安全软件Imperva WAF 技术概述Format.doc

Imperva WAF技术概述 Imperva WAF 技术概述 TOC \o 1-5 \h \z \u HYPERLINK \l _Toc202629684 Imperva SecureSphere 概述 PAGEREF _Toc202629684 \h 3 HYPERLINK \l _Toc202629687 部署拓扑 PAGEREF _Toc202629687 \h 4 HYPERLINK \l _Toc202629688 部署选项 PAGEREF _Toc202629688 \h 4 HYPERLINK \l _Toc202629689 安全引擎 PAGEREF _Toc202629689 \h 4 HYPERLINK \l _Toc202629690 透明检测 PAGEREF _Toc202629690 \h 5 HYPERLINK \l _Toc202629695 透明检测架构 PAGEREF _Toc202629695 \h 6 HYPERLINK \l _Toc202629696 透明检测概览 PAGEREF _Toc202629696 \h 6 HYPERLINK \l _Toc202629700 全面的应用程序感知 PAGEREF _Toc202629700 \h 8 HYPERLINK \l _Toc202629701 会话保护 PAGEREF _Toc202629701 \h 9 HYPERLINK \l _Toc202629702 网络和平台攻击保护 PAGEREF _Toc202629702 \h 9 HYPERLINK \l _Toc202629703 URL 特征 PAGEREF _Toc202629703 \h 9 Imperva SecureSphere 概述 传统的防火墙，在发挥重要作用的同时，却无法解决以上任何问题。防火墙能够提供广泛的网络安全防护，有时还能够提供基本的应用程序感知，但缺乏认识或保护应用程序及其数据的能力。 对这些威胁的防护需要更高级别的认识 - 在应用程序行为层。SecureSphere? 系统专门针对这一问题进行了开发，从而提供了该级别的保护。 应用程序行为层 - OSI 及其上层 SecureSphere 系统的保护分布在近似 OSI 7 层模型的多个层面上。防火墙对应 OSI 的第 2 到 第 4 层，协议验证和应用程序层特征码类似于 OSI 第 7 层，如下图所示。但是，多个 SecureSphere 的高级保护进程（例如：特征评估、Web/数据库关联和关联攻击检测）面向应用程序的行为，相当于第 8 层，该层未在 OSI 模型中定义。 图 2.1：应用程序行为层 － 位于 OSI 模型之上 中心管理 SecureSphere 系统的 MX 管理服务器是三层管理架构的中心点，允许组织机构同时自动管理多个网关。安全策略是集中式管理，因此只需单击一下鼠标，就可以自动下发到多个网关。MX 可用于各种任务，例如：配置管理、告警汇聚、分析及浏览、审计分析、报告、系统事件搜集等等。 部署拓扑 SecureSphere? 网络架构同时支持非在线网关（嗅听）和在线网关。在线网关的侵入性强一些，但具有更好的阻止能力。嗅听网关是完全非侵入式的，不能提供较为可靠的阻止能力（即：TCP 重置）。 部署选项 SecureSphere? 系统支持以下部署模式： 在线拓扑 如果要为数据中心提供最高级别的安全性保护，则可以将 SecureSphere 网关部署为在线模式。在此部署方案中，网关充当外部网络与受保护的网段之间的连接设备。网关将阻止在线（即：丢弃包）恶意通信。 一个在线网关虽然能够保护最多两个网段并拥有六个网络接口端口。但不能工作于在线/嗅听混合模式。 其中的两个端口用于管理：一个用于连接管理服务器，另一个是可选的，可用于连接外部局域网。其他四个端口属于两个用于在线检查的网桥。每个网桥都包含一个外部网络端口和一个受保护网络端口。 嗅听拓扑 SecureSphere 使用无在线故障点和性能瓶颈的透明网络网关，以确保为部署和集成消除此类安全产品通常所具有的风险。阻止是通过发送 TCP 重置实现 - 但这无法保证阻止操作一定成功，因此 TCP 重置可能： 不能到达受保护的服务器 被发送设备忽略 嗅听网关是一种被动嗅听设备。用于连接企业集线器与交换机，可控制受保护服务器的通信。通信信息将会被复制到该设备，而不会直接通过。因为不是在线的，因此嗅听网关不会影响性能，也不会影响服务器的稳定性。 单个 SecureSphere 网关