WAF (Web App Firewall)

Mô tả sản phẩm

Hillstone W-Series Web Application Firewall (WAF) cung cấp bảo mật toàn diện, cấp doanh nghiệp cho các máy chủ web, ứng dụng và API. Nó bảo vệ chống lại các cuộc tấn công ở cả các lớp mạng và ứng dụng, cung cấp khả năng bảo vệ chống lại DDoS, 10 mối đe dọa hàng đầu của OWASP và các cuộc tấn công bot, để liệt kê một vài ví dụ. Ngoài ra, WAF xác thực các API dựa trên cấu trúc dữ liệu(schema) được xác định trong OpenAPI và tự động tạo các chính sách mô hình bảo mật tích cực để phát hiện và bảo vệ chống lại các cuộc tấn công và lạm dụng.

Hillstone WAF kết hợp khả năng phát hiện truyền thống dựa trên quy tắc với công cụ phân tích ngữ nghĩa tân tiến. Cách tiếp cận song song này làm tăng đáng kể độ chính xác đồng thời giảm thiểu các kết quả dương tính sai. Hillstone WAF cũng tận dụng công nghệ máy học để tinh chỉnh các chính sách bảo mật, chặn các mối đe dọa và tấn công không xác định. Hơn nữa, nhật ký có thể được tự động tổng hợp trên nhiều phương diện để cho phép quản trị viên dễ dàng xác định các điểm bất thường đáng ngờ hoặc xác định các điểm dương tính giả, sau đó hoàn thiện thêm các chính sách nếu cần.

Bảo mật Ứng dụng Web toàn diện

Hillstone Web Application Firewall (WAF) cung cấp khả năng bảo mật hoàn chỉnh cho các ứng dụng và API dựa trên nền tảng web cho các doanh nghiệp và tổ chức. Nó phát hiện và bảo vệ chống lại các cuộc tấn công ở cả lớp mạng (như tấn công DDoS, tấn công flood, quét và giả mạo, …) và ở lớp ứng dụng (như 10 rủi ro hàng đầu của OWASP bao gồm tấn công tiêm chích, tấn công cross-site (XSS) , …). Hillstone WAF tự động phát hiện các máy chủ web và tài sản liên quan, và đặt chúng dưới sự bảo vệ của nó. Với khả năng này, Hillstone WAF bao phủ toàn bộ trang web ngay cả khi nó mở rộng quy mô, giúp nâng cao hiệu quả hoạt động và mang lại giá trị nhanh hơn.

Bảo vệ API nâng cao

Khi quá trình chuyển đổi kỹ thuật số tiếp tục phát triển, API ngày càng đóng vai trò quan trọng hơn trong việc phát triển và tích hợp ứng dụng. Sự phổ biến của API có khả năng làm lộ thêm các bề mặt bị tấn công, chẳng hạn như lộ dữ liệu quá mức, thiếu tài nguyên và giới hạn tốc độ, tấn công injection và XSS giữa các lệnh gọi API,… Dựa trên cấu trúc dữ liệu được xác định trong các tệp OpenAPI, Hillstone WAF giúp xác thực và tạo ra chính sách mô hình bảo mật tích cực để phát hiện các mối đe dọa đó trong API.

Cải thiện độ chính xác và hiệu quả phát hiện với công cụ kép

Hillstone WAF tích hợp công cụ phân tích ngữ nghĩa tân tiến nhất của ngành với các công cụ phát hiện truyền thống của WAF. Kết hợp với tính năng phát hiện dựa trên quy tắc truyền thống, công cụ phân tích ngữ nghĩa giúp phát hiện thêm các mối đe dọa như SQL injection và chèn mã độc cross-site, đồng thời giảm thiểu các lỗi dương tính giả. Khả năng giải mã đệ quy của Hillstone WAF cũng phát hiện các cuộc tấn công bị che khuất bởi nhiều lớp mã hóa. Cách tiếp cận công cụ kép này cải thiện đáng kể độ chính xác của việc phát hiện và hiệu quả trong hoạt động.

Tối ưu hóa quy tắc bảo mật với khả năng máy học và phòng thủ trước các cuộc tấn công không xác định

Ngoài khả năng bảo vệ chung dựa trên các quy tắc và kịch bản bảo vệ trước các cuộc tấn công đã biết, khả năng tự động học của Hillstone WAF giúp giảm thiểu các hoạt động khai thác lỗ hổng bảo mật chưa từng biết đến để bảo vệ các ứng dụng cụ thể khỏi các cuộc tấn công zero-day. Mô hình dựa trên máy học của nó học được từ dữ liệu của lưu lượng thông thường như độ dài tham số, cookie, phương thức HTTP,… tự điều chỉnh dựa trên kết quả kiểm tra cũng như thông tin đầu vào từ quản trị viên, đồng thời tiếp tục cập nhật mô hình tự học và tối ưu hóa các quy tắc WAF tương ứng với việc ứng dụng ngày càng phát triển. Nó giảm đáng kể chi phí hoạt động bằng cách loại bỏ việc khắc phục các sự cố dương tính giả và tinh chỉnh chính sách thủ công.

Nhật ký sự kiện phong phú để Phân tích và Báo cáo thông minh

Hillstone WAF cung cấp cho quản trị viên và nhân viên vận hành cái nhìn chi tiết và báo cáo toàn diện với phân tích mối đe dọa, phân tích lưu lượng truy cập, phân tích cuộc tấn công và kiểm soát mối đe dọa. Khả năng tổng hợp nhật ký sự kiện của nó cho phép tổng hợp từ nhiều phương diện, giúp người vận hành dễ dàng xác định các điểm bất thường đáng ngờ hoặc tìm các dương tính sai từ nhật ký, sau đó điều chỉnh các chính sách cho phù hợp.

Bảo vệ hệ thống ứng dụng Web (WAF)

Bảo vệ chống lại các thay đổi bất thường trên HTTP
SSL transparent proxy
Chống lại các dạng tấn công HTTP flood nhanh và chậm
Ngăn chặn tấn công tiêm nhiễm, bao gồm SQL injection, LDAP injection, SSI injection, Xpath injection, …
Phòng thủ trước các tấn công cross-site, bao gồm tấn công XSS và CSRF
Phân tích ngữ nghĩa dựa trên phát hiện tấn công SQL injection và XSS
Ngăn chặn rò rỉ dữ liệu từ: Lỗi server, lỗi cở sở dữ liệu, nội dung thư mục web, mã nguồn, từ khỏa, … Ngăn chặn rò rỉ dữ liệu cá nhân nhạy cảm như mã định danh, số thẻ ngân hàng, thẻ tín dụng, tài khoản mail, …
Bảo mật cookie, ngăn chặn giả mạo hoặc chiếm đoạt cookie, bảo vệ bằng chữ ký hoặc mã hóa cookie
Khả năng kiểm soát truy cập web để phòng ngừa các hành vi quét, thu thập dữ liệu và vượt quyền thư mục
Hỗ trợ bảo vệ trước các tấn công vào lỗ hổng máy chủ web, nền web và ứng dụng web.
Bảo vệ chống truy cập các tài nguyên trái phép, bao gồm tải lên bất hợp pháp, tải xuống bất hợp pháp và tấn công liên kết nóng; hỗ trợ kiểm soát tải xuống bất hợp pháp dựa trên kích thước tệp và loại tệp MIME
Phòng chống các loại mã độc như WebShell và Trojan, …
Phòng chống tấn công brute force
Hỗ trợ các quy tắc tùy chọn
Có các mẫu chính sách bảo vệ định sẵn, cho phép tùy chỉnh các chính sách bảo mật
Cập nhật cơ sở dấu hiệu nhận biết theo thời gian thực
Hỗ trợ nhận biết và bảo vệ API, cơ chế phòng chống thu thập dữ liệu và phát hiện lưu lượng duyệt web từ bot dựa trên nhận biết vân tay thiết bị, xác minh bằng CAPTCHA

Phòng chống tấn công Defacement

Hỗ trợ 2 chế độ hoạt động: chế độ học và chế độ bảo vệ
Hỗ trợ các loại trang web tĩnh tùy chỉnh được bảo vệ; hỗ trợ danh sách URL ngoại lệ cho chống giả mạo; hỗ trợ cài đặt thời lượng và thời gian cần bảo vệ
Hỗ trợ đồng bộ hóa với các máy chủ và thiết lập cơ bản bằng công cụ đồng bộ hóa tích hợp sẵn
Hỗ trợ giám sát giả mạo và các thay đổi thông thường
Hỗ trợ điều tra pháp chứng hành động giả mạo

Bảo vệ an ninh mạng

Hỗ trợ vá ảo dựa trên kết quả quét lỗ hổng hoặc các báo cáo được nhập
Ngăn chặn các loại tấn công DoS, bao gồm: tấn công Ping of Death, tấn công Teardrop, tấn công phân mảnh IP, tấn công Smurf and Fraggle, tấn công Land, tấn công gói tin lớn ICMP, …
Chống tấn công tràn ngập truy vấn DNS, hỗ trợ cấu hình mức cảnh báo theo địa chỉ nguồn và đích
Phòng chống bất thường trong gói tin TCP
Bảo vệ chống quét/giả mạo IP và quét cổng
Phòng chống trước các tấn công flooding, bao gồm: ICMP flood, UDP flood, SYN flood, …
Hỗ trợ định danh IP và chặn các IP có rủi ro cao
Hỗ trợ chính sách kiểm soát dựa trên HTTP header: Host, User-Agent, Accept, Accept-Language, Accept-Encoding, Referer, Cookie,…
Hỗ trợ HTTP2 trong chế độ reverse proxy, giải mã HTTPS và phát hiện lưu lượng IPv6 ở chế độ TAP

Chính sách tự động học

Hỗ trợ phát hiện và bảo vệ lưu lượng IPv6
Học thông minh các lưu lượng kết nối tới các trang web được bảo vệ, và tinh chỉnh các chính sách dựa trên kết quả học được.
Nội dung học được bao gồm: địa chỉ URL động, các truy vấn URL, phương thức truy cập HTTP, cookie và các thông tin khác.
Hỗ trợ chế độ học và chế độ bảo vệ; hỗ trợ tự động chuyển sang chế độ bảo vệ sau khi học.

Phản ứng phòng thủ

Hỗ trợ học từ các trang web URL nhất định
Hỗ trợ cảnh bảo chỉ khi có hành vi khả nghi được thực hiện
Hỗ trợ ngăn chặn hành động vi phạm quy tắc bảo mật và phản hồi bằng một trang cảnh báo
Hỗ trợ tùy chỉnh trang cảnh báo
Hỗ trợ chuyển hướng trang cảnh báo sang một trang URL khác
Hỗ trợ thêm whitelist (quy tắc ngoại lệ) thông qua log bảo vệ và trang URL, IP nguồn
Hỗ trợ thê các kẻ tấn công vào danh sách blacklist để ngăn chặn các lần truy cập tiếp theo
Hỗ trợ tương tác với firewall để áp dụng blacklist
Hỗ trợ kiểm soát truy cập dựa trên vị trí địa lý (geoIP)

Tăng tốc ứng dụng và Cân bằng tải máy chủ

Hỗ trợ web cache, nén trang và Ghép kênh TCP, xuất tải SSL, SSL proxy
Hỗ trợ tăng tốc phần cứng SSL
Hỗ trợ cân bằng tải máy chủ (ở chế độ reverse proxy), với các thuật toán weighted round-robin, kết nối ít nhất và hàm băm IP
Hỗ trợ cân bằng tải server cho cả IPv6
Hỗ trợ kiểm tra sức khỏe máy chủ. Hỗ trợ tùy chỉnh đối tượng trang web URL được kiểm tra trạng thái
Hỗ trợ sử dụng X-header như là địa chỉ IP cân bằng tải

Mô hình triển khai

Nhiều chế độ trển khai khác nhau, bao gồm:
- Transparent proxy mode
- TAP mode
- Reverse proxy mode
- One-arm reverse proxy mode
- Traction mode
Tự động phát hiện nội dung web
Hỗ trợ trang mặc định
Hỗ trợ trình đồ họa hướng dẫn triển khai

STT	Tên tài liệu	Tải về
1	Hillstone W-Series Web Application Firewall datasheet