Web应用防火墙？Web安全网关？（续）

原文 http://netsecurity.51cto.com/art/201007/210932_3.htm

 

系统的管理

SecureSphere提供全分布式的三级网管架构，包括： 第一层—业务探测和实施引擎，第二层—MX网管服务器，第三层—操作控制台。这种结构对于在xxx这样的大型网络系统中部署统一的安全策略具有至关重要的意义。  

图 SecureSphere的完整部署的示例

SecureSphere 的管理服务器的主要特点包括：

◆图形报告 - 完整的 Crystal Reports™ 包和与 攻击摘要访问支持预配置报告和自定义报告。预配置报告使性能、合规性、安全警报及使用情况的异常情况一目了然。

 

图 SecureSphere 在整个企业内提供统一的报告。

◆统一的实时警报监视 – 来自多个 SecureSphere 安全层（动态”业务模型”、IPS 等）的实时警报将被收集、按优先级排序并在一个统一的视图中显示给管理员。警报通知可通过电子邮件、电话、呼机和 SNMP 消息发送。不需要连接到分布在数据中心的各个设备。来自多个网关的日志数据也将显示在单个视图中，并存储在单个 MX 管理服务器数据库中。

◆警报审计 – 来自多网关的警报将被收集并存储于单个 MX 管理服务器数据库中。若要支持审计功能，只需点击几下鼠标就可以根据多种参数来排序和搜索警报条目。即使是来自不同 SecureSphere 安全服务（IPS、动态”业务模型”等）的特定用户违规行为（由会话 ID 或 IP 地址标识），也可以被立即跟踪。

◆智能攻击摘要 – 智能攻击摘要通过智能地将多个攻击导致的一系列事件聚合为一个需采取措施的警报，从而提高管理员的工作效率。例如，相关扫描警报可聚合为一个攻击警报，而 不是成千上万个攻击警报。如今，快速有效的响应变得极为重要，而这种高度集中的信息能够使管理员快速准确地了解威胁聚合警报保留了形成警报的基本事件，以 便进行详细分析。

◆集中式策略分布 – 多网关的动态”业务模型”、IPS 策略和系统参数集中存储于 MX 管理服务器。更改在服务器上进行，通过单击可将这些更改自动发布到多个网关。

Imperva的WAF带来的价值

采用Imperva的新型Web应用防火墙，在提供一流防护的同时，还可以很大程度上减少安全管理人员的工作量，因为它具有动态建模等很多自动化的工具，可以大量简化防火墙的配置工作。

Imperva公司的动态建模技术能够建立合法应用行为的模型，随时间变化而逐渐适应网络应用变化，始终保持SecureSphere系统应用保护 能力的时效性和准确性。在很短时间内，无须改变其原有数据中心结构，SecureSphere系统的部署就能够实现的对攻击行为的防护，也无须手工配置和 调整。

除了动态评估技术中提到的自动化的规则定义，SecureSphere系统允许安全管理员根据网络流量的具体特征定义规则。定制的规则需要手工配置，以实现模型或基于协议的规则不能或不方便实现的规则。

动态评估是多层次安全保护机制的基础，对所有应用层面提供了完整的保护，包括网络、服务器和应用系统。Imperva公司的透明检测技术具有一个G 的分析能力，百万分之一秒级的延迟和高可用性满足了大多数数据中心的安全需求。对于大规模部署，SecureSphere MX管理服务器采用集中式部署，提供流水线式配置、综合管理、监控和报表功能。由于SecureSphere系统提供广泛的部署形式选项，它可以部署到任 何环境，而无需更改其原有网络结构。

SecureSphere 系统保护用户的WEB应用攻击，例如SQL注入、Cookie毒化、参数篡改、路径遍历以及更多攻击（详见列表）。动态评估技术自动创建WEB应用的使用 和结构的正向安全模型，包括URL、http形式、参数、隐藏的域、Cookie、事务ID以及应答代码等。当用户和网络应用进行交互 时，SecureSphere 系统密切监视他们的活动，并与安全模型比较。任何攻击的企图都将被监测到，并被阻止。  

SecureSphere Web应用防火墙可保护攻击列表：

 

WEB服务防火墙

SecureSphere的互联网服务网关主要针对XML、SOAP和WSDL等应用进行保护。如同SecureSphere系统的应用防火墙功能 一样，服务网关采用Imperva公司的动态评估技术建立合法应用行为的安全模型，包括XML URL、SOAP行为、XML元素和XML属性。所有篡改网络服务应用模式或者变量的企图都会被识别出来，并加以阻止和防范。

入侵防护系统（IPS）

SecureSphere IPS对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务器、应用服务器和操作系统软件的弱点（例如，IIS、Apache和 Windows 2000）。SecureSphere的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。 SecureSphere系统同时提供多网络协议的Snort兼容的特征库，符合http协议和来自“应用防御中心”– Imperva自己内部的安全研究组织，的高级应用保护特征。SecureSphere 系统提供定时更新服务，确保安全保护的时效性。

网络防火墙

SecureSphere集成的网络防火墙用于防范未授权用户、危险的协议、通常的网络层攻击以及蠕虫感染。访问控制策略支持协议/IP地址组合的控制列表，以避免数据中心暴露给不必要的用户，或者限制危险的协议，例如Telnet、pcAnywhere或者是SQL。

SecureSphere扩展至数据库

SecureSphere系统可以扩展到应用数据库的保护，包括对Oracle、MS-SQL Server，DB2（包括主框架）和Sybase数据库进行保护。SecureSphere 数据库安全防护功能能够同时防范外部攻击和内部人员的滥用，提供了数据中心的端到端防御。

无与伦比的准确性

SecureSphere包括了动态的正向（白名单）和反向（黑名单）安全模式。即时攻击有效验证(IAV)立刻根据两种模式中的一种验证和阻止所 有已知的违规行为。对于不明显的复杂攻击，Imperva专利的关联攻击验证(CAV)技术把多层次的违规记录关联起来，事后从合法用户访问行为中分离出 来。CAV技术能够把来自SecureSphere系统中所有安全记录的相关信息关联起来，得到独立安全产品无法达到的准确程度。

Imperva的WAF的性能及其他参数