web应用安全网关

一、概述

原因

1.基于Web和数据库结合的B/S（浏览器----服务器结构）架构应用已经广泛使用于企业内部和外部的业务系统中，Web系统发挥着越来越重要的作用。
2.Web应用程序漏洞的存在更加普遍，随着Web应用技术的深入普及，Web应用程序漏洞发掘和攻击速度越来越块，基于Web漏洞的攻击更容易被利用。

web攻击手段

1.篡改Web系统数据
2.窃取用户信息

WEB安全问题产生原因

1.大多数Web系统设计，只关注正常应用，未关注代码安全
2．黑客入侵后，未及时发现
3．Web系统防御措施滞后，甚至没有真正的防御
4．发现安全问题不能彻底解决

二、主要功能

常见的web攻击防护:

• 基于HTTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼攻击；
• SQL注入攻击、XSS攻击等Web攻击；
• 爬虫、CGI扫描、漏洞扫描等扫描攻击。
• 应用层Dos攻击。
注启明星vxid技术即web业务威胁检测算法，第一阶段是行为提取阶段，分析和提取Web攻击的行为特征而非数据特征，建立Web攻击行为特征库；第二阶段是实时分析网络数据，在WAG内部构建“轻型虚拟机”，模拟攻击行为以观察其行为特征，正确判断攻击行为的发生。这种基于原理的检测方式避免了对固化特征的匹配造成的高漏报率，也避免了由于检测规则过于严苛造成的误报。
针对HTTP Flood攻击，在Web服务器受到HTTP Flood攻击时，过滤攻击行为，抑制异常用户对Web服务器的资源消耗，同时响应正常请求，确保Web业务的可用性及连续性。

WEB非授权访问防护

1csrf攻击防御
CSRF攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作，具有很大的危害性。以设定的来源URL才能访问到被保护URL，1个被保护URL可以设定多个来源URL。
2COOKIE篡改防护
可为Cookie强制添加httponly属性，保护Cookie不被JavaScript访问；可为Cookie强制添加Secure属性，告知浏览器在在HTTPS时返回Cookie，在HTTP时不返回Cookie。
3网站盗链防护
网站盗链，是指网站提供商自己并不具备服务内容（如视频、歌曲、文件）提供的条件，通过技术手段绕过其它有利益的最终用户界面（如广告），直接在自己的网站向最终用户提供其它网站的服务内容，骗取浏览和点击率，而被盗链网站却得不到任何收益。判断请求是否包含在允许的访问来源范围内，如果不属于站内提交或信任站点提交，则会被视作网站盗链行为。
4网页挂马防护
让用户将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载、执行，进入一个恶性循环，从而使用户电脑遭到攻击和控制，最终目的为盗取用户的敏感信息，如各类帐号密码。用黑名单和异型检测
5webshell防护
内置主流WebShell库，针对恶意WebShell上传进行拦截，另一方面基于Web文件上传控制功能，用户可定义禁止ASP或PHP页面文件上传

WEB应用合规

1 基于URL的访问控制
2 HTTP协议合规
3 敏感信息泄露防护；包括服务器操作系统类型、服务器类型、错误页面信息、个人信息。
4 文件上传下载控制
5 WEB表单关键字过滤

WEB应用交付

1网页放篡改
2基于URL的流量控制
3web应用加速；修改或优化TCP或其它协议、应用和数据流在网络上的行为，以缩短Web服务的响应时间。
4多服务负载均衡
注• Round Robin：轮询调度算法，原理是每一次把来自用户的请求轮流分配给内部中的服务器，从1开始，直到N(内部服务器个数)，然后重新开始循环。
• Weighted Round Robin：权重轮询调度算法，根据服务器的不同处理能力，给每个服务器分配不同的权值，使其能够接受相应权值数的服务请求。
• Least Connections：最少连接数均衡算法，对内部需负载的每台服务器进行数据记录，记录该服务器当前正在处理的连接数量，当有新的服务连接请求时，将把新的请求分配给当前连接数最少的服务器。