动态Web应用防火墙
灵动River Safeplus
瑞数动态Web应用防火墙(River Safeplus)以创新的动态安全技术为核心,结合智能规则匹配及行为分析技术,形成"动态安全"+"智能威胁检测"双引擎协同工作机制,提供高效全面的Web应用防护能力,为企业Web应用安全保驾护航。
Web威胁面临的严峻挑战
Gartner报告指出,在保护企业Web应用最有效的技术中,WAF高居首位(73%),成为可显著降低Web应用漏洞风险、满足安全合规和等级保护要求的重要手段。
攻击者最常用的手段是利用Web应用程序漏洞展开攻击,例如SQL注入和跨站脚本XSS攻击。然而,伴随Web威胁的不断演变,Web攻击呈现出两类新的趋势,影响着越来越多企业Web应用的可用性和安全性,成为挑战WAF的更大安全威胁。
⊙ 利用Web开源组件漏洞或零日漏洞的攻击,如:Struts2远程命令注入,影响企业Web应用的范围极其广泛。
⊙ 大量非漏洞利用的机器人攻击(bot attack),可轻松绕过采用传统验证码的人机识别技术,以及WAF的限频率手段,造成应用层DDoS攻击。
瑞数动态Web应用防火墙(River Safeplus)
以创新的“动态安全”技术为核心,结合智能规则匹配及行为分析技术,形成“动态安全”+ “智能威胁检测”双引擎协同工作机制,提供高效全面的Web应用防护能力,为企业Web应用安全保驾护航;每个引擎可以独立开启工作,实现纵深防御!
双引擎技术
动态安全引擎
专利动态安全技术,为网站安全提供主动式安全防护。
动态安全引擎会对当前页面内的合法请求地址授予一定时间内有效的动态令牌,阻拦没有令牌的非法请求;并且通过在页面中随机自动插入动态验证脚本,实现对访问客户端的人机识别,从而识别脚本、程序等自动化攻击行为,同时保障应用逻辑的正确运行。
智能威胁检测引擎
综合利用智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,有效检测威胁攻击。
智能威胁检测引擎在用户与应用程序交互的过程中收集数据,并利用统计模型来确定HTTP请求的异常。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。
主要功能
1、漏洞隐藏防扫描
使漏洞扫描或漏洞利用工具无法发起有效自动化扫描探测,无法发现可利用的漏洞及网页目录结构。在网站未打补丁或补丁空窗期,为网站提供有效安全防护。
传统WAF
只能阻拦扫描工具中的匹配规则的攻击代码,可隐藏漏洞。
瑞数动态WAF
阻拦扫描工具和程序的执行,从而阻拦各类攻击代码,无规则防护。
2、无需规则,防0-Day
采用动态安全引擎的主动防护技术,可以在无规则升级的情况下对Web 0-Day探测进行有效阻断,对0-day探测工具进行拦截,防范于攻击之前。
传统WAF
零日漏洞爆发后,只有通过规则的更新才可以阻拦零日攻击。
瑞数动态WAF
无需规则更新,即可阻拦工具的零日漏洞探测行为。
3、应用层DoS/DDoS攻击防御
通过创新双引擎技术,防御攻击者针对资源消耗高的业务批量发起CC攻击。
传统WAF
只能通过信誉库、黑名单、限频规则设定等防御。
瑞数动态WAF
无需各类规则库的更新和调优,快速识别出工具行为进行拦截。
4、覆盖OWASP Top10 Web安全威胁防御
覆盖OWASP Top10安全攻击防御,包括:SQL或远程命令注入、跨站脚本、XML外部实体、不安全的反序列化、使用含有漏洞的组件、Webshell木马上传等。
传统WAF
通过配置WAF的策略规则进行识别和阻拦。
瑞数动态WAF
智能威胁检测引擎,轻量的策略规则,保证威胁识别的同时,简化规则配置。
5、精准追踪溯源
为每个访问被保护网站的客户端生成不依赖于设备特征的“唯一标识”,防止攻击者通过伪造客户端环境、不断更换IP地址等方式绕过追踪,从而实现精准攻击定位,结合不同于传统WAF的全访问记录,可以发现更隐蔽的攻击,精准追踪溯源。
传统WAF
通常只记录发现的异常访问日志,以及设备指纹,进行攻击定位和溯源。
瑞数动态WAF
全访问记录和不依赖于设备指纹的唯一客户端标识,可发现伪造客户端和隐蔽性攻击。
技术优势
多种部署方案
通过交换机或者路由器的配置,将流经Web服务器的流量镜像一份到WAF设备上,供WAF进行分析检测。
该部署形态分为WAF插件端和检测服务端,插件端部署在基于Nginx的负载均衡侧,并转发流量到检测服务端进行安全防护,检测服务端返回检测结果给插件端。
