HCY-WebTrust应用防火墙

HCY-WebTrust系列应用防火墙可以保护您的WEB网站免受来自协议层和应用层的攻击，有效阻止SQL注入攻击、跨站脚本攻击（XSS）、网站篡改等攻击种类。应用防火墙与传统的防火墙不同，传统防火墙仅仅是转发HTTP，HTTPS或FTP的应用层流量，而应用防火墙则是检查这些流量，将用户的WEB服务器和外部黑客隔绝。
　　HCY-WebTrus应用防火墙可以有效提高WEB应用的性能和安全性，具备管理方便、部署简单、配置简单的特点。
　　HCY-WebTrus系列应用防火墙有ZAFW-3000，ZAFW-3500等多种型号，适应于不同的应用场景。

功能描述：

HCY-WebTrust应用防火墙引擎采用智能的模式匹配语言进行规则设定，针对当前最流行的攻击方式和攻击载荷，采用标准的CRS(核心规则集），能为几乎全部的WEB架构提供关键性保护。

HCY-WebTrust应用防火墙的核心规则集与基于特征检测和已知漏洞的入侵检测系统不同，CRS基于攻击载荷标识的通用规则，能够保护WEB应用中大部分由代码造成的0 day和未知漏洞。

为了提供通用的WEB应用保护，HCY-WebTrust应用防火墙核心规则使用了以下技术：

协议匹配技术：

(1)HTTP请求验证：是防御的第一道防线，保证所有的异常HTTP请求都被检测出来。在保护WEB服务器时消除大量的自动和非针对性攻击。

(2)HTTP协议异常检查：HTTP协议异常通常意味着攻击。

(3)全局约束：限制不同HTTP协议属性的大小和长度，例如请求的全长和参数的数量和长度。确保这些属性能预防缓冲区溢出和参数操纵许等多种攻击。

(4)HTTP使用策略 ：验证请求是否违反预先定义的策略。例如设置对请求方法、内容类型和扩展等请求属性的限制。

攻击检测技术：

(1)恶意客户端软件检测 ：检测恶意自动程序，例如机器人、爬虫、安全扫描器的请求。恶意自动程序会从网站收集信息，耗费带宽和搜索网站漏洞。检测恶意爬虫能有效抵抗内容垃圾。

(2)通用攻击检测 ：检测像OWASP TOP 10中描述的应用层攻击。这些规则基于内容上下文匹配，在规范化的域中检测攻击载荷。能检测以下攻击：

注入攻击（Injection flaws）：包括SQL注入，系统命令注入，程序参数注入，Xapp开发

跨站脚本（Cross Site Scripting -- XSS）：包括最常见的三种跨站攻击方式1、存储式跨站攻击（Stored XSS Attacks）；2、反射式跨站攻击（Reflected XSS Attacks）；3、基于DOM的跨站攻击（DOM Based XSS）

不安全的直接对象引用（Insecure Direct Object References）。

跨站请求欺骗（Cross-Site Request Forgery (CSRF)）。 

配置安全缺陷（Security Misconfiguration）。 

访问限制失败(Failure to Restrict URL Access URL)。 

恶意探测与网站爬行(Anti-scan and Site Crawl)。 

Cookie假冒与Session劫持。 

HTTP头信息篡改攻击等。

DOS（拒绝服务）攻击。

(3)木马和后门检测：检测已经安装在系统中的木马和后门的尝试接入行为。在一些后门已经被非法上传和恶意利用的时候非常重要。

动态攻击阻断：

系统动态监测每个IP在单位时间（每分钟）内的攻击次数（包括探测和扫描性攻击），对于超过一定阈值的IP（如每分钟攻击次数超过60次），进行三层阻断。

其它保护功能：

(1)错误检测 ：阻止应用程序的出错信息发给用户，能提高服务器攻击的难度，也是防御攻击的最后一道防线。

(2)XML保护 ：核心规则集能设置成检查多种XML载荷。

(3)搜素引擎监控：记录搜索引擎爬虫访问网站时的行为。

网站加速功能：

系统提供512M的网站内容动态内存级缓存，提高网页的访问速度。