论文部分内容阅读
神州数码网络有限公司(以下简称DCN)作为国内知名的网络设备供应商,始终关注网络安全的发展。在努力提高网络设备安全性的同时,DCN依托多年网络产品的研发经验,整合神州数码集团的资源优势,投入到网络安全领域并取得了重大技术突破,DCFW-1800-WAF系列Web应用防火墙(以下简称DCN WAF)就是神州数码网络十年磨一剑的力作。
神州数码DCFW-1800-WAF 系列Web应用防火墙是神州数码研究开发的面向政府、教育、企业行业用户的新一代高性能应用层网络安全网关,能够为各种用户规模的Web应用提供立体化安全防护解决方案。
产品架构
DCN WAF的产品包含安全中心、功能引擎、特征维护三大部分,方便用户在各种网络环境下的部署和管理。
安全中心包括管理中心、数据中心、日志报警、告警模块等组件,给用户呈现被保护网站的方方面面量化数据。功能引擎实现多种防护功能,保障被保护网站的可用性、安全性、可靠性、可视性等方面。特征维护以DCN应用安全防御中心为核心,定期更新攻击特征库、网站漏洞库和应用安全知识库,并通过规则升级加载到DCN WAF产品设备中,保障DCN WAF的防护效果。
产品特性
DCN WAF具有以下主要特点:HTTPS加密信息防护,多维细粒度防护引擎,及时权威的攻击特征库,强大灵活的策略模板,安全可靠的产品系统。下面分别加以阐述:
多维细粒度防护引擎
DCN WAF采用了业界领先的多维细粒度防护引擎,解决了网络层防护深度不够和应用层防护的效率低下的难题。
DCN WAF采用多核处理技术,并行深度处理Web请求会话内容,能支持大访问量网站的应用层防护,达到高效的防护效果。防护引擎的多维防护体现在:DCN WAF的攻击检测是攻击特征匹配和异常行为建模相结合的检测策略,当有新出现的0day攻击爆发时,即使攻击特征库没有及时更新,DCN WAF也能根据攻击行为防护住未知攻击。DCN WAF同时检测Web会话发送的请求和返回的内容,从请求和返回两个方面结合判断攻击行为。DCN WAF不仅能防护SQL注入、XSS跨站脚本等攻击行为,还能防护漏洞扫描、cookie会话安全、木马上传等全系列攻击行为,横跨黑客攻击的各个阶段。防护引擎的细粒度防护体现在:DCN WAF基于代理模式工作,协议还原最彻底。DCN WAF的协议检查内容涵盖HTTP协议头、cookie内容和上传下载的内容,检查点最多。
及时权威的攻击特征库
DCN WAF的防护功能依托神州数码网络对国内政府、教育、行业客户网站和应用系统的深入了解。DCN作为国内知名的信息化建设提供商,建设了多个行业的多个应用系统平台,对DCN WAF的保护对象系统理解深刻。神州数码网络在全国各地建有多个技术支持平台,上百位技术专家在DCN WAF的目标客户遇到问题时及时去现场解决。因此,DCN WAF能得到目标市场最多最快的问题反馈,能更有针对性地制作攻击特征库。
DCN WAF的防护功能依托DCN应用防御中心的强大支持。DCN和中科院信息安全国家重点实验室合作,依托中科院信息安全国家重点实验室的科研实力共建DCN应用防御中心。DCN应用防御中心监控和分析国内政府、教育等行业客户的网站和应用系统出现的漏洞和攻击情况,及时形成DCN WAF的检测特征库。通过特征库的不断升级和更新,DCN WAF能够有效检测和防御各种最新的攻击。
强大灵活的策略模板
DCN WAF具备强大灵活的策略模板机制,在保护多个网站、多个服务器的情况下,能为每个网站和服务器的自身特点自定义不同的防护策略。DCN WAF的策略配置都使用包括URL、IP地址、时间、关键字等元素在内的预定义对象以及对象组完成,通过组的概念可以简化网络管理员的配置工作,提高产品的可用性。
安全可靠的产品系统
DCN WAF采用专用DCNOS实时并行操作系统,其并行的处理能力和模块化的结构易于集成和扩展安全功能,并针对多核并行处理进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和并行多任务的处理机制,为神州数码新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。积累多年被证实的专业硬件安全产品研发和市场经验,DCN WAF在软硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统拥有高稳定性和高可靠性,为网络流量和网络攻击日益膨胀的企业IT 环境提供了强大的保障。DCN WAF支持双机热备和bypass功能,不会成为网络上的故障点,能够在最大程度上确保企业关键业务的不间断运行。
产品部署
透明代理模式
DCN WAF支持透明模式部署。透明模式部署的好处是不改变用户网络拓扑,即插即用,配置简单快速。透明代理模式支持bypass模式,当DCN WAF设备发生故障时立刻转为直通模式,不会影响网络的正常运行,不会成为网络故障点。
反向代理模式
DCN WAF支持反向代理模式部署。在反向代理模式下,DCN WAF支持应用层负载均衡功能。所有客户端对网站服务器群的访问均由DCN WAF智能分配。当用户业务访问增长,需要扩充服务器数量时,不需要对网站拓扑再做改动,只需要在DCN WAF后面增加一台服务器即可,对客户端完全透明,极大增加了用户网络的可扩展性。
旁路模式
DCN WAF支持旁路模式部署。旁路模式部署方式为只有一个接口接入交换机,部署简单。旁路模式分为两个方案:一是单臂模式。单臂模式是反向代理模式的一种,DCN WAF按反向代理模式配置,网络数据通过IP寻址传送到DCN WAF上。数据的流入和流出都从DCN WAF接入交换机的一根线上传输。单臂模式功能和反向代理模式功能一样。二是监听模式。监听模式接在交换机的镜像端口,旁路捕捉和分析镜像端口的数据流信息,分析数据流中的攻击信息并记录和报警。监听模式下能实现攻击的识别和报警功能,不能实现攻击的防护功能。
双机热备模式
DCN WAF支持双机热备部署模式。两台设备分别工作在主设备和从设备模式,通过心跳线监视对方的工作情况。当发生异常时,自动切换到另外一台设备,确保网络的正常工作。
神州数码网络(DCN)此次获得"2012年度中国信息安全创新企业奖"、"2012年度中国信息安全优秀产品奖,一方面是基于多年自主研发和技术创新所取得的成果,另一方面与所有用户和合作伙伴的支持密不可分。未来,神州数码网络(DCN)仍将与国家发展的主旋律、信息产业发展的主脉搏始终相契合,顺势而为,释放信息技术的力量,凭借自身技术创新和产品应用优势,助力信息安全的建设与发展。
——获奖感言
神州数码DCFW-1800-WAF 系列Web应用防火墙是神州数码研究开发的面向政府、教育、企业行业用户的新一代高性能应用层网络安全网关,能够为各种用户规模的Web应用提供立体化安全防护解决方案。
产品架构
DCN WAF的产品包含安全中心、功能引擎、特征维护三大部分,方便用户在各种网络环境下的部署和管理。
安全中心包括管理中心、数据中心、日志报警、告警模块等组件,给用户呈现被保护网站的方方面面量化数据。功能引擎实现多种防护功能,保障被保护网站的可用性、安全性、可靠性、可视性等方面。特征维护以DCN应用安全防御中心为核心,定期更新攻击特征库、网站漏洞库和应用安全知识库,并通过规则升级加载到DCN WAF产品设备中,保障DCN WAF的防护效果。
产品特性
DCN WAF具有以下主要特点:HTTPS加密信息防护,多维细粒度防护引擎,及时权威的攻击特征库,强大灵活的策略模板,安全可靠的产品系统。下面分别加以阐述:
多维细粒度防护引擎
DCN WAF采用了业界领先的多维细粒度防护引擎,解决了网络层防护深度不够和应用层防护的效率低下的难题。
DCN WAF采用多核处理技术,并行深度处理Web请求会话内容,能支持大访问量网站的应用层防护,达到高效的防护效果。防护引擎的多维防护体现在:DCN WAF的攻击检测是攻击特征匹配和异常行为建模相结合的检测策略,当有新出现的0day攻击爆发时,即使攻击特征库没有及时更新,DCN WAF也能根据攻击行为防护住未知攻击。DCN WAF同时检测Web会话发送的请求和返回的内容,从请求和返回两个方面结合判断攻击行为。DCN WAF不仅能防护SQL注入、XSS跨站脚本等攻击行为,还能防护漏洞扫描、cookie会话安全、木马上传等全系列攻击行为,横跨黑客攻击的各个阶段。防护引擎的细粒度防护体现在:DCN WAF基于代理模式工作,协议还原最彻底。DCN WAF的协议检查内容涵盖HTTP协议头、cookie内容和上传下载的内容,检查点最多。
及时权威的攻击特征库
DCN WAF的防护功能依托神州数码网络对国内政府、教育、行业客户网站和应用系统的深入了解。DCN作为国内知名的信息化建设提供商,建设了多个行业的多个应用系统平台,对DCN WAF的保护对象系统理解深刻。神州数码网络在全国各地建有多个技术支持平台,上百位技术专家在DCN WAF的目标客户遇到问题时及时去现场解决。因此,DCN WAF能得到目标市场最多最快的问题反馈,能更有针对性地制作攻击特征库。
DCN WAF的防护功能依托DCN应用防御中心的强大支持。DCN和中科院信息安全国家重点实验室合作,依托中科院信息安全国家重点实验室的科研实力共建DCN应用防御中心。DCN应用防御中心监控和分析国内政府、教育等行业客户的网站和应用系统出现的漏洞和攻击情况,及时形成DCN WAF的检测特征库。通过特征库的不断升级和更新,DCN WAF能够有效检测和防御各种最新的攻击。
强大灵活的策略模板
DCN WAF具备强大灵活的策略模板机制,在保护多个网站、多个服务器的情况下,能为每个网站和服务器的自身特点自定义不同的防护策略。DCN WAF的策略配置都使用包括URL、IP地址、时间、关键字等元素在内的预定义对象以及对象组完成,通过组的概念可以简化网络管理员的配置工作,提高产品的可用性。
安全可靠的产品系统
DCN WAF采用专用DCNOS实时并行操作系统,其并行的处理能力和模块化的结构易于集成和扩展安全功能,并针对多核并行处理进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和并行多任务的处理机制,为神州数码新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。积累多年被证实的专业硬件安全产品研发和市场经验,DCN WAF在软硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统拥有高稳定性和高可靠性,为网络流量和网络攻击日益膨胀的企业IT 环境提供了强大的保障。DCN WAF支持双机热备和bypass功能,不会成为网络上的故障点,能够在最大程度上确保企业关键业务的不间断运行。
产品部署
透明代理模式
DCN WAF支持透明模式部署。透明模式部署的好处是不改变用户网络拓扑,即插即用,配置简单快速。透明代理模式支持bypass模式,当DCN WAF设备发生故障时立刻转为直通模式,不会影响网络的正常运行,不会成为网络故障点。
反向代理模式
DCN WAF支持反向代理模式部署。在反向代理模式下,DCN WAF支持应用层负载均衡功能。所有客户端对网站服务器群的访问均由DCN WAF智能分配。当用户业务访问增长,需要扩充服务器数量时,不需要对网站拓扑再做改动,只需要在DCN WAF后面增加一台服务器即可,对客户端完全透明,极大增加了用户网络的可扩展性。
旁路模式
DCN WAF支持旁路模式部署。旁路模式部署方式为只有一个接口接入交换机,部署简单。旁路模式分为两个方案:一是单臂模式。单臂模式是反向代理模式的一种,DCN WAF按反向代理模式配置,网络数据通过IP寻址传送到DCN WAF上。数据的流入和流出都从DCN WAF接入交换机的一根线上传输。单臂模式功能和反向代理模式功能一样。二是监听模式。监听模式接在交换机的镜像端口,旁路捕捉和分析镜像端口的数据流信息,分析数据流中的攻击信息并记录和报警。监听模式下能实现攻击的识别和报警功能,不能实现攻击的防护功能。
双机热备模式
DCN WAF支持双机热备部署模式。两台设备分别工作在主设备和从设备模式,通过心跳线监视对方的工作情况。当发生异常时,自动切换到另外一台设备,确保网络的正常工作。
神州数码网络(DCN)此次获得"2012年度中国信息安全创新企业奖"、"2012年度中国信息安全优秀产品奖,一方面是基于多年自主研发和技术创新所取得的成果,另一方面与所有用户和合作伙伴的支持密不可分。未来,神州数码网络(DCN)仍将与国家发展的主旋律、信息产业发展的主脉搏始终相契合,顺势而为,释放信息技术的力量,凭借自身技术创新和产品应用优势,助力信息安全的建设与发展。
——获奖感言