Imperva Web应用安全解决方案

SecureSphere 系统保护用户的WEB应用攻击，例如SQL注入、Cookie毒化、参数篡改、路径遍历以及更多攻击（详见下面的列表）。动态评估技术自动创建WEB应用的使用和结构的正向安全模型，包括URL、http形式、参数、隐藏的域、Cookie、事务ID以及应答代码等。当用户和网络应用进行交互时，SecureSphere 系统密切监视他们的活动，并与安全模型比较。任何攻击的企图都将被监测到，并被阻止。

1.1 Web服务防火墙功能

SecureSphere的互联网服务网关主要针对XML、SOAP和WSDL等应用进行保护。如同SecureSphere系统的应用防火墙功能一样，服务网关采用Imperva公司的动态评估技术建立合法应用行为的安全模型，包括XML URL、SOAP行为、XML元素和XML属性。所有篡改网络服务应用模式或者变量的企图都会被识别出来，并加以阻止和防范

1.2 动态建模和自动策略

SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常深入复杂的策略。即，对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测，对比正常的访问行为基线；如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由设备的自学习功能完成，无需人工干预，而且还可以根据Web应用的变化进行自适应调整。同时，管理人员还可以进行微调，以得到最优的“充分必要”的策略。

1.3 Web入侵防护系统（IPS）

SecureSphere Web应用 IPS对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务器、应用服务器和操作系统软件的弱点（例如，IIS、Apache和Windows 2000）。SecureSphere的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。 SecureSphere系统同时提供多网络协议的Snort兼容的特征库，符合http协议和来自“应用防御中心”– Imperva自己内部的安全研究组织，的高级应用保护特征。SecureSphere 系统提供定时更新服务，确保安全保护的时效性。

Imperva作为业界领先的WAF解决方案供应商，有自己的安全机构（ADC）来研究各种特征代码，保证能够抵御最新出现的攻击方式和行为。Imperva的WAF系统最少每两周一次提供定时更新服务，确保安全保护的时效性。并且特征代码的更新应该是平滑而且不需要设备重新启动，或者重启服务。

1.4 多层次的防护及关联

SecureSphere不仅提供了创新的安全技术手段，如自动建模，防蠕虫扩散、高层协议检测；同时也整合了各种成熟的技术，如：网络防火墙、入侵检测和防护。特别需要指出的是SecureSphere的入侵检测技术是专门针对Web服务的，除了基本的Snort特征库，还提供丰富的Web应用和数据库应用的攻击特征库。

SecureSphere整合多种安全手段的目的不仅提供了多层次的安全防护，而且通过各个防护层次间内在的关联，可以极大的提高攻击识别的准确性，降低误报率。这对于时时处于广泛攻击环境下的WEB服务系统是至关重要的。

1.5 前后台关联

当今，Web服务系统发展的趋势是，除了提供静态信息的提供外，还提供与多种应用和服务的交互接口。网页交互和动态页面技术越来越多的扮演了核心的角色。同时由于动态页面技术的灵活性，它也成为了Web攻击的热点，包括通过动态页面与后台数据库的连接关系，获取和篡改应用系统的核心信息，如账号密码、用户信息、交易信息等。SecureSphere为Web网站和基于Web的应用提供全面安全防护，包括前台Web服务器和后台数据库；而且可以进行实时的前后台关联。因此SecureSphere可以帮助发现攻击的真正发起源，可以防护通过后门对数据库发起的攻击，提高攻击发现的能力，以及精确的从大量访问流量中阻断攻击流量。

1.6 功能强大的安全策略设置

SecureSphere系统允许安全管理员根据企业安全策略考量和网络流量的具体特征定义规则。定制的规则可以手工配置针对HTTP的请求，可以设定关键字过滤策略，过滤的关键字的规则数量至少是10000个。

1.7 灵活的告警分析

具有灵活展现和方便查找的告警分析功能。在告警的功能中，要可以详细显示和还原用户的HTTP的请求，可以通过策略的设定，灵活的显示在违反某种策略的情况下，系统可以显示并分析Server返回的页面，从而确定是否有数据泄露的情况产生以及泄露的数据有多少。

1.8 可集成知名的Web漏洞扫描工具

可以和世界知名的Web漏洞扫描工具（比如IBM,HP）进行集成。Imperva WAF可以导入这些厂家的扫描到的用户Web系统的漏洞结果文件，根据这个漏洞结果，直接动态生产安全策略，可以方便快捷的修补这种漏洞。

1.9 灵活方便的部署方式

SecureSphere可以灵活部署在网络中，作为透明的在线网桥、反向代理服务器或者非在线的网络监视器。由于其灵活性，尤其是在线透明网桥部署不需要改变已有的网络结构——包括DNS、IP地址和网络路由器、负载均衡系统和服务器。

利用独特的透明检测技术，SecureSphere系统检测Web流量、探测攻击和恶意的网络行为，而无需改变或者修改原有Web内容。SecureSphere系统可以提供完整和精确的应用安全解决方案，无需要求企业重新设计他们的Web应用，改变认证机制或者安装新的SSL证书

1.10 卓越的处理性能

SecureSphere系统提供G比特的吞吐量，每秒处理22000到36000多个事务（transaction），同时保持不到百万分之一秒的包延迟，此高性能令竞争对手望尘莫及。对很多用户而言，一个单独的SecureSphere网关就可以满足大型企业的需求，SecureSphere系统可以扩展出多个统一管理平台下的网关系统。应用了SecureSphere系统，安全问题不再会影响企业数据中心服务质量（SLA）。

1.11 高可用性

SecureSphere系统具有灵活的冗余方式以确保了最长的稳定运行时间和应用的可用性。

部署在桥接模式下的2个或者多个SecureSphere网关令Impreva高可用性(IMPVHA)协议可以提供毫秒级别的恢复。

冗余网关可以部署在具有冗余系统框架的环境里。当使用外部HA机制时，SecureSphere的透明部署模式支持主-备和主-主的冗余配置形式。

在线故障短接（bypass）网络接口确保了软件、硬件或者电源在出现故障时的可用性。