1)部署模式
反向代理方式串联部署
通过反向代理方式逻辑串联在服务器之前,业务流量通过WAF来回正常转发。
与云平台其他组件对接后,云WAF支持对后端服务器端口和应用层面健康检查,对于健康检查异常的服务器不再转发业务流量。
可在管理界面中查看后端服务器健康检查状态。支持对进出的http流量进行安全检测防护。
2)https流量安全检测
https流量证书卸载和安全检测,通过与云环境中其他组件配合,云WAF支持卸载各版本SSL、TLS证书。
支持对证书卸载后的流量进行安全检测防护。
3)IPv6
支持IPv6流量安全检测防护。
4)高可用性HA
支持支持以物理机或虚拟节点方式高可用部署。
支持与其他组件对接,能够对WAF节点自身或集群的状态进行检查。
支持单个WAF节点故障后流量的自动切换,切换过程中业务流量不中断,安全检测防护功能正常。
5)弹性扩容
支持应用级别的自动或手工扩容,横向或纵向扩容。
节点扩容后流量正常负载到新扩容的WAF节点,安全检测防护功能正常。
6)集中管理
WAF集中式管理。
应用检测策略模板可在WAF集中管理平台创建后统一下发到同应用的所有WAF节点。
统一管理平台可以对单台配置进行克隆和统一下发。
统一管理平台支持WAF节点运行状态和性能容量监控。
7)自服务
支持与云平台对接,租户可以自助完成WAF节点资源的申请、部署、策略配置和自定义配置安全规则。
支持租户在WAF集中管理平台批量对该租户的多个WAF节点进行安全策略管理,更新特征库及安全检测规则。
8)租户管理安全
支持不同租户WAF节点和业务流量的逻辑隔离或物理隔离方案。
云WAF要支持租户间隔离,租户只能管理此租户下的WAF节点,支持不同租户的身份识别、身份认证的访问控制。
多租户之间的接口权限隔离,租户不能越权伪造其他租户对其他租户WAF进行管理。
云WAF需支持设置租户下不同权限的用户,包括租户用户管理员、租户运营管理员、租户审计管理员。租户用户管理员可管理此租户下的其他权限用户;租户运营管理员分为只读和读写用户,可对租户的WAF节点管理;租户审计管理员可以对租户下所有用户的操作记录进行审计检查。
9)http/https性能
在承载WAF节点的物理机资源相同条件下,真实http/https业务流量场景下的物理机上所有WAF节点的最大处理性能。
10)流量吞吐性能
在承载WAF节点的物理机资源一定的条件下,物理机上所有WAF节点的正常处理业务流量吞吐总和。
11)策略数量对性能影响
在承载WAF节点的物理机资源相同和并发会话量相同的条件,物理机上WAF节点启用全量安全策略与只启用基础安全防护策略时延,WAF节点对CPU和内存性能变化幅度。
12)攻击背景下正常业务流的处理能力测试
在承载WAF节点的物理机资源一定和并发会话量相同的条件下,在发生攻击的同时WAF节点占用物理机性能容量变化幅度,正常业务流量转发时延等指标。
13)大包处理性能
在承载WAF节点的物理机资源一定和并发会话量相同的条件下,以固定的QPS post指定长度的数据包请求,性能容量变化幅度等指标。
14)安全防护策略
基于攻击签名创建安全防护策略。
WAF节点要能支持基于特定攻击签名进行安全检测防护。
WAF要支持对多种平台服务器(IBM WAS、Apache、IIS、nginx等)的基于攻击签名安全防护。
WAF要支持常见CMS漏洞攻击防护。
安全防护策略
WAF要能通过自学习模式对目标站点流量进行学习,进而生成安全策略。
15)访问控制策略
支持基于原生的URL的访问控制、基于GET参数访问控制、解码路径控制。
基于host的访问控制、基于cookie的访问控制、基于User-Agent的访问控制、基于referer的访问控制、基于content-type的访问控制、基于X-Forwarded-For的访问控制、基于origin的访问控制。
基于method的访问控制、基于完整请求的访问控制、基于完整body的访问控制、基于上传文件名的访问控制、基于用户IP的访问控制、基于session的访问控制。
基于自定义脚本的访问控制、基于返回页面的访问控制、基于逻辑表达式的访问控制等。
16)白名单功能
WAF要求能够对http请求方法进行白名单配置,可以配置只允许的请求方法。支持基于域名和IP对请求进行频率或访问的黑白名单限制。
WAF要能检测到http请求方法与url之间的多空格字符。
WAF要能检测到缺少http协议版本号的http请求。
WAF要能配置文件头字段白名单,并检测各字段长度、值的合规性。
WAF要能检测到get、post请求不合法数据的传入并进行阻断。
post、get请求中包含应用中不存在的参数,云平台WAF要能识别并阻断此类请求。
WAF能对正常用户提交中的富文本标签进行安全检查,允许白名单中设定的富文本标签(如<b>、<font>等)通过,但不允许包含可能触发跨站的富文本标签通过。
17) 常规应用攻击防御
支持SQL注入攻击、XSS攻击、CSRF攻击、Java反序列化攻击、网页防盗链攻击、文件上传攻击、文件包含攻击、PHP代码注入攻击、Struts2/XWork远程命令执行、Web页面内容篡改等防护。
支持防御缓冲区溢出攻击、多层编译攻击、恶意代码执行攻击。
支持基于IP、URL速率的应用层DDoS攻击防护、支持慢速攻击防护。
支持对畸形包、不完整http header攻击、SSL封装攻击、应用参数篡改攻击。
支持对文件类型的访问控制、上传文件类型控制。
支持对爬虫和漏洞扫描防护。
支持真实IP识别,包括socket连接中的源IP和从X-Forwarded-For、X-Real-IP以及其他request字段中进行识别到的源IP。
支持蜜罐防护,可以根据预设过滤条件将特定攻击流量引入预定义的蜜罐服务器中。
能够基于用户的session进行控制管理,实现session级别的安全防护。
18) 绕过防护
支持SQL注入混淆攻击、XSS混淆攻击、文件上传混淆攻击、PHP代码注入攻击
要防止正则的%00、%0a、Ascii 00截断绕过、绕过域名防护、超大数据包绕过、变换变量位置绕过、不同POST解析绕过、异常数据包绕过、Ajax异步操作特殊处理绕过等。
19)安全场景防护
支持敏感信息隐藏
支持会话频繁交易限制
支持绕过交易中间步骤防护
支持密码暴力破解防护
20)支持多种编码和解码
支持对多种不同编码的识别和解码,包括Base64、URL Encoding、HTML Entities、Hex Encoding等编解码方式。
21)漏报和误报
要有较低和漏报率和误报率,根据准确率、误报率、漏报率综合测评排序。
22)安全事件日志
不仅能识别并拦截攻击,而且还能够记录详细的日志,系统提供的告警信息应该可以包括分析攻击事件的所有相关信息(包括源IP,目标IP,攻击类型、违反的策略、处理结果、攻击请求的原始信息、session-id等信息)
安全事件日志可以分为不同等级,不同等级的安全事件日志可配置为发送到不同的日志服务器。
23)监控告警
性能信息(包括CPU、内存、接口流量、新建和并发会话数)可以记录到系统运行日志中。日志信息支持分级,对于不同等级安全事件日志可以通过syslog,snmp等协议上送到不同的日志服务器。
支持通过SNMP、email、钉钉、飞书等方式发送节点运行事件告警。
21)安全事件统计分析
基于攻击事件的统计分析能力,是否能生成详细的报表。
能够按照攻击类型、IP、访问的域名和URL等维度对安全事件进行统计。
————————————————
版权声明:本文为CSDN博主「istan1ey」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/realmardrid/article/details/122539737