产品定位

中新金盾WEB应用防护系统，以下简称ZX-WAF，是中新网安基于ZXOS开发的新一代安全产品，作为网关设备，防护对象为Web、Webmail服务器，其设计目标为：针对安全事件发生时序进行安全建模，分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。ZX-WAF提供了业界领先的Web应用攻击防护能力，通过多种机制的分析检测，ZX-WAF的技术能够有效的阻断攻击，保证Web应用合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。同时，针对当前的热点问题，如SQL注入攻击、网页篡改、网页挂马等，ZX-WAF按照安全事件发生的时序考虑问题，优化最佳安全-成本平衡点，有效降低安全风险。

功能特点

全透明代理模式

ZX-WAF基于原透明代理引擎进行产品功能升级，替代了原代理引擎，在网桥上不用添加IP地址，实现在配置上透明，在服务器端能看见客户端的真实IP，实现WAF对服务器的真正的透明防护。

旁路阻断模式

在原有的IPS镜像检测基础上，实现了回注阻断攻击的请求。真正的规避开了单点故障问题，完美的保证了Web系统的正常运行。

文件上传规则防护

后门、木马上传怎么办，由于网站开发商的疏忽没能有效的控制上传文件的策略，WAF将帮您解决此问题。通过策略的定制化，有效的控制上传文件的类型、大小。通过严格的控制上传文件能有效的控制了后门、木马等难缠问题。

网络层防护

包过滤防火墙

ZX-WAF集成了传统防火墙的主要功能，提供包过滤、黑白名单、URL访问控制等基础网络层防护功能，可对Web服务器提供1-7层全面防护。

DDoS防护

ZX-WAF的防DDoS攻击模块采用主动监测加被动跟踪相互结合的防护技术，可辨识多种DDoS攻击，并启用特有的阻断，能够高效地完成对DDoS攻击的过滤和防护。针对互联网中常见的DDoS攻击手段，提供多种防护手段结合的方式，有效的阻断攻击行为，从而确保服务器可以正常提供服务。ZX-WAF提供对以下攻击的防护能力，包括：

l  基于每服务器的DDoS管理

l  CC攻击防护

l  客户端/服务器连接数限制

l  SYN-UDP-ICMP flood防护

l  TCP-UDP-ICMP流量管理

l  各种常见网络层攻击防护

l  xml DDoS防护

网页防篡改

ZX-WAF集成了网页防篡改功能，可集中管理控制各个网页防篡改端点，并提供监控、同步、发布功能。该网页防篡改具有以下特点：

l  基于文件夹驱动级保护技术，事件触发机制，只占用极少的系统资源。

l  与WAF联动：网页防篡改（端点技术）与WAF联动，阻断Web威胁。

l  采用文件级驱动保护技术，用户每次访问每个受保护网页时，Web 服务器在发送之前都进行完整性检查，保证网页的真实性，可以彻底杜绝篡改后的网页被访问的可能性。

l  支持Windows 2000/xp/2003/2008/2012(32和64位), Linux/BSD系统的网页防篡改。

l  发布服务器功能，提供网页防篡改的发布模式，能和主流的CMS系统集成进行内容发布。

负载均衡

ZX-WAF集成了服务器负载均衡功能，适用于大型网站多用户、高流量的应用场景。负载均衡在现有网络结构之上，提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。ZX-WAF采用了五种负载均衡算法支持分层架构设计模型，将网络拓扑与应用安全分离，减轻运维负担，大幅降低用户投资。

HTTPS卸载/加速

针对SSL加密应用，WAF根据业务模型提供HTTPS卸载和HTTPS加速应用，以提供更佳的客户体验或降低服务器负载。

HTTPS网守应用

SSL应用越来越广，能提供安全、可靠的HTTP服务，因此被大量采用。但有的客户因为条件限制无法提供HTTPS加密传输，因此面临较高的风险。ZX-WAF根据面向此种模型开发的HTTPS网守服务，能为客户提供无缝HTTPS服务，从而最大保护客户数据安全性。

可视化管理

ZX-WAF强大的设备监控功能，管理员可以实时监控设备的工作状态、攻击威胁等系统信息。目前监控信息分为3大类（ZX-WAF系统软件、硬件状态信息，Web安全攻击信息，网页防篡改系统信息），共计26种状态信息，从而使管理员可以随时对网络和防火墙的状态有详尽了解，及时发现并排除网络问题，保障应用的稳定运行。

三权分立

ZX-WAF按照“三权分立”思想设置了，“配置管理员”、“账户管理员”、“审计管理员”；避免内部人员修改设备配置造成的安全事故，同时也符合国家相关的政策标准要求。

日志留存和分析

ZX-WAF提供日志留存系统，系统会记录包括管理日志、网站访问日志、攻击日志、网页防篡改日志、DDoS日志、审计日志等，在日志量大或有长时间留存要求的场景中，ZX-WAF还提供了外置日志服务器。ZX-WAF还提供了先进的日志分析系统，以图形化展示各类日志，亦可以多种格式导出；方便用户统计网站安全状况。

网络环境支持

ZX-WAF可适应各种网络环境，支持链路聚合、VLan、ARP配置等功能，可无缝部署到客户的网络中。

ZX-WAF支持Trunk链路防护。支持IPV6的防护，可以适应各种网络环境。

高可用性

ZX-WAF采用ZXOS独有的双操作系统驱动模型，保证系统平滑的进行规则库、版本库、核心引擎的在线升级，避免可能的中断客户网络应用的情况发生。ZX-WAF 并且支持很多高可用性选项：高可用性(HA)：支持VRRP部署方式，满足大型网络环境部署需求；支持BYPASS模式：丰富的BYPASS选项，可以根据各项性能参数设置进入BYPASS状态，防止各种突发状况造成网络故障；丰富的部署模式：支持透明检测部署、旁路阻断部署、旁路检测模式、反向代理部署。

客户价值

通过更靠近服务器的部署位置，提供有效的服务器安全；识别拦截针对服务器的攻击行为，保障服务器自身安全；提供必要的服务器负载均衡功能，保障服务器稳定可用；识别保护服务器上传的敏感信息，保障服务器内容安全。

事前，ZX-WAF提供Web应用漏洞扫描功能，检测Web应用程序是否存在SQL注入、跨站脚本漏洞。

事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。可以有效的防止因黑客攻击而造成的用户网站被恶意篡改、恶意仿冒、敏感信息被泄露、网站被远程控制、被信息安全主管单位漏洞通报等安全事件的发生。客户可以对自身网站安全情况了然于胸，提升用户对自身网站安全防护的信心。

事后，可以通过对日志报表的分析，全面详细的了解自身网站遭受黑客攻击的状况，通过组织网站开发人员、网站安全人员对网站漏洞进行修复，使得网站更加安全，发生网站安全事件的几率更低。