甲方企业采购WAF需求及功能清单

部署模式

    反向代理方式串联部署

    通过反向代理方式逻辑串联在服务器之前，业务流量通过WAF来回正常转发。

   与云平台其他组件对接后，云WAF支持对后端服务器端口和应用层面健康检查，对于健康检查异常的服务器不再转发业务流量。

    可在管理界面中查看后端服务器健康检查状态。支持对进出的http流量进行安全检测防护。

https流量安全检测

    https流量证书卸载和安全检测，通过与云环境中其他组件配合，云WAF支持卸载各版本SSL、TLS证书。

    支持对证书卸载后的流量进行安全检测防护。

IPv6

    支持IPv6流量安全检测防护。

高可用性HA

    支持支持以物理机或虚拟节点方式高可用部署。

    支持与其他组件对接，能够对WAF节点自身或集群的状态进行检查。

    支持单个WAF节点故障后流量的自动切换，切换过程中业务流量不中断，安全检测防护功能正常。

弹性扩容

    支持应用级别的自动或手工扩容，横向或纵向扩容。

    节点扩容后流量正常负载到新扩容的WAF节点，安全检测防护功能正常。

集中管理

    WAF集中式管理。

    应用检测策略模板可在WAF集中管理平台创建后统一下发到同应用的所有WAF节点。

    统一管理平台可以对单台配置进行克隆和统一下发。

    统一管理平台支持WAF节点运行状态和性能容量监控。

自服务

    支持与云平台对接，租户可以自助完成WAF节点资源的申请、部署、策略配置和自定义配置安全规则。

    支持租户在WAF集中管理平台批量对该租户的多个WAF节点进行安全策略管理，更新特征库及安全检测规则。

租户管理安全

    支持不同租户WAF节点和业务流量的逻辑隔离或物理隔离方案。

    云WAF要支持租户间隔离，租户只能管理此租户下的WAF节点，支持不同租户的身份识别、身份认证的访问控制。

    多租户之间的接口权限隔离，租户不能越权伪造其他租户对其他租户WAF进行管理。

    云WAF需支持设置租户下不同权限的用户，包括租户用户管理员、租户运营管理员、租户审计管理员。租户用户管理员可管理此租户下的其他权限用户；租户运营管理员分为只读和读写用户，可对租户的WAF节点管理；租户审计管理员可以对租户下所有用户的操作记录进行审计检查。

    

http/https性能

    在承载WAF节点的物理机资源相同条件下，真实http/https业务流量场景下的物理机上所有WAF节点的最大处理性能。

流量吞吐性能

    在承载WAF节点的物理机资源一定的条件下，物理机上所有WAF节点的正常处理业务流量吞吐总和。

策略数量对性能影响

    在承载WAF节点的物理机资源相同和并发会话量相同的条件，物理机上WAF节点启用全量安全策略与只启用基础安全防护策略时延，WAF节点对CPU和内存性能变化幅度。

攻击背景下正常业务流的处理能力测试

    在承载WAF节点的物理机资源一定和并发会话量相同的条件下，在发生攻击的同时WAF节点占用物理机性能容量变化幅度，正常业务流量转发时延等指标。

大包处理性能

    在承载WAF节点的物理机资源一定和并发会话量相同的条件下，以固定的QPS post指定长度的数据包请求，性能容量变化幅度等指标。

安全防护策略

    基于攻击签名创建安全防护策略。

    WAF节点要能支持基于特定攻击签名进行安全检测防护。

    WAF要支持对多种平台服务器（IBM WAS、Apache、IIS、nginx等）的基于攻击签名安全防护。

    WAF要支持常见CMS漏洞攻击防护。

安全防护策略

    WAF要能通过自学习模式对目标站点流量进行学习，进而生成安全策略。

访问控制策略

    支持基于原生的URL的访问控制、基于GET参数访问控制、解码路径控制。

    基于host的访问控制、基于cookie的访问控制、基于User-Agent的访问控制、基于referer的访问控制、基于content-type的访问控制、基于X-Forwarded-For的访问控制、基于origin的访问控制。 

    基于method的访问控制、基于完整请求的访问控制、基于完整body的访问控制、基于上传文件名的访问控制、基于用户IP的访问控制、基于session的访问控制。

    基于自定义脚本的访问控制、基于返回页面的访问控制、基于逻辑表达式的访问控制等。

白名单功能

    WAF要求能够对http请求方法进行白名单配置，可以配置只允许的请求方法。支持基于域名和IP对请求进行频率或访问的黑白名单限制。

    WAF要能检测到http请求方法与url之间的多空格字符。

    WAF要能检测到缺少http协议版本号的http请求。

    WAF要能配置文件头字段白名单，并检测各字段长度、值的合规性。

    WAF要能检测到get、post请求不合法数据的传入并进行阻断。

    post、get请求中包含应用中不存在的参数，云平台WAF要能识别并阻断此类请求。

    WAF能对正常用户提交中的富文本标签进行安全检查，允许白名单中设定的富文本标签（如<b>、<font>等）通过，但不允许包含可能触发跨站的富文本标签通过。

常规应用攻击防御

    支持SQL注入攻击、XSS攻击、CSRF攻击、Java反序列化攻击、网页防盗链攻击、文件上传攻击、文件包含攻击、PHP代码注入攻击、Struts2/XWork远程命令执行、Web页面内容篡改等防护。
    支持防御缓冲区溢出攻击、多层编译攻击、恶意代码执行攻击。
    支持基于IP、URL速率的应用层DDoS攻击防护、支持慢速攻击防护。
    支持对畸形包、不完整http header攻击、SSL封装攻击、应用参数篡改攻击。
    支持对文件类型的访问控制、上传文件类型控制。
    支持对爬虫和漏洞扫描防护。
    支持真实IP识别，包括socket连接中的源IP和从X-Forwarded-For、X-Real-IP以及其他request字段中进行识别到的源IP。
    支持蜜罐防护，可以根据预设过滤条件将特定攻击流量引入预定义的蜜罐服务器中。 

    能够基于用户的session进行控制管理，实现session级别的安全防护。

绕过防护

    支持SQL注入混淆攻击、XSS混淆攻击、文件上传混淆攻击、PHP代码注入攻击

    要防止正则的%00、%0a、Ascii 00截断绕过、绕过域名防护、超大数据包绕过、变换变量位置绕过、不同POST解析绕过、异常数据包绕过、Ajax异步操作特殊处理绕过等。

安全场景防护

    支持敏感信息隐藏

    支持会话频繁交易限制

    支持绕过交易中间步骤防护

    支持密码暴力破解防护

支持多种编码和解码

    支持对多种不同编码的识别和解码，包括Base64、URL Encoding、HTML Entities、Hex Encoding等编解码方式。

漏报和误报

    要有较低和漏报率和误报率，根据准确率、误报率、漏报率综合测评排序。

安全事件日志

    不仅能识别并拦截攻击，而且还能够记录详细的日志，系统提供的告警信息应该可以包括分析攻击事件的所有相关信息（包括源IP，目标IP，攻击类型、违反的策略、处理结果、攻击请求的原始信息、session-id等信息）

    安全事件日志可以分为不同等级，不同等级的安全事件日志可配置为发送到不同的日志服务器。

监控告警

    性能信息（包括CPU、内存、接口流量、新建和并发会话数）可以记录到系统运行日志中。日志信息支持分级，对于不同等级安全事件日志可以通过syslog，snmp等协议上送到不同的日志服务器。

    支持通过SNMP、email、钉钉、飞书等方式发送节点运行事件告警。

安全事件统计分析

    基于攻击事件的统计分析能力，是否能生成详细的报表。

    能够按照攻击类型、IP、访问的域名和URL等维度对安全事件进行统计。