欢迎user
H3C SecPath W2000 Web应用防火墙是由新华三技术有限公司(以下简称H3C公司)在多年的安全研究沉淀和服务实践经验的基础上开发的国产化应用安全产品。部署在用户的WEB应用服务器前面,对面向WEB应用系统的攻击进行防御。不仅用于保护面向互联网的WEB应用,还可以部署在内部WEB应用服务器之前,对内部的业务访问进行访问控制和业务审计,防范来自内部的威胁。相较于传统的防火墙和入侵防御系统,H3C SecPath W2000 Web应用防火墙更专注于WEB应用自身的漏洞,并提供了SSL加速、抗DDoS、应用负载均衡等WEB应用安全模块,是一款多安全引擎、高性价比的WEB应用安全产品。
采用高性能海光CPU,让H3C Web应用防火墙的核心器件实现国产化,此外使得WAF的防护性能得到极大提升,W2000-CN20的HTTP吞吐达到1.5Gbps,W2000-CN40的HTTP吞吐达到6Gbps,W2000-CN80的HTTP吞吐达到10Gbps。
H3C SecPath W2000 Web应用防火墙是通过OWASP产品认证的Web应用安全产品,对WEB攻击的防御达到国际先进水平。
OWASP-Top10
A1—注入
A2—失效的身份认证和会话管理
A3—跨站脚本(XSS)
A4—失效的访问控制
A5—安全配置错误
A6—敏感信息泄露
A7—攻击检测与防范不足
A8—跨站请求伪造(CSRF)
A9—使用含有已知漏洞的组件
A10—未受保护的APIs
H3C SecPath W2000 Web应用防火墙支持WEB负载均衡技术,通过内置的多种负载均衡算法,有效提高WEB服务的响应速度和访问者的体验感,通过WEB负载均衡功能,能够提高WEB应用系统的整体性能和扩展性能。
H3C SecPath W2000 Web应用防火墙的防DDoS攻击模块采用主动监测加被动跟踪相互结合的防护技术,可辨识多种DDoS攻击,并启用特有的阻断方式,能够高效地完成对DDoS攻击的过滤和防护。针对互联网中常见的DDoS攻击手段,提供多种防护手段结合的方式,有效的阻断攻击行为,从而确保服务器可以正常提供服务。
H3C SecPath W2000 Web应用防火墙针对SSL加密应用,根据业务模型提供HTTPS卸载和HTTPS加速应用,以提供更佳的客户体验并降低服务器负载。SSL加密已经日益成为当今网站普遍采取的一种安全访问形式,在提供了更高的安全性的同时,也带来了更高的服务器开销。通过将SSL功能转移到WEB应用防火墙产品上来完成,客观上分担了服务器的计算量。另外,由于SSL加密内容不能被网络安全设备审计,客观上降低了网络安全的防护能力。通过对SSL数据进行合法解密,H3C SecPath W2000 Web应用防火墙可以继续对WEB应用进行有效的保护。
H3C SecPath W2000 Web应用防火墙内置态势分析系统,无需与监控设备联动,可实时展示安全攻击态势,对流量事件和攻击事件进行分析,对关键的信息钻取,做可视化呈现。
H3C SecPath W2000 Web应用防火墙可自动学习流量中的Web访问流量,将网站目录结构、请求方法、条件参数及流量明细等全部相关信息自动生成至本地并建立模型,一方面可以对网站运行情况进行可视化的统计,另一方面直接根据学习结果建立对应的黑白名单及细粒度控制策略,并依据业务的访问情况和安全状态动态进行学习调整
表1-1 H3C SecPath W2000 Web应用防火墙 产品规格
菜单 | 功能 | |
状态监控 | 系统预览 | 展示资产状态、攻击统计、封禁状态、攻击趋势等信息 |
实时态势监测 | 查看实时态势监测地图和数据。 | |
攻击态势基础配置 | 配置攻击态势的基础信息。 | |
系统状态 | 展示CPU、内存、硬盘使用的数据 | |
连接监控 | 查询并展示连接信息 | |
接口流量 | 展示接口的流量、速率信息 | |
资产状态 | 展示资产状态 | |
封禁IP展示 | 封禁IP展示 | |
基础配置 | 防护资产 | 查看与编辑配置防护资产 |
资产定时下线 | 对资产自定义配置下线日期及时间以及星期配置 | |
基础对象配置 | 配置IP、URL对象组,并添加例外URL | |
规则库展示 | 展示web防护特征库 | |
阻断返回信息 | 配置阻断返回信息 | |
敏感词管理 | 支持敏感词增加、编辑、导入、导出 | |
弱密码管理 | 支持弱密码增加、查询、导入、导出 | |
安全防护 | 协议合规检测 | 配置协议合规检测策略 |
协议合规检测模板 | 配置协议合规检测模板 | |
web攻击防护策略 | 配置web攻击防护策略 | |
web攻击防护模板 | 配置web攻击防护模板 | |
web业务控制策略 | 配置web业务控制策略 | |
web业务控制模板 | 配置web业务控制模板 | |
web敏感信息防护策略 | 配置敏感信息防护策略 | |
web敏感信息防护模板 | 配置敏感信息防护模板 | |
web业务加固策略 | 配置web业务加固策略 | |
web业务加固模板 | 配合web业务加固模板 | |
DDOS攻击防护策略 | 配置DDoS防护策略 | |
DDOS攻击防护模板 | 配置DDOS防护模板 | |
主动防御 | 爬虫陷阱 | 支持爬虫陷阱策略配置 |
虚拟补丁 | 支持虚拟补丁导入 | |
安全扫描 | 支持查看并添加漏洞检测策略 | |
访问控制 | IP黑白名单 | 定义访问控制的IP黑白名单 |
URL黑白名单 | 定义访问控制的URL黑白名单 | |
IP访问控制 | 支持配置IP访问控制策略 | |
HTTP访问控制 | 支持配置HTTP访问控制策略 | |
外联检测 | URL外联检测策略 | 支持添加编辑URL外联检测策略 |
自定义外联URL | 支持添加外联URL | |
网页防篡改 | 防护端探测 | 支持查看防护端探测详情 |
防护端配置 | 支持添加防护服务器,选择工作模式,支持一键启用、一键停止防护 | |
防护端状态 | 支持查看防护端状态详情 | |
机器学习 | 流量限速 | 支持添加流量限速策略 |
站点自学习 | 支持选择样本数,选择学习时段与处理时间 | |
策略配置 | 支持策略添加,选择应用资产、请求方法、例外URL | |
模式配置 | 支持资产添加与web主机添加 | |
URL结果展示 | 支持资产树形图,URL列表视图结果展示 | |
URL防护配置 | 支持添加URL | |
cookie结果展示 | 支持cookie结果查看 | |
代理网关 | 数据压缩 | 支持添加新建数据压缩 |
高速缓存 | 支持高速缓存 | |
系统配置 | 系统信息配置 | 支持自定义设置团体名称、城市、国家、电子邮件、系统超时时间、主机名 |
时间配置 | 支持时间设置、 | |
远程管理 | 支持添加远程管理IP、 | |
DNS配置 | 支持主备DNS配置 | |
态势配置 | 支持配置防护对象区域与logo,配置态势 | |
WebUI配置 | 支持WebUI端口配置 | |
SSH远程连接配置 | 支持ssh远程连接映射端口与公网地址配置 | |
授权管理 | 支持文件上传升级授权、 | |
告警配置 | 支持日志告警配置 | |
登录管理 | 支持普通登录与Radius登录 | |
策略管理 | 支持对合规策略、攻击防护策略、业务控制策略、敏感信息防护策略、业务加固策略等进行统一管理,包括修改时间、策略变更、修改原因等。 | |
系统升级 | 支持从本地导入升级、ftp服务器升级 | |
Web防护特征库升级 | 支持从本地导入、ftp服务器、代理服务器升级升级 | |
备份恢复 | 支持手动、自动、导入备份 | |
运维工具 | 支持Webshell、Ping、Telnet、Tcpdump、Traceroute、SNMP等配置 | |
系统操作 | 支持重启,关机与恢复出厂设置 | |
网络管理 | 网络配置 | 配置Port接口,Channel接口,网桥接口和Trunk接口 |
ARP配置 | 配置静态ARP、动态ARP | |
路由配置 | 配置静态路由、策略路由 | |
高可用性 | HA管理 | 配置VRRP实例、配置同步 |
端口联动 | 配置端口联动 | |
过载保护 | 配置过载保护 | |
Bypass | 配置自动、手动Bypass | |
日志报表 | 防护日志 | 查看防护日志和日志统计信息 |
外联日志 | 查看外联日志 | |
防篡改日志 | 查看网页防篡改日志和日志统计信息 | |
访问日志 | 查看访问日志和日志统计信息 | |
审计日志 | 查看审计日志 | |
报表导出 | 支持日志导出 | |
日志备份 | 支持手动与自动日志备份 | |
外发配置 | 支持syslog、微信、邮件外发配置 |
WEB应用往往是组织内的重要业务系统,稳定性要求较高,对于安全产品的部署模式有着多种多样的需求。H3C SecPath W2000 Web应用防火墙能够与客户的网络架构高度融合,支持镜像监测模式、镜像阻断防护模式、透明代理防护模式、透明防护模式、透明反向代理防护模式、反向代理防护模式等多种防护方式,符合客户的IT管理要求。