科普特
Home   │   E-mail   │   Contact us
DNS/DHCP/IP综合管理 Bluecat
上网行为管理 Bluecoat
网络加速 Bluecoat
入侵防御 Tippingpoint
数据安全 Imperva
当前位置: 科普特 > 解决方案
数据安全 Imperva

Imperva

Imperva的优势技术
   对比于其他的传统WAF厂家,Imperva提供以下新一代WAF的先进技术,在更加有力的保护用户的Web应用、防止未知攻击方面取得更精确的保护的同时,可以在管理上大大减轻用户的负担,其别的厂家所不具有的优势先进技术包括以下方面:
1.动态建模
     传统的WAF都是基于已知的安全特征的安全检测和防护手段,而且它们只能做到防止已知的攻击。但是对于Web应用中大量采用,而同时又是被攻击的主要目标的动态页面是无能为力的。这是因为,动态页面本身就是没有固定模式的,所以针对它的攻击也是没有固定特征的。
   同时,必须注意到,完全依赖特征库的检测和防护技术,不可避免的具有很高的误报率和漏报率,并且在两者之间很难达到平衡。
   目前,大多数网站采用的都是这种技术,它们也了解其中的问题,只是没有更好的技术来取代而已。而Imperva的SecureSphere Web应用防火墙采用新型防护手段,既有效地弥补了传统防护方式的不足,又具有很多新的特点。
   作为新型的Web应用防火墙,SecureSphere的特点是基于正向模型即,为模型的安全检测技术可以从根本上解决上述传统Web防护的问题,尤其是当两者结合的时候。
   SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常深入复杂的策略。即,对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测,对比正常的访问行为基线;如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由设备的自学习功能完成,无需人工干预,而且还可以根据Web应用的变化进行自适应调整。同时,管理人员还可以进行微调,以得到最优的“充分必要”的策略。
   Imperva公司的动态建模技术能够建立合法应用行为的模型,随时间变化而逐渐适应网络应用变化,始终保持SecureSphere系统应用保护能力的时效性和准确性。在很短时间内,无须改变其原有数据中心结构,SecureSphere系统的部署就能够实现的对攻击行为的防护,也无须手工配置和调整。
   2.在线桥接部署
   传统的WAF多采用反向代理和透明代理方式,Imperva在支持这些传统部署方式上,更支持更加灵活和对业务影响最小的在线桥接部署方式。 代理方式从根本上说就是要终结客户端的发到服务器端的http请求,进行检测,然后再重组http的数据包,发给后面的server。可以看到这种方式对应用是有影响的。如果是传统反向代理方式,需要DNS更改配置,将域名解析成WAF的ip,并且必须要采用双机,不然如果一个WAF坏掉了,就无法相应用户的请求了。及时是透明代理方式,只不过配置简单了,不需要DNS的改变,但是WAF本身依然要终结并重组用户的session,因此潜在还是会在延时和性能方面对用户的业务造成影响。
   Imperva支持独特的在线网桥方式的部署,网桥对于网络是固有透明的。因为是充当第二层网桥(无 IP 地址),所以网桥部署是“即插即用”的,无需任何配置。
   Imperva 实现的 SecureSphere 网桥可在故障的时候做到“故障直通(bypass)”,这样即使在设备发生故障的时候还可以通过 Web 通信流,不会影响正常的业务。
   桥接模式使用 Imperva 的透明检测技术,安全引擎会对到达 SecureSphere 网关网桥的每个包进行检查。 “透明检测”可解析、跟踪和重构 HTTP 事务而无需中断 HTTP 连接。该部署方法能够提供一个对应用程序与网络透明的(因此,几乎无需变更任何部署)、高吞吐量、低延迟的解决方案。因而,当系统运行环境对网络延迟敏感,需要高吞吐量或无法容忍应用程序和网络部署修改时,许多 SecureSphere WAF 客户选择将系统部署于透明桥接模式。
   要防护应用程序级攻击,应用程序层防火墙必须分析完整的 TCP 流。TCP 流是来自各个 IP 分组的数据的组合,使 TCP/IP 成为连续有序的应用数据流。一旦流被重构,WAF 可以查看和检测完整的应用程序请求并应用适当的安全策略。
   SecureSphere 会维持一个“影子”TCP/IP 堆栈以重构 TCP 流。在将完整的请求发送至 Web 服务器之前,该影子 TCP/IP 堆栈会以正确的 TCP 序列处理数据,并会分析各个 HTTP 请求。如果检测到攻击,违规分组将会被丢弃,整个连接将会被阻止。因为 SecureSphere 会在完成连接之前分析 TCP 流,所以 SecureSphere 始终先于应用程序服务器一步,能够在完整的请求到达应用程序服务器之前,防范任何攻击和应用阻止策略。
   3.灵活而强大的关联规则分析能力
   SecureSphere不仅提供了创新的安全技术手段,如自动建模,防蠕虫扩散、高层协议检测;同时也整合了各种成熟的技术,如:网络防火墙、入侵检测和防护。特别需要指出的是SecureSphere的入侵检测技术是专门针对Web服务的,除了基本的Snort特征库,还提供丰富的Web应用和数据库应用的攻击特征库。
   SecureSphere整合多种安全手段的目的不仅提供了多层次的安全防护,而且通过各个防护层次间内在的关联,可以极大的提高攻击识别的准确性,降低误报率。这对于时时处于广泛攻击环境下的WEB服务系统是至关重要的。
   SecureSphere包括了动态的正向(白名单)和反向(黑名单)安全模式。即时攻击有效验证(IAV)立刻根据两种模式中的一种验证和阻止所有已知的违规行为。对于不明显的复杂攻击,Imperva专利的关联攻击验证(CAV)技术把多层次的违规记录关联起来,事后从合法用户访问行为中分离出来。CAV技术能够把来自SecureSphere系统中所有安全记录的相关信息关联起来,得到独立安全产品无法达到的准确程度。
   4.及时的ADC特征代码和动态策略更新
   Imperva内部有一个20多人组成的安全专家小组,称为ADC(application defense center)。这些人都是Web安全方面的专家,有很多是久负盛名的黑客。他们负责收集并研究最新出现的安全危险,同时服务多个世界知名的Imperva的客户,给他们提供最新的Web安全建议和策略的制定。ADC的工作包括:
   Imperva的ADC对应用的安全威胁进行了深入的研究 分析了100多个网站的真实的流量和攻击 研究普遍的攻击特点以研发出警确的安全手段(缺省策略、特征、关联规则) ADC的安全手段能检测和阻断: 应用缺陷 (PHP, Perl, OWA) 跨站,SQL注入,操作系统指令注入的模式 HTTP协议的违反 已知的蠕虫和第零日蠕虫 ADC安全手段会定期更新,对于严重的威胁即时更新,这些更新包括两个部分:特征代码和动态策略。特征代码包含最新出现的攻击方式的特征,动态策略包括通过定制策略来防御最新出现的攻击行为,Imperva的设备支持自动或者手动方式的ADC内容更新,通过这种更新方式,使得用户可以最及时的防御最新出现的攻击手段。
   5.和国际知名的漏洞扫描软件集成
   Imperva提供Web 漏洞扫描软件集成和漏洞管理是 SecureSphere Web安全和风险管理中的重要组成部分。它可以使 SecureSphere 与大量领先的 Web 应用 程序漏洞扫描程序集成,这样,您便可以对在 Web应用程序中通过 Web 漏洞扫描程序检测到的漏洞进行检测和通过虚拟补丁的方式修补。
  首先,您可以通过外部 Web 扫描程序执行一次扫描。然后,您可以将扫描结果导入SecureSphere,导入后,SecureSphere 将使用这些结果自动创建用于修复在Web 服务器上识别的漏洞的安全策略,同时用户可编辑此安全策略。SecureSphere支持以下知名品牌的Web漏洞扫描软件: IBM HP WhiteHat Qualys Cenzic NTObject 通过这种虚拟补丁的方式,Imperva在不中断正常业务的情况下,在不需要改变代码的情况下,把代码或者平台带来的安全漏洞无缝的进行修复,使得Web服务的安全性大大加强。
   6.中文的支持
   Imperva做为对中国市场的大力支持和投入,提供中文版的操作界面(管理界面),包括中文版本的报告,这是在其他国外厂商中唯一的一家。
   7.未来无缝扩展到数据库的全面应用安全解决方案
   Imperva做为全面的应用安全解决方案提供者,其SecureSphere WAF产品能够平滑过渡到具有数据库保护功能,这种过渡是平滑的,不用更换硬件,不用停机或者重启设备。或者Imperva可以提供由管理器统一管理,统一界面的单独的数据库安全产品。我们的这一解决方案成为数据安全套件。利用Imperva的解决方案具有Web与数据库相关连技术,能够在应用程序的更深层次识别用户身份。通过在 Web 相关事件与数据库相关事件之间建立关联,产品可以提取相关的 Web 事件属性,例如应用程序用户 ID、IP地址 和请求的 URL,并且将它们与应用安全保护系统记录的关联数据库事件联系起来。
   8.强大的日志分析和报告功能
   Imperva在攻击的日志中记录HTTP请求的相信内容(包括ip、url、参数、头信息等等),这种详细的日志记录是其他竞争对手所没有的,其目的是用来做误报的分析和策略的优化。SecureSphere的日志还可以发给核心的SIEM软件或者管理系统,如Arcsight、Envision等等。并且SecureSphere还具有其他竞争对手所无法比拟的报告功能,除了丰富的内置报告模板之外,SecureSphere还可以根据管理员的要求定制任意格式、任意内容的工具分析报告,提供对任何时刻的攻击行为的清晰了解和分析。
  
Home   │   About us   │   Product   │   Contact us Copyright 2009 KPT Technology All Rights Reserved .