H3C SecPath W2001/W2005/W2010/W2020/W2040/W2080/ W2200/W1020-D/W1040-D/W1200-D 系列 WEB 应用防火墙 产品概述 随着网络技术的不断普及与发展, 企业对外提供服务的 WEB 应用越来越多, 其遭受的各种最新的 WEB 应用攻击也越来越多 H3C SecPath Web 应用防火墙 ( 以下简称 H3C SecPath WAF) 是一款专业的 Web 应用安全防护产品, 适用于 PCI-DSS 等级保护 企业内控等信息安全规范 H3C SecPath WAF 专注于第七层防护, 采用最为先进的双引擎技术 ( 用户行为异常检测引擎 透明代理 检测引擎 ) 实现各类 SQL 注入 跨站 挂马 扫描器扫描 敏感信息泄露 盗链行为等攻击防护, 并有效防护 0day 攻击, 支持网 页防篡改 同时,H3C SecPath WAF 支持 Web 应用加速, 支持在透明代理部署模式下的 HA/Bypass, 便于部署配置以及维护 此 外,H3C SecPath WAF 支持透明代理模式 旁路监听模式 反向代理模式 网关模式等多种部署模式 H3C SecPath WAF 产品包括 W2001 W2005 W2010 W2020 W1020-D W2040 W1040-D W2080 W2200 W1200-D 十 个型号, 广泛适用于 金融 运营商 政府 公安 教育 能源 税务 工商 社保 卫生 电子商务 等所有涉及 Web 应用的 各个行业 部署 H3C SecPath WAF 产品, 可以帮助用户解决目前所面临的各类网站安全问题 W2001/W2005/W2010 W2020/W1020-D W2040 W1040-D 1
W2080 W2200/W1200-D H3C SecPath WEB 应用防火墙 产品特点 双引擎架构 白名单规则检测引擎 (WebWPDE), 快速识别 0day 攻击, 提供最佳安全防护 黑名单规则库引擎 (WebBPDE) 基于透明代理架构 (TPE) 实现 HTTP 协议完整还原, 基于多点特征检测技术, 能解析多种编码 多 HTTP 字段隐藏攻击 中文字符 大小写攻击 字符截断攻击等攻击方式, 从根源上避免绕过及穿透攻击 细粒度检测算法 精确识别 OWASP Top 10 等各种 web 通用攻击 ; 国内覆盖面最广的内容管理系统 (CMS)0day 防护策略, 有效防护第三方 CMS 漏洞 ; 独创的访问集中度和 HTTP 协议细粒度检测算法, 有效应对了应用层 CC 攻击对业务的冲击 纵深业务安全 启用智能防护锁缓解黑客持续化攻击 ; 基于 URL 粒度的安全规则实现 WEB 资源的差异化防护 ; 基于透明代理架构, 可完整识别 HTTP 协议框架, 灵活定制各种复杂 WEB 防护特定策略 ; 有效应对爬虫对商业数据的抓取行为 部署灵活运维简单 灵活多变的部署模式, 可适应各种网络环境 ; 2
站点服务自动发现, 真正即插即用 ; 策略自学习, 自动调整成最符合您业务的专属策略 ; 自动生成多维度报表, 展现您最需关注的威胁 ; 规则库实时更新, 有效应对新型 WEB 攻击 产品规格 表 1-1 H3C SecPath WAF 产品规格 属性 W2001/W2005/W20 10 W2020/W1020-D W2040/W1040-D W2080 W2200/W1200- D 接口 4 个千兆电口 4 个千兆电口 4 个千兆光口 12 个千兆电口 12 个千兆光口 12 个千兆电口 4 个千兆光口 2 个万兆光口 4 个千兆电口 4 个千兆光口 2 个万兆光口 电源配置单电源双电双电双电双电 环境 部署模式 环境温度 :5~40 (41~104 F) 环境湿度 :20~90%RH 透明代理模式 反向代理模式 旁路监控模式 路由模式 透明桥模式 防护功能 注入攻击防护 跨站脚本攻击防护 恶意软件防护 扫描工具防护 爬虫攻击防护 第三方组件漏洞防护 HTTP 协议规范性检查 CC 攻击防护 防敏感词提交 防盗链 静态页面防篡改 Cookie 安全 SQL 注入攻击 代码注入攻击 命令注入攻击等 跨站脚本攻击 IE8 的跨站攻击 CSRF 跨站请求伪造攻击 Webshell 后门 WAF 能自动识别扫描器的扫描行为, 并智能阻断如 Nikto Paros proxy WebScarab WebInspect Whisker libwhisker Burpsuite Wikto Pangolin Watchfire AppScan N-Stealth Acunetix Web Vulnerability Scanner 等多种扫描器的扫描行为 恶意网络爬虫抓取 Baidu Google Yahoo 等常见爬虫抓取 Apache Struts2 漏洞 Kuwebs phpcms TRS WCM JBR-CMS DeDeCMS 内容管理系统漏洞 Bash 漏洞 Nginx IIS Tomcat 等 WEB 服务器漏洞 协议违规 报头缺失 HTTP 方法限制 畸形请求 文件限制 头部长度限制 多种算法检测 : 指定 URL 访问速率和指定 URL 访问集中度检测 多种条件匹配 : 可基于 URL 请求头字段 目标 IP 请求方法等多种组合条件进行检测 防止提交政冶敏感 违反法规相关的言论信息, 保障网站的内容健康呈现 支持多种盗链识别算法能有效解决单一来源盗链 分布式盗链 网站数据恶意采集等信息盗取行为, 从而确保网站的资源只能通过本站才能访问 支持对 html txt jpg doc 等静态文件进行篡改监控与恢复 支持学习 防护 仅检测 定时等多种运行模式 支持原始文件和篡改文件下载 支持 Cookie 自学习 支持 Cookie 防篡改 防劫持 支持 Httponly 3
属性 W2001/W2005/W20 10 W2020/W1020-D W2040/W1040-D W2080 W2200/W1200- D 编码识别 URL 编码 Base64 编码 HTML 编码 16 进制编码 规则库更新 防御动作 规则库支持云端在线更新, 确保 WAF 能够针对新型的 突发型的 Web 攻击进行防护 支持规则包上传离线更新 针对触发安全规则的行为进行阻断并发出告警页面 告警页面支持重定向至其它 URL 能将攻击者列入网络黑名单进行网络阻断该 IP 的访问 对攻击报文丢弃 仅对攻击告警不阻断 能将攻击者列入网络黑名单进行网络阻断该 IP 的访问 自学习建模 WEB 访问行为合规 服务器隐藏 自定义规则 访问控制 支持网站自学习建模功能, 能通过自学习形成网站 URL 树 通过自学习能生成安全防护策略 通过自学习能发现参数的名称 类型 匹配频率 支持对访问流程的校验 发现访问违反合规的直接被拦截并产生告警日志 支持服务器信息隐藏 可配置删除服务器响应头信息 支持对 HTTP 请求中 URI HOST 参数 参数名 请求头 Cookie 版本号 方法和请求体及 HTTP 响应的响应体等条件进行自定义正则 支持多种组合条件 支持对客户端 IP 放行或阻断 应用交付 日志报表 页面缓存压缩日志报表 支持 html txt jpg doc 等静态文件缓存 支持缓存老化时间 支持响应内容 gzip 算法压缩 支持对压缩的响应内容识别 应用防护日志 网络防护日志 CC 防护日志 访问审计日志 防篡改日志 操作日志 系统日志 升级日志 支持攻击事件 告警等级 被攻击服务器 IP 攻击者 IP 攻击入口等不同报表模板 支持组合报表 支持定时报表, 并发送到邮箱 支持报表导出为 Word pdf html 等多种格式 高可靠性 SSL 透明代理 告警 支持全透明集群模式 主备模式支持硬件 BYPASS 软件 BYPASS 支持 HTTPS 服务器的防护, 可支持第三方认证机构颁发的证书链, 实现 HTTPS 应用系统的防御部署在 SSL 网关后面, 能够解析到真实的访问者 IP, 并能对真实的 IP 进行防护和阻断支持 Syslog 手机短信 邮件等多种告警方式 安全审计 请求信息 响应信息 能记录攻击事件的 HTTP 请求头信息, 含请求的 URL UserAgent POST 内容,cookie 等所有的请求头内容 能记录服务器响应头信息, 服务器响应内容 4
属性 设备管理 W2001/W2005/W20 10 监控管理 W2020/W1020-D W2040/W1040-D W2080 通过 Console 口进行本地配置 设备管理采用管理员与审计员分离 操作界面支持全中文 W2200/W1200- D 支持设备自身状态查看 : 系统负载 业务流量 接口状态等信息, 并可查看历史数据 支持系统升级 支持 Web 方式进行远程配置管理 典型组网 企业级 DMZ 应用防护解决方案 SecPath WAF 设备以透明方式接入企业网 教育网等网络的 DMZ 区域, 对访问 WEB 服务器的流量进行检测和分析, 可防范各种来自外部的注入 XSS Webshell 等 WEB 攻击, 能够有效的保障关键业务, 且不影响现有网络拓扑 数据区域 DB Internet DMZ-2 SecPath Firewall SecPath WAF TRUST DMZ 区 DMZ-1 FTP MAIL 内网用户区 WEB SecPath WAF 在 DMZ 区域中部署示意图 数据中心解决方案 将设备以旁路牵引方式部署在数据中心交换机上, 通过路由器启用策略路由方式将访问 WEB 区的流量下一跳指向到 WAF 上, 可防 范来自外部对于 WEB 区发起的攻击 一般来说, 旁路部署模式多用于数据中心或运营商 下图是 H3C SecPath WAF 在运营商网络 分布式旁挂的典型组网 5
Internet1 Internet2 Router Switch WEB 区 SecPatch WAF 应用区 数据库区 SecPath WAF 在数据中心中的部署示意图 订购信息 H3C SecPath WAF 系列是 H3C 公司自主开发的 WAF 产品, 用户可以根据实际需求按照型号进行选购 主机配置 根据产品具体型号选择配置的机箱表 1-2 选购一览表 (1) 主机选购一览表主机 描述 备注 H3C SecPath W2001 H3C SecPath W2001 主机 必配 H3C SecPath W2005 H3C SecPath W2005 主机 必配 H3C SecPath W2010 H3C SecPath W2010 主机 必配 H3C SecPath W2020 H3C SecPath W2020 主机 必配 H3C SecPath W2040 H3C SecPath W2040 主机 必配 H3C SecPath W2080 H3C SecPath W2080 主机 必配 H3C SecPath W2200 H3C SecPath W2200 主机 必配 H3C SecPath W1020-D H3C SecPath W1020-D 主机 必配 H3C SecPath W1040-D H3C SecPath W1040-D 主机 必配 6
主机描述备注 H3C SecPath W1200-D H3C SecPath W1200-D 主机必配 (2) 特征库授权选购一览表 模块 数量 备注 H3C SecPath W2001/2005 Web 应用特征库升级授权 ( 一年 ) 1 选配 H3C SecPath W2010/2020/2040/2080 Web 应用特征库升级 ( 一年 ) 1 选配 H3C SecPath W2200 Web 应用特征库升级 ( 一年 ) 1 选配 H3C SecPath W1020/1040-D WEB 应用特征库升级 ( 一年 ) 1 选配 H3C SecPath W1200-D WEB 应用特征库升级 ( 一年 ) 1 选配 杭州华三通信技术有限公司 http://www.h3c.com.cn 杭州基地 杭州市滨江区长河路 466 号 邮编 :310053 电话 :0571-86760000 传真 :0571-86760001 版本 :20120316-V1.0 北京分部 北京市宣武门外大街 10 号庄胜广场中 央办公楼南翼 16 层 邮编 :100052 电话 :010-63108666 传真 :010-63108777 客户服务热线 400-810-0504 800-810-0504 Copyright 2012 杭州华三通信技术有限公司保留一切权利免责声明 : 虽然 H3C 试图在本资料中提供准确的信息, 但不保证资料的内容不含有技术性误差或印刷性错误, 为此 H3C 对本资料中的不准确不承担任何责任 H3C 保留在没有通知或提示的情况下对本资料的内容进行修改的权利 7