首页 > 其他分享 >信息安全之WAF需求及功能清单

信息安全之WAF需求及功能清单

时间:2022-12-22 11:45:34浏览次数:52  
标签:租户 WAF 信息安全 支持 访问控制 攻击 清单 节点

1)部署模式

反向代理方式串联部署
通过反向代理方式逻辑串联在服务器之前,业务流量通过WAF来回正常转发。
与云平台其他组件对接后,云WAF支持对后端服务器端口和应用层面健康检查,对于健康检查异常的服务器不再转发业务流量。
可在管理界面中查看后端服务器健康检查状态。支持对进出的http流量进行安全检测防护。

 

2)https流量安全检测

https流量证书卸载和安全检测,通过与云环境中其他组件配合,云WAF支持卸载各版本SSL、TLS证书。
支持对证书卸载后的流量进行安全检测防护。

 

3)IPv6

支持IPv6流量安全检测防护。

4)高可用性HA

支持支持以物理机或虚拟节点方式高可用部署。
支持与其他组件对接,能够对WAF节点自身或集群的状态进行检查。
支持单个WAF节点故障后流量的自动切换,切换过程中业务流量不中断,安全检测防护功能正常。

5)弹性扩容

支持应用级别的自动或手工扩容,横向或纵向扩容。
节点扩容后流量正常负载到新扩容的WAF节点,安全检测防护功能正常。

6)集中管理

WAF集中式管理。
应用检测策略模板可在WAF集中管理平台创建后统一下发到同应用的所有WAF节点。
统一管理平台可以对单台配置进行克隆和统一下发。
统一管理平台支持WAF节点运行状态和性能容量监控。

7)自服务

支持与云平台对接,租户可以自助完成WAF节点资源的申请、部署、策略配置和自定义配置安全规则。
支持租户在WAF集中管理平台批量对该租户的多个WAF节点进行安全策略管理,更新特征库及安全检测规则。

8)租户管理安全

支持不同租户WAF节点和业务流量的逻辑隔离或物理隔离方案。
云WAF要支持租户间隔离,租户只能管理此租户下的WAF节点,支持不同租户的身份识别、身份认证的访问控制。
多租户之间的接口权限隔离,租户不能越权伪造其他租户对其他租户WAF进行管理。
云WAF需支持设置租户下不同权限的用户,包括租户用户管理员、租户运营管理员、租户审计管理员。租户用户管理员可管理此租户下的其他权限用户;租户运营管理员分为只读和读写用户,可对租户的WAF节点管理;租户审计管理员可以对租户下所有用户的操作记录进行审计检查。

9)http/https性能
  在承载WAF节点的物理机资源相同条件下,真实http/https业务流量场景下的物理机上所有WAF节点的最大处理性能。

10)流量吞吐性能
  在承载WAF节点的物理机资源一定的条件下,物理机上所有WAF节点的正常处理业务流量吞吐总和。

11)策略数量对性能影响
  在承载WAF节点的物理机资源相同和并发会话量相同的条件,物理机上WAF节点启用全量安全策略与只启用基础安全防护策略时延,WAF节点对CPU和内存性能变化幅度。

12)攻击背景下正常业务流的处理能力测试
  在承载WAF节点的物理机资源一定和并发会话量相同的条件下,在发生攻击的同时WAF节点占用物理机性能容量变化幅度,正常业务流量转发时延等指标。

13)大包处理性能
  在承载WAF节点的物理机资源一定和并发会话量相同的条件下,以固定的QPS post指定长度的数据包请求,性能容量变化幅度等指标。

14)安全防护策略

基于攻击签名创建安全防护策略。
WAF节点要能支持基于特定攻击签名进行安全检测防护。
WAF要支持对多种平台服务器(IBM WAS、Apache、IIS、nginx等)的基于攻击签名安全防护。
WAF要支持常见CMS漏洞攻击防护。

  安全防护策略
  WAF要能通过自学习模式对目标站点流量进行学习,进而生成安全策略。

15)访问控制策略

支持基于原生的URL的访问控制、基于GET参数访问控制、解码路径控制。
基于host的访问控制、基于cookie的访问控制、基于User-Agent的访问控制、基于referer的访问控制、基于content-type的访问控制、基于X-Forwarded-For的访问控制、基于origin的访问控制。
基于method的访问控制、基于完整请求的访问控制、基于完整body的访问控制、基于上传文件名的访问控制、基于用户IP的访问控制、基于session的访问控制。
基于自定义脚本的访问控制、基于返回页面的访问控制、基于逻辑表达式的访问控制等。

16)白名单功能

WAF要求能够对http请求方法进行白名单配置,可以配置只允许的请求方法。支持基于域名和IP对请求进行频率或访问的黑白名单限制。
WAF要能检测到http请求方法与url之间的多空格字符。
WAF要能检测到缺少http协议版本号的http请求。
WAF要能配置文件头字段白名单,并检测各字段长度、值的合规性。
WAF要能检测到get、post请求不合法数据的传入并进行阻断。
post、get请求中包含应用中不存在的参数,云平台WAF要能识别并阻断此类请求。
WAF能对正常用户提交中的富文本标签进行安全检查,允许白名单中设定的富文本标签(如<b>、<font>等)通过,但不允许包含可能触发跨站的富文本标签通过。

17) 常规应用攻击防御

支持SQL注入攻击、XSS攻击、CSRF攻击、Java反序列化攻击、网页防盗链攻击、文件上传攻击、文件包含攻击、PHP代码注入攻击、Struts2/XWork远程命令执行、Web页面内容篡改等防护。
支持防御缓冲区溢出攻击、多层编译攻击、恶意代码执行攻击。
支持基于IP、URL速率的应用层DDoS攻击防护、支持慢速攻击防护。
支持对畸形包、不完整http header攻击、SSL封装攻击、应用参数篡改攻击。
支持对文件类型的访问控制、上传文件类型控制。
支持对爬虫和漏洞扫描防护。
支持真实IP识别,包括socket连接中的源IP和从X-Forwarded-For、X-Real-IP以及其他request字段中进行识别到的源IP。
支持蜜罐防护,可以根据预设过滤条件将特定攻击流量引入预定义的蜜罐服务器中。
能够基于用户的session进行控制管理,实现session级别的安全防护。

18) 绕过防护

支持SQL注入混淆攻击、XSS混淆攻击、文件上传混淆攻击、PHP代码注入攻击
要防止正则的%00、%0a、Ascii 00截断绕过、绕过域名防护、超大数据包绕过、变换变量位置绕过、不同POST解析绕过、异常数据包绕过、Ajax异步操作特殊处理绕过等。

19)安全场景防护

支持敏感信息隐藏
支持会话频繁交易限制
支持绕过交易中间步骤防护
支持密码暴力破解防护

20)支持多种编码和解码
  支持对多种不同编码的识别和解码,包括Base64、URL Encoding、HTML Entities、Hex Encoding等编解码方式。

21)漏报和误报
  要有较低和漏报率和误报率,根据准确率、误报率、漏报率综合测评排序。

22)安全事件日志

不仅能识别并拦截攻击,而且还能够记录详细的日志,系统提供的告警信息应该可以包括分析攻击事件的所有相关信息(包括源IP,目标IP,攻击类型、违反的策略、处理结果、攻击请求的原始信息、session-id等信息)
安全事件日志可以分为不同等级,不同等级的安全事件日志可配置为发送到不同的日志服务器。

23)监控告警

性能信息(包括CPU、内存、接口流量、新建和并发会话数)可以记录到系统运行日志中。日志信息支持分级,对于不同等级安全事件日志可以通过syslog,snmp等协议上送到不同的日志服务器。
支持通过SNMP、email、钉钉、飞书等方式发送节点运行事件告警。

21)安全事件统计分析

基于攻击事件的统计分析能力,是否能生成详细的报表。
能够按照攻击类型、IP、访问的域名和URL等维度对安全事件进行统计。

————————————————
版权声明:本文为CSDN博主「istan1ey」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/realmardrid/article/details/122539737

标签:租户,WAF,信息安全,支持,访问控制,攻击,清单,节点
From: https://www.cnblogs.com/HondaHsu/p/16998046.html

相关文章

  • k8s yaml资源清单格式
    k8s由于资源比较多,组合起来参数众多,不适合用cli传参的形式。因此用yaml文件的形式传参给k8s。yaml文件相当于剧本,运维人员相当于制片人,k8s相当于导演,docker相当于剧务、po......
  • 信息安全之企业信息安全整体架构
    版权所有:https://blog.csdn.net/hsabrina/article/details/125780244,仅用于学习一信息安全目标信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可......
  • Windows安全事件ID清单
    ID desc1100 事件记录服务已关闭1101 审计事件已被运输中断。1102 审核日志已清除1104 安全日志现已满1105 事件日志自动备份1108 事件日志记录服务遇到错误4608 Wi......
  • Android官方技术文档翻译——清单合并
    翻译工作耗时费神,如果你觉得本文翻译得还OK,请点击文末的“顶”;如有错讹,敬请指正。谢谢。 这个新的合并工具是gradleandroid插件的0.10版中引入的。截至0.11版本,该gr......
  • 网络信息安全 古典密码(仿射、PlayFair)DES RSA
     网络信息安全实验报告课程名称网络信息安全实验项目名称古典密码、对称密码、非对称密码实验时间(日期及节次)周五三、四节专业软件工......
  • 利联科技:WAF防御是什么意思?
    ​​利联科技​​——WAF防御意思​下面琪琪给大家分享下WAF防护的意思是什么~ WAF防护:   WAF英文全称为(WebApplicationFirewall)中文:网站应用级入侵防御系统,是一项......
  • HeiGi的愿望清单
    HeiGi的愿望清单(2028以前)CCF程序设计能力(仅供参考)10级✔获奖信息[2023]CSP入门一等奖[2023]CSP提高二等奖[2024]CSP提高一等奖[2024]NOIP三等奖......
  • postgresql/lightdb主要的extension及客户端工具清单(持续更新)
    如果说mysql因为其多引擎架构被人称赞,那么在postgresql中,extension开放性则完全可以说是完胜,而且其生态相比mysql而言,明显不在一个级别。本文维护了postgresql重要的三......
  • 《信息安全工程技术应用》课程设计报告
    基于密码算法库的国密算法支持研究与应用小组成员:20201230张国强20201206韩进20201214罗云帆20201216徐嘉骏指导教师:娄嘉鹏提交时间:2022年12月10日一、设计方案及......
  • 信息安全之网络安全-windows系统基础知识DNS服务器部署与安全
    DNS部署与安全1概述1.1相关概念1.2域名结构——树形结构2DNS解析分类及解析过程2.1按查询方式分类:2.2按查询的内容分类2.3用户机的DNS解析详细过程2.4服务器对域名......