雷池( SafeLine )下一代Web应用防火墙
当下,Web应用防火墙大多采用规则匹配方式来识别和阻断攻击流量,但由于Web攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因,管理者们在安全运维工作中不得不持续调整防护规则,以保障业务的可用性和安全性。
- 系统简介
- 产品功能介绍
产品概述
传统规则防护,在当下为什么失灵?
究其原因,是由于基于规则匹配的攻击识别方法存在先天不足导致的。在乔姆斯基文法体系中,编写匹配规则的正则文法属于3型文法(正规文法),而用于构造攻击载荷(Payload)的程序语言属于2型文法(上下文无关文法),如下图所示:
图:乔姆斯基文法体系
雷池(SafeLine)的解决之道:算法的革新重构WAF
一种主流算法在被确定下来后,可以通过一些简单的方法来自我强化(比如增加密钥长度、修补有问题的参数和代码实现等)。随着计算能力和算法分析技术的发展,算法强度会逐渐变弱,会逐渐暴露出更多的设计缺陷,从而被其他算法取代。
长亭雷池(SafeLine)下一代Web应用防火墙【下文简称:雷池(SafeLine)】就是典型的以算法的革新重构了WAF类产品的能力。长亭科技自成立起便深入探索Web安全防护的新思路,创新性提出以“智能语义分析算法”解决Web攻击识别问题,给WAF内置“智能大脑”,使其具备自主识别攻击行为的能力,同时结合机器学习建模,不断增强和完善“大脑”的分析能力,不依赖传统的规则库即可满足Web应用日常安全防护需求。
雷池(SafeLine)通过对Web请求和返回内容进行智能分析,使WAF具备智能判断攻击威胁的能力。智能语义分析算法由词法分析、语法分析、语义分析和威胁模型匹配4个步骤组成。
雷池(SafeLine)内置涵盖常用编程语言的编译器,通过对HTTP/HTTPS的载荷内容进行深度解码后,按照其语言类型匹配相应语法编译器,进而匹配威胁模型得到威胁评级,阻断或允许访问请求。
与规则匹配型威胁检测方式相比,智能语义分析技术具有准确率高、误报率低的特点。以SQL注入检测为例:
图:雷池(SafeLine)通过综合打分模型能够检测多种基于上下文无关文法攻击
作为全球范围内第一款以智能语义分析算法为核心引擎能力打造的下一代WAF,雷池(SafeLine)展现出了更多让安全产品“更聪明”的可能。除了形成了质变的检测引擎的精准程度,它可以通过插件形式灵活扩展、实现瑞士军刀般的功能增加,可以变形适配、安装部署进各种网络环境,可以跟机器学习等前沿技术更好的融合、增强流量分析的能力等。
产品架构
雷池(SafeLine)下一代Web应用防火墙,具备以智能语义分析为核心,结合流量学习、访问控制等多种防护技术于一体的攻击检测引擎,具有极少的漏报误报率和优秀的0day防护能力,采用多级熔断和高可用相结合的手段保障业务连续性,具备集群化、容器化等适用多种平台的部署模式,结合BOT管理、API防护、DDoS防护、威胁情报等能力,为用户提供安全、合规、稳定、易用的Web应用安全保障。
图:雷池(SafeLine)产品系统架构图
雷池(SafeLine)下一代Web应用防火墙通过接入Web访问流量,进行协议解析与深度解码,调动语义分析、流量学习、访问控制和自定义插件引擎、BOT管理模块、威胁情报信息进行分析,根据预设策略允许或阻断访问流量。
产品功能
攻击行为智能检测
雷池(SafeLine)具有覆盖OWASP安全风险的智能检测引擎,不依靠传统规则匹配模型,通过智能识别和分析HTTP/HTTPS,发现和阻断安全威胁。
流量自学习
Web访问控制
图:Web访问控制原理
雷池(SafeLine)支持灵活的访问控制机制,内置访问控制引擎,根据源IP、Session来统计客户端访问行为,用户可通过设置针对特定域名、URL的访问频率和IP黑/白名单策略,限制相关源的访问行为。雷池(SafeLine)内置Session系统,可满足不同用户的访问控制需求。
可编程扩展插件
图:可编程插件的应用
雷池(SafeLine)提供自定义扩展插件功能,支持Lua脚本语言编写扩展插件,能够构建可与用户其他系统互动的业务安全防护体系。通过语义分析引擎检测后的实时流量,调用与业务相关的分析插件,实现与业务逻辑紧密相关的请求处理逻辑,使雷池(SafeLine)成为功能可插拔、信息可推送、流量可分析、应用可调用的灵活智能WAF,适用不同用户各类业务安全防护的定制需求。
IPv4/IPv6双协议栈
随着我国IPv6下一代互联网技术的快速推进,各个行业均在推动IPv4到IPv6协议的过渡更替。雷池(SafeLine)支持双协议栈技术,同时支持IPv4与IPv6网络协议,能够满足IPv4向IPv6过渡阶段的网络部署需求。
核心优势
理解不同行业的需求
网络安全产品由于客户业务形态不同,需要具备快速且灵活的策略制定和调适能力。雷池(SafeLine)最早提出“插件市场”概念,以AppStore的理念方式为客户预置多样策略插件,并提供API接口让客户灵活通过简单代码实现最定制化的策略调整,以满足业务的需求。
弹性扩展适配新型应用场景
近年来,新基建带来的流量在逐渐增大,但是传统应用软件型WAF系统多为功能模块组合实现,在上云时仅能安装在一个个单独的虚拟机中使用,导致云平台的自动弹性伸缩等优秀特性很难被发挥出来,因此除了个别拥有大量数据的云服务企业外,没有较成熟的手段结合大数据等新技术能力使传统WAF与云生态深度融合。
雷池(SafeLine)容器化的底层架构,能够轻松实现弹性扩展,在极低能耗的基础上实现高可用、高效率,且能够满足快速上线、灵活增减策略等易用性需求,适配新基建时期云时代大流量、智能计算的应用场景。
满足中国特色云化需求
其次,不同于国外的公有云普及速度,我国存在大量自建私有云、政务云、混合云的需求场景,导致网络环境的架构复杂性多样。雷池(SafeLine)灵活的底层架构决定了部署方式的灵活性,在众多客户需求情况下,已具备国内同类产品中最全的部署方式。其中,Kubernetes WAF的部署方式,在当前国际范围内也仅有不超过3家的厂商具备同等能力。
0day漏洞防护能力
Struts2系列漏洞让整个信息安全行业草木皆兵,雷池(SafeLine)研发团队自S2-045开始对引擎进行升级,完善基于OGNL语言的分析检测算法。当S2-048漏洞爆发时,雷池(SafeLine)无需升级即可拦截利用该漏洞的攻击访问。
威胁模型来自对各类攻击数据的深度学习,对攻击行为特征进行威胁定级,进而建立威胁模型。随着样本数据的增加,威胁模型越来越精准。长亭科技依托自身强大的安全研究团队,使用海量攻击样本打磨威胁检测引擎,并不断更新完善,为用户提供先人一步的防护能力。
简易上手、快速部署、综合联动
全开放功能接口
雷池(SafeLine)具备全功能开放接口(Open API),所有页面功能均可通过API实现调用,可通过SoC或SIEM平台调取雷池(SafeLine)检测日志、下发安全策略等,构建多平台、多设备的安全联动,提高安全和运维管理效率。雷池(SafeLine)提供基于REST-ful的标准API接口,可快速融入用户安全运维体系。
典型应用
BOT防御
图:BOT防御原理
雷池(SafeLine)除了支持解析识别检测请求内容中的攻击行为,以及客户端的超频异常访问行为外,还可以针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求,管理好的BOT,提高恶意BOT的攻击成本,有效保护业务的正常运营以及数据安全。
API安全
DDoS防护
雷池(SafeLine)支持与云端清洗服务联动,实现对各类DDoS攻击的防御,能够针对服务器资源消耗较大的访问进行重点监控,通过频率统计、人机识别等多种技术,有效保护服务器资源系统不被恶意消耗,保障业务连续性。
等保合规
国产化替代
产品部署
部署方式概览
典型部署
集群反向代理
图:雷池(SafeLine)软件集群反向代理
雷池(SafeLine)软件集群模式部署,支持将网络服务和检测模块分布式部署在多个主机节点中,在管理模块统一调度下形成软件集群,通过反向代理模式实现对所有访问请求的检测,并支持对后端服务器的业务负载均衡,同时支持多节点冗余和扩展,保证WAF的高性能和业务高可用。软件集群可部署在公有云VPC环境中,保护部署在公有云环境的Web服务。
该模式具备高性能、高可靠和易扩展等特点,适合用户访问量大、业务并发高等应用场景。
嵌入式集群反向代理
图:雷池(SafeLine)软件嵌入式集群反向代理
雷池(SafeLine)支持嵌入部署在用户已有Nginx、Tengine反向代理集群中,实现物理旁路、逻辑串联的部署模式。该模式需用户Nginx、Tengine集群支持加载动态模块,将雷池(SafeLine)流量牵引SO模块在用户环境中编译后,添加至反向代理集群中,从而将Web访问流量牵引至检测节点中,根据检测结果通知反向代理集群转发或阻断。
该模式可在不改变原有反代集群模式下实现雷池(SafeLine)的嵌入式部署,适合已建设反向代理集群,且运维管理能力较强的用户采用。
服务器引流部署模式
云上部署与Kubernetes统一编排
业务上云和容器化是当前网络服务的趋势,雷池(SafeLine)已经完成容器化实现,可以直接融合进入客户的Kubernetes系统,与客户的业务系统容器进行统一编排。雷池(SafeLine)能够以集群、容器化的方式进行部署,将检测节点以容器的方式,融合到客户的Kubernetes编排系统中统一管理,使得雷池(SafeLine)的检测能力与客户的Web服务提供能力始终保持一致。同时,雷池(SafeLine)也支持多租户的应用模式,可以使各个账户之间的防护策略和规则互不干扰。
成功案例
某上市证券公司
用户需求
某上市证券公司依托互联网建设了门户网站、网上营业厅、在线客服等线上应用,部署WAF是为了完善的信息安全防护体系,也为了在网络安全形势日益严峻,监管趋于严格的情形下,进一步提升Web应用的防护等级,同时满足等保2.0和金融行业网络安全规范。
解决方案
该企业采用雷池(SafeLine)下一代Web应用防火墙硬件设备,选择硬件反向代理部署模式,部署在Web服务器区外部,实现对Web应用的安全防护。拓扑图如下所示:
图:雷池(SafeLine)硬件双机反向代理部署
在硬件反向代理部署模式下,Web访问流量经雷池(SafeLine)反向代理至Web服务区,实现实时Web安全防护,同时雷池(SafeLine)采用双机冗余配置,避免单点故障,提高业务可用性。
建设成效
▪ 安全运维管理系统通过API将雷池(SafeLine)纳入安全运维管理体系,实现运行状态和告警信息的自动上报,提升安全运维管理效率
▪ 协助用户通过了等保2.0的技术测评
某大型电商平台
用户需求
解决方案
图:雷池(SafeLine)软件集群反向代理部署
建设成效
▪ 重大活动期间,通过自定义业务防护插件防护“薅羊毛”等异常访问行为
▪ 平均日业务处理量10万QPS,业务稳定性不低于99.9%
某在线教育平台
用户需求
解决方案
该用户采用该分布式集群部署方案,将所有云上、机房的流量统一集中到一个管理中心进行集中防护,采用统一日志分析、策略下发和访问统计,有效防护针对不同服务器的踩点攻击等行为。
图:雷池(SafeLine)分布式集群部署
建设成效
▪ 减少运维时策略的配置下发和调试工作