网络安全
H3C SecPath W2000-G2系列Web应用防火墙
2021-08-29
WEB攻击防御
H3C SecPath W2000-G2系列Web应用防火墙是通过OWASP产品认证的WEB应用安全产品,对WEB攻击的防御达到国际先进水平。OWASP-Top10
A1—注入
A2—失效的身份认证和会话管理
A3—跨站脚本(XSS)
A4—失效的访问控制
A5—安全配置错误
A6—敏感信息泄露
A7—攻击检测与防范不足
A8—跨站请求伪造(CSRF)
A9—使用含有已知漏洞的组件
A10—未受保护的APIs
Web负载均衡
H3C SecPath W2000-G2系列Web应用防火墙支持WEB负载均衡技术,通过内置的多种负载均衡算法,有效提高WEB服务的响应速度和访问者的体验感,通过WEB负载均衡功能,能够提高WEB应用系统的整体性能和扩展性能。
专业的DDoS防护
H3C SecPath W2000-G2系列Web应用防火墙的防DDoS攻击模块采用主动监测加被动跟踪相互结合的防护技术,可辨识多种DDoS攻击,并启用特有的阻断方式,能够高效地完成对DDoS攻击的过滤和防护。针对互联网中常见的DDoS攻击手段,提供多种防护手段结合的方式,有效的阻断攻击行为,从而确保服务器可以正常提供服务。
有效的HTTPS防护
H3C SecPath W2000-G2系列Web应用防火墙针对SSL加密应用,根据业务模型提供HTTPS卸载和HTTPS加速应用,以提供更佳的客户体验并降低服务器负载。针对大型网站应用,配置专业的SSL加速卡,在保护客户数据安全性的同时不会影响业务的应用。SSL加密已经日益成为当今网站普遍采取的一种安全访问形式,在提供了更高的安全性的同时,也带来了更高的服务器开销。通过将SSL功能转移到WEB应用防火墙产品上来完成,客观上分担了服务器的计算量。另外,由于SSL加密内容不能被网络安全设备审计,客观上降低了网络安全的防护能力。通过对SSL数据进行合法解密,H3C SecPath W2000-G2系列Web应用防火墙可以继续对WEB应用进行有效的保护。
可视化分析统计
H3C SecPath W2000-G2系列Web应用防火墙内置态势分析系统,无需与监控设备联动,可以对流量事件和攻击事件进行分析,并对关键的信息钻取,做可视化呈现。
全面安全建模能力
H3C SecPath W2000-G2系列Web应用防火墙可自动学习流量中的Web访问流量,将网站目录结构、请求方法、条件参数及流量明细等全部相关信息自动生成至本地并建立模型,一方面可以对网站运行情况进行可视化的统计,另一方面直接根据学习结果建立对应的黑白名单及细粒度控制策略,并依据业务的访问情况和安全状态动态进行学习调整。| 菜单 | 功能 | |
| 主页面 | 系统信息 | 查看系统的系统信息,接口实时信息,并发、剩余链接,攻击趋势等信息。 |
| 攻击态势 | 实时态势监测 | 查看实时态势监测地图和数据。 |
| 攻击态势基础配置 | 配置攻击态势的基础信息。 | |
| 系统配置 | 账户管理 | 添加或编辑系统用户信息。 |
| 基本配置 | 配置系统基本信息和服务器日期时间。 | |
| 备份恢复 | 备份WEB应用防火墙的配置信息。 | |
| 在线升级 | 包括系统升级和规则库升级。 | |
| 告警设置 | 配置邮件告警、短信告警和存储告警。 | |
| 远程管理 | 增加和编辑远程许可管理信息。 | |
| DNS服务器 | 添加和删除DNS服务器 。 | |
| DNS配置 | 配置外部DNS服务器。 | |
| SNMP配置 | 配置SNMP。 | |
| Radius配置 | 配置Radius服务器信息。 | |
| WebUI设置 | 设置WEB应用防火墙的WebUI端口。 | |
| 负载保护 | 设置负载保护和Bypass。 | |
| 回滚恢复 | 实现恢复出厂设置。 | |
| 关机重启 | 实现WEB应用防火墙的关闭和重启操作。 | |
| 网络管理 | 网络接口 | 配置Port接口,Channel接口,网桥接口和Trunk接口。 |
| 路由配置 | 配置路由。 | |
| 策略路由 | 配置策略路由。 | |
| BGP路由牵引 | 配置BGP路由牵引。 | |
| SNAT回注 | 配置SNAT回注。 | |
| ARP配置 | 配置动态ARP和静态ARP。 | |
| 基础对象 | IP列表 | 配置匹配或不匹配的IP列表。 |
| URL列表 | 配置匹配或不匹配的URL列表。 | |
| Web主机 | 配置防护或不防护的Web主机。 | |
| 服务器管理 | HTTP服务器配置 | 配置HTTP普通服务器。 |
| HTTPS服务器配置 | 配置HTTPS服务器. | |
| 负载均衡服务器配置 | 配置负载均衡服务器。 | |
| HTTP代理服务器配置 | 配置HTTP代理服务器。 | |
| HTTPS代理服务器配置 | 配置HTTPS代理服务器。 | |
| 自学习系统 | 自学习基础 | 配置自学习基础参数。 |
| 自学习策略 | 配置自学习策略。 | |
| 自学习模式 | 配置自学习的URL模式。 | |
| 自学习展示 | 查看自学习结果。 | |
| 自学习防护 | 配置自学习防护。 | |
| 应用安全防护 | Web防护策略 | 增加、编辑和删除Web防护策略。 |
| Web防护模板 | 配置详细的Web防护规则,包括基本配置、重定向、数据分析、防护规则等。 | |
| 扫描防护规则 | 配置扫描防护规则。 | |
| HTTP协议校验规则 | 配置HTTP协议校验规则。 | |
| HTTP访问控制规则 | 配置HTTP访问控制规则。 | |
| 特征防护规则 | 介绍系统内置的特征防护规则。 | |
| 爬虫防护规则 | 配置爬虫防护规则。 | |
| 防盗链规则 | 配置防盗链规则。 | |
| 防跨站请求伪造规则 | 配置防跨站请求伪造规则。 | |
| 文件上传规则 | 配置文件上传规则。 | |
| 文件下载规则 | 配置文件下载规则。 | |
| 敏感信息检测规则 | 配置敏感信息检测规则。 | |
| 弱密码检测规则 | 配置弱密码检测规则。 | |
| 虚拟补丁规则 | 配置虚拟补丁规则。 | |
| 访问顺序规则 | 配置访问顺序规则。 | |
| DDoS防护策略 | 配置DDoS防护策略。 | |
| IDP防护策略 | 配置IDP防护策略 | |
| 安全情报中心 | 安全情报中心配置 | 配置安全情报源。 |
| 安全情报IP数量统计 | 显示安全情报IP数量统计信息。 | |
| 安全情报风险值统计 | 显示安全情报风险值统计信息。 | |
| 安全情报活跃度统计 | 显示安全情报活跃度统计信息。 | |
| 安全情报中心规则 | 配置安全情报中心规则。 | |
| 访问控制 | IP对象 | 定义包过滤规则的源IP和目的IP。 |
| 服务对象 | 定义包过滤规则的协议。 | |
| 时间对象 | 定义包过滤规则的生效时间段。 | |
| 包过滤规则 | 自定义包过滤规则。 | |
| 地址转换 | 实现DNAT和SNAT的功能。 | |
| 黑名单 | 定义访问控制的黑名单。 | |
| 白名单 | 定义访问控制的白名单。 | |
| URL黑名单 | 定义访问控制的URL黑名单。 | |
| URL白名单 | 定义访问控制的URL白名单。 | |
| 网页防篡改 | 防护服务器探测 | 探测未在WEB应用防火墙上配置的网页防篡改服务器。 |
| 防护服务器配置 | 配置网页防篡改服务器的监控站点。 | |
| 防护服务器状态 | 查看网页防篡改服务器的工作状态。 | |
| 防护客户端下载 | 提供网页防篡改客户端下载。 | |
| 扫描器 | 扫描任务 | 增加、编辑、删除扫描任务信息。 |
| 扫描作业状态 | 查看扫描任务状态。 | |
| 日志系统 | 备份日志 | 日志的手工备份及自动备份。 |
| Syslog配置 | 配置发送远程Syslog数据。 | |
| 审计日志 | 查看审计日志。 | |
| 访问日志 | 查看访问日志和日志统计信息。 | |
| 攻击日志 | 查看攻击日志和日志统计信息。 | |
| DDoS日志 | 查看DDoS攻击日志和日志统计信息。 | |
| 网页防篡改日志 | 查看网页防篡改日志和日志统计信息。 | |
| BGP路由牵引日志 | 查看BGP路由牵引日志 | |
| 安全情报日志 | 查看安全情报日志和日志统计信息。 | |
| 生成报表 | 生成各种文件类型的报表。 | |
| IDP日志 | 查看IDP日志 | |
| 报表定期导出 | 定期生成报表 | |
| 系统诊断 | 远程支持 | 发送给支持人员请求远程支持。 |
| 诊断工具 | 提供Web Shell工具和tcpdump数据包下载功能。 | |
| HA管理 | VRRP配置 | 配置VRRP实例和VRRP组。 |
| 配置同步 | 配置同步参数实现WEB应用防火墙数据同步。 | |
多种部署方案
WEB应用往往是组织内的重要业务系统,稳定性要求较高,对于安全产品的部署模式有着多种多样的需求。H3C SecPath W2000-G2系列Web应用防火墙能够与客户的网络架构高度融合,支持镜像监测模式、镜像阻断防护模式、透明代理防护模式、透明防护模式、反向代理防护模式等多种防护方式,符合客户的IT管理要求。