持用户自定义报表
  • 支持PDF、DOC、HTML格式的报表输出
  • 支持周期性报表输出
  • 邮件服务器支持START TLS和SSL加密传输
  • 支持用户会话跟踪策略,日志中增加用户名,会话标识符和会话标识值
  • WAF页面支持攻击源显示国家,地区
  • 支持报表,提供安全风险概览、站点风险详情、攻击类型详情、站点访问量、网络层攻击汇总、系统运行状况等多维度报表模板
  • 支持通过FTP及邮件发送报表
  • Web安全日志中支持记录响应报文信息
  • Web安全日志、API防护日志及自学习模型违背日志中支持显示响应体内容,为用户分析攻击行为提供更多的判断依据
  • Web 安全日志记录非Web攻击流量,Web安全日志防护动作颜色标识;Web安全日志显示优化,客户端IP一键“添加过滤条件”
  • 支持PCI-DSS报表,可根据PCI-DSS规范,评估保护站点的合规性
  • 支持弱口令检测,包括密码字段、用户名字段及密码复杂度检测配置,支持与用户会话跟踪策略联动,提供账号安全概览
  • 支持对HTTP协议异常、信息泄露、跨站攻击、探测访问及用户自定义等防护规则产生的Web安全日志进行归并,可有效减少日志数量、降低日志误报率
  • 支持对站点的Web访问日志进行IP/URL 筛选记录,减少冗余日志

升级支持

  • 特征库可以通过人工或者自动方式进行WAF设备的升级,升级过程中不需重启设备,并能保持原有会话连接不中断

大屏可视

  • 支持中国地图与世界地图切换,更动态、直观的展示攻击趋势
  • 支持展示设备感知到的所有威胁
  • 支持展示设备热点威胁事件,最新威胁事件
  • 支持展示站点威胁的等级分布、站点总数,风险站点
  • 支持站点性能展示

配置管理

  • HTTPS证书管理,支持证书导出、证书详情查看、有效性检查
  • 支持导出打包配置支持导出自定义错误页面、永久阻断黑名单、默认站点配置

硬件规格