网站防护系统功能特点

 l         恶意代码主动防御　基于可信计算理论，利用信任链机制，对系统中所有装载的可执行文件代码（例如EXE、DLL、COM等）进行控制，所有可执行文件代码在加载运行之间都需要先经过检验，只有通过验证的代码才可以加载，从而有效地阻止恶意代码的运行。验证方法为：首先为系统制定可信白名单，即允许执行代码文件的hash，在进程装载二进制文件之前首先计算其hash值，并与可信白名单进行比较，不在白名单中的一概不允许执行，这样既可以防止恶意代码运行，又可以防止恶意代码依附其他系统或应用程序运行，确保执行代码的真实性和完整性，同时对应用服务器的处理效率并无明显影响。

l         网页文件防篡改　针对利用操作系统漏洞，应用缓冲区溢出等方法获得管理员权限，从而恶意修改网页文件的攻击方式，采用对象相关（Object—Specific）保护方式来保障网页不被篡改。即网站管理员可以自行选择需要保护的网页文件并将之设定为受控对象，对于每一个受保护的对象，管理员为其设定一个对象相关授权码。对于所有受保护的对象，网站防护系统在操作系统内核对其加以保护，在不知道对象相关授权码的情况下，即使是系统管理员，也被禁止对受保护对象（比如主页）进行任何特定操作，例如修改内容、删除、重命名等。

通过对象相关保护方式，即使攻击者拿到系统管理员的权限，由于不知道受控对象的授权码，因而也无法对其进行修改，从而可以有效阻止溢出类攻击对系统网页的篡改。

 

对于Web服务（例如IIS、APACHE）的相关配置文件也采用同样的方式进行保护，防止通过修改配置文件的方式篡改网页。

 

需要指出的是由于对于受保护对象的读操作没有任何的限制，因而可以保证Web正常向外提供服务。只有在提供授权码的情况下才可以对受保护对象进行修改，使管理员得以方便的更新网页内容。

 

l         防跨站攻击　跨站攻击的攻击者通过向Web页面里插入恶意html代码，从而达到特殊目的。网站防护系统通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含有的跨站攻击的关键字，从而保护用户的WEB服务器安全。

 

l         防SQL注入功能　随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

 

网站防护系统可以通过高效的URL过滤技术，把SQL注入的关键字过滤掉，从而有效的避免网站服务器受到SQL注入攻击。

 

l         SSL终止功能　如今，几乎所有的安全应用都使用HTTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器，如入侵检测系统（IDS）产品来说是不透明的。为了阻止恶意流量，网站防护系统可以终止SSL安全连接，对数据流进行解码，以便检查明文格式是否含有恶意的流量。

 

l         系统自身的高安全性　作为一种网络安全防护设备，网站防护系统在网络中自然成为众多攻击者的首要目标，所以自身抗攻击能力也是网站防护系统的必备功能。该系统采取多种安全措施，可以防范Internet环境中的攻击，如抗IP假冒攻击、抗口令字探寻攻击、抗网络安全性分析、DDOS攻击等。

 

l         采用内核性能优化和安全加固技术　系统性能的优劣直接影响到它能否被广大客户所接受，网站防护系统借鉴了国外的先进技术，针对系统中的服务模块，采用多种内核性能优化技术，大大提高了网站防护系统的工作效率以及系统本身的健壮性。

 

l         综合管理功能

1.            统一管理平台　网站防护系统管理平台，可对多套硬件、多套软件（跨操作系统平台）进行集中统一管理，包括策略下发、事件统计、实时报警、日志审计等。

2.            日志审计　网站防护系统的日志审计功能十分健全，不但包括了网站防护系统本身运行的日志记录，而且还包含了运行日志，代理日志，入侵检测日志，流量统计日志，管理日志，双机热备日志，IDS互动信息，状态信息共八大类日志，并可使用浏览器进行日志浏览及管理。

 

l         网络应用与防护功能

1.            状态检测技术　基于网站防护系统所维护的状态表的内容转发或拒绝数据包的传送，比普通的包过滤有着更好的网络性能和安全性。

2.            地址绑定技术　每一块网卡都具有一个唯一的物理标识号码，也就是网卡的MAC地址，由于MAC地址的唯一性，决定了某一台主机的合法IP地址与其网卡的MAC地址绑定起来的对应关系是唯一的，网站防护系统具有地址绑定功能，可以通过建立起来的合法IP地址与MAC地址的对应关系识破非法用户盗用合法IP地址的阴谋，并拒绝该连接请求。

3.            多端口结构，多协议支持　网站防护系统提供了两个或两个以上的独立的网络接口，将受保护网络从物理上分隔开来，不但提高了安全级别，更方便了网站防护与网络之间的连接；该网站防护除了支持标准的TCP/IP协议，还支持802.1q 和 VOD 各种不同层次的协议标准。

4.            双向网络地址转换技术　实现了从外向内的地址转换（目的地址转换）。利用这种技术可以在网站防护的外网口上绑定多个公有IP地址与局域网上的相应服务器的对应关系，当外面的主机访问网站防护的外网口的某个IP地址时，网站防护系统将来自外部的服务请求转发到局域网内的真正的服务器上。这样就达到了既隐藏了网络内部信息，又可让外部的合法用户访问内部的服务器。

5.            组播路由　传统的网站防护系统在收到网络中的广播或组播数据包时往往不予以转发，使得一部分对组播路由有特殊需求的应用受到限制，网站防护系统支持组播路由技术，网站防护系统可以判断区分网络中的广播或是组播，并根据所配置的策略决定组播数据的通过与否，以满足用户的特殊需求。

6.            内容过滤　网站防护系统支持内容过滤功能和色情防堵功能，能够实现对应用层内容的检测，提高网络的安全性, 内容过滤是在http, ftp和smtp等协议层根据过滤条件对信息流进行控制，使得URL、http携带的Java Applet, JavaScript, ActiveX, Servlet, CGI, PHP, img；电子邮件的subject, to, from和text域；FTP下载和上载文件的内容等可能包含危险信息，如病毒, 色情或非法关键字, 非法操作命令等。因此对内容进行过滤能有效地提高网络的安全性。

7.            时间段访问控制　网站防护系统在访问规则中加入时间段访问控制，只有在规则设定的时间段内符合策略的数据报文才可能通过网站防护。此项工作极大地方便了系统管理员的管理，提高了访问控制的灵活性。

8.            应用代理　应用代理（Application Proxy）作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用代理功能通常由网站防护设备或专用工作站实现。

9.            支持VRRP　支持VRRP（Virtual Router Redundancy Protocol），虚拟路由器冗余协议。该协议用于解决在静态设置默认路由策略的情况下的单点故障问题。

10.        带宽控制　网站防护系统支持带宽控制，通过合理配置、分配带宽资源，使网络资源得到合理、充分的使用，使得网络中的关键用户在带宽资源紧张时也能够高效率的开展工作。

11.        VPN功能　VPN是指虚拟专用网络。实际上是在公众网上建立企业内部网络。在这一问题上，如何保证在公众网上的企业内部信息的安全传输成为关键。对于这一点网站防护系统是采用安全的加密算法和传输体制作保证。这样既减少了建立网络的物理成本，又保证了数据的安全。

12.        双机热备功能　网站防护系统支持双机热备功能，从而提高系统的稳定性和可靠性。两台网站防护分为网站防护主机和网站防护从机，在网站防护主机工作的同时，网站防护从机处于实时监控网站防护主机的工作状态，这时所有对内部网络的保护工作由网站防护主机完成。当网站防护主机因不可抗力而工作异常时，网站防护从机能够及时发现问题并立即接替网站防护主机的工作，并报警通知网络管理员。待网站防护主机故障排除并接入网络后，网站防护主机接管对内网的保护工作，网站防护从机则切换为监视状态，继续侦测网站防护主机的状态。

13.        负载均衡功能　网站防护系统的负载均衡技术采用的是通过网络地址转换（Network Address Translation）将一组服务器构成一个高性能的、高可用的虚拟服务器，我们称之为VS/NAT技术（Virtual Server via Network Address Translation）。通过网络地址转换，调度器重写请求报文的目标地址，根据预设的调度算法，将请求分派给后端的真实服务器；真实服务器的响应报文通过调度器时，报文的源地址被重写，再返回给客户，完成整个负载调度过程。