產品定位

中新金盾WEB應用防護系統，以下簡稱ZX-WAF，是中新網安基于ZXOS開發的新一代安全產品，作為網關設備，防護對象為Web、Webmail服務器，其設計目標為：針對安全事件發生時序進行安全建模，分別針對安全漏洞、攻擊手段及最終攻擊結果進行掃描、防護及診斷，提供綜合Web應用安全解決方案。ZX-WAF提供了業界領先的Web應用攻擊防護能力，通過多種機制的分析檢測，ZX-WAF的技術能夠有效的阻斷攻擊，保證Web應用合法流量的正常傳輸，這對于保障業務系統的運行連續性和完整性有著極為重要的意義。同時，針對當前的熱點問題，如SQL注入攻擊、網頁篡改、網頁掛馬等，ZX-WAF按照安全事件發生的時序考慮問題，優化最佳安全-成本平衡點，有效降低安全風險。

功能特點

全透明代理模式

ZX-WAF基于原透明代理引擎進行產品功能升級，替代了原代理引擎，在網橋上不用添加IP地址，實現在配置上透明，在服務器端能看見客戶端的真實IP，實現WAF對服務器的真正的透明防護。

旁路阻斷模式

在原有的IPS鏡像檢測基礎上，實現了回注阻斷攻擊的請求。真正的規避開了單點故障問題，完美的保證了Web系統的正常運行。

文件上傳規則防護

后門、木馬上傳怎么辦，由于網站開發商的疏忽沒能有效的控制上傳文件的策略，WAF將幫您解決此問題。通過策略的定制化，有效的控制上傳文件的類型、大小。通過嚴格的控制上傳文件能有效的控制了后門、木馬等難纏問題。

網絡層防護

包過濾防火墻

ZX-WAF集成了傳統防火墻的主要功能，提供包過濾、黑白名單、URL訪問控制等基礎網絡層防護功能，可對Web服務器提供1-7層全面防護。

DDoS防護

ZX-WAF的防DDoS攻擊模塊采用主動監測加被動跟蹤相互結合的防護技術，可辨識多種DDoS攻擊，并啟用特有的阻斷，能夠高效地完成對DDoS攻擊的過濾和防護。針對互聯網中常見的DDoS攻擊手段，提供多種防護手段結合的方式，有效的阻斷攻擊行為，從而確保服務器可以正常提供服務。ZX-WAF提供對以下攻擊的防護能力，包括：

l  基于每服務器的DDoS管理

l  CC攻擊防護

l  客戶端/服務器連接數限制

l  SYN-UDP-ICMP flood防護

l  TCP-UDP-ICMP流量管理

l  各種常見網絡層攻擊防護

l  xml DDoS防護

網頁防篡改

ZX-WAF集成了網頁防篡改功能，可集中管理控制各個網頁防篡改端點，并提供監控、同步、發布功能。該網頁防篡改具有以下特點：

l  基于文件夾驅動級保護技術，事件觸發機制，只占用極少的系統資源。

l  與WAF聯動：網頁防篡改（端點技術）與WAF聯動，阻斷Web威脅。

l  采用文件級驅動保護技術，用戶每次訪問每個受保護網頁時，Web 服務器在發送之前都進行完整性檢查，保證網頁的真實性，可以徹底杜絕篡改后的網頁被訪問的可能性。

l  支持Windows 2000/xp/2003/2008/2012(32和64位), Linux/BSD系統的網頁防篡改。

l  發布服務器功能，提供網頁防篡改的發布模式，能和主流的CMS系統集成進行內容發布。

負載均衡

ZX-WAF集成了服務器負載均衡功能，適用于大型網站多用戶、高流量的應用場景。負載均衡在現有網絡結構之上，提供了一種廉價有效的方法擴展服務器帶寬和增加吞吐量，加強網絡數據處理能力，提高網絡的靈活性和可用性。ZX-WAF采用了五種負載均衡算法支持分層架構設計模型，將網絡拓撲與應用安全分離，減輕運維負擔，大幅降低用戶投資。

HTTPS卸載/加速

針對SSL加密應用，WAF根據業務模型提供HTTPS卸載和HTTPS加速應用，以提供更佳的客戶體驗或降低服務器負載。

HTTPS網守應用

SSL應用越來越廣，能提供安全、可靠的HTTP服務，因此被大量采用。但有的客戶因為條件限制無法提供HTTPS加密傳輸，因此面臨較高的風險。ZX-WAF根據面向此種模型開發的HTTPS網守服務，能為客戶提供無縫HTTPS服務，從而最大保護客戶數據安全性。

可視化管理

ZX-WAF強大的設備監控功能，管理員可以實時監控設備的工作狀態、攻擊威脅等系統信息。目前監控信息分為3大類（ZX-WAF系統軟件、硬件狀態信息，Web安全攻擊信息，網頁防篡改系統信息），共計26種狀態信息，從而使管理員可以隨時對網絡和防火墻的狀態有詳盡了解，及時發現并排除網絡問題，保障應用的穩定運行。

三權分立

ZX-WAF按照“三權分立”思想設置了，“配置管理員”、“賬戶管理員”、“審計管理員”；避免內部人員修改設備配置造成的安全事故，同時也符合國家相關的政策標準要求。

日志留存和分析

ZX-WAF提供日志留存系統，系統會記錄包括管理日志、網站訪問日志、攻擊日志、網頁防篡改日志、DDoS日志、審計日志等，在日志量大或有長時間留存要求的場景中，ZX-WAF還提供了外置日志服務器。ZX-WAF還提供了先進的日志分析系統，以圖形化展示各類日志，亦可以多種格式導出；方便用戶統計網站安全狀況。

網絡環境支持

ZX-WAF可適應各種網絡環境，支持鏈路聚合、VLan、ARP配置等功能，可無縫部署到客戶的網絡中。

ZX-WAF支持Trunk鏈路防護。支持IPV6的防護，可以適應各種網絡環境。

高可用性

ZX-WAF采用ZXOS獨有的雙操作系統驅動模型，保證系統平滑的進行規則庫、版本庫、核心引擎的在線升級，避免可能的中斷客戶網絡應用的情況發生。ZX-WAF 并且支持很多高可用性選項：高可用性(HA)：支持VRRP部署方式，滿足大型網絡環境部署需求；支持BYPASS模式：豐富的BYPASS選項，可以根據各項性能參數設置進入BYPASS狀態，防止各種突發狀況造成網絡故障；豐富的部署模式：支持透明檢測部署、旁路阻斷部署、旁路檢測模式、反向代理部署。

客戶價值

通過更靠近服務器的部署位置，提供有效的服務器安全；識別攔截針對服務器的攻擊行為，保障服務器自身安全；提供必要的服務器負載均衡功能，保障服務器穩定可用；識別保護服務器上傳的敏感信息，保障服務器內容安全。

事前，ZX-WAF提供Web應用漏洞掃描功能，檢測Web應用程序是否存在SQL注入、跨站腳本漏洞。

事中，對黑客入侵行為、SQL注入/跨站腳本等各類Web應用攻擊、DDoS攻擊進行有效檢測、阻斷及防護?？梢杂行У姆乐挂蚝诳凸舳斐傻挠脩艟W站被惡意篡改、惡意仿冒、敏感信息被泄露、網站被遠程控制、被信息安全主管單位漏洞通報等安全事件的發生?？蛻艨梢詫ψ陨砭W站安全情況了然于胸，提升用戶對自身網站安全防護的信心。

事后，可以通過對日志報表的分析，全面詳細的了解自身網站遭受黑客攻擊的狀況，通過組織網站開發人員、網站安全人員對網站漏洞進行修復，使得網站更加安全，發生網站安全事件的幾率更低。