对于网站管理员,他们不满意购买的WAF设备还需要向CA申请SSL证书,部署SSL证书到WAF设备中,每年都折腾一次。我们的产品是一个自动化申请和部署SSL证书支持https加密的WAF设备,既能满足用户Web服务器WAF防护的需要,还能自动化实现https加密,包括RSA算法https加密和国密算法https加密。
我们的解决方案不像传统WAF厂商那样需要用户向CA申请SSL证书并配置到WAF设备上,而是WAF设备自动化配置SSL证书,WAF设备费用含5年双算法SSL证书费用。我们把SSL证书自动化管理服务和传统的WAF设备整合为一个全新的产品--国密WAF自动化网关,让网关去自动化申请证书和部署证书实现https加密和WAF安全防护,原Web服务器零改造自动化实现https加密方式的WAF防护。
一、产品简介
零信国密WAF自动化网关是基于通过商密产品认证的零信国密HTTPS加密自动化网关增加WAF防护功能的另一个保护网站安全的创新产品,国内首创,是一个集WAF防护、https加密加速、https卸载转发、国密算法模块、SSL证书自动化、负载均衡等多项功能于一体的新一代WAF设备,在为用户实现高质量的Web应用防火墙来保护网站安全的同时,自动化支持HTTPS加密方式的WAF防护,因为网站安全既需要WAF防护,也同时需要HTTPS加密来保障网站机密数据的传输安全,而且是自适应加密算法的HTTPS加密,优先采用国密SM2算法实现HTTPS加密。零信国密WAF自动化网关创新地同时为用户提供WAF防护服务和HTTPS加密自动化服务,同时保障数据的“在途”加密安全和“到岸”防护安全。
零信国密WAF自动化网关最大的特点和特色是零申请SSL证书、零安装SSL证书、自动化实现国密HTTPS加密的WAF防护,自适应加密算法,支持国密算法和国密证书透明的浏览器采用SM2算法实现国密https加密,不支持国密算法和国密证书透明的浏览器采用ECC算法实现https加密。这是一个端云一体的创新解决方案,国密WAF自动化网关内置国密ACME客户端,自动对接零信云SSL系统完成自动化双SSL证书申请、部署和续期,确保业务系统零改造实现https加密,不间断地自动化为多达255个不同域名的业务系统提供自动化https加密服务和WAF防护服务。
二、主要功能
零信国密WAF自动化网关核心功能有三:(1) WAF防护;(2)支持国密HTTPS加密;(3) 自动化实现HTTPS加密。既是一个WAF设备也是一个HTTPS加密自动化网关,无需向CA申请SSL证书,自动化配置双算法SSL证书,自动化实现HTTPS加密的WAF防护,原Web服务器零改造,只需在原服务器之前部署国密WAF自动化网关,即可自动化实现WAF防护和https加密,24小时365天不间断的提供WAF防护服务和https加密自动化服务。推荐默认双机部署,互为热备,能时双机负载均衡,否时单机独当一面。
零信国密WAF自动化网关的WAF防护功能基于开源ModSecurity系统开发和深度优化,支持常用的Web应用防火墙功能,如:阻止SQL注入、阻止跨站脚本攻击(XSS)、阻止利用本地文件包含漏洞进行攻击、阻止利用远程文件(包含漏洞)进行攻击、阻止利用远程命令执行漏洞进行攻击、阻止PHP代码注入、阻止违反HTTP协议的恶意访问、阻止利用远程代理感染漏洞进行攻击、阻止利用Shellshock漏洞进行攻击、阻止利用Session会话ID不变的漏洞进行攻击、阻止恶意扫描网站、阻止源代码或错误信息泄露、蜜罐项目黑名单、根据判断IP地址归属地来进行IP阻断等等。同时支持多达十二种不同类型的自定义规则实现个性化的防护,如允许某个IP能访问某个特定网站或网站目录等。
所有浏览器都对HTTP访问显示为“不安全“的今天,HTTPS加密是一个网站安全的必须配置,当然也就是WAF设备的必须功能,零信国密WAF自动化网关的创新在于自动化配置双算法SSL证书、自动化实现HTTPS加密卸载后的WAF防护,同时支持国际算法HTTPS加密卸载和国密算法HTTPS加密卸载。HTTPS加密卸载所需的双算法双SSL证书由国密WAF自动化网关自动对接零信云SSL系统,自动化完成双SSL证书的申请、域名验证、获取证书、安装证书、启用证书和启用HTTPS加密。
零信国密WAF自动化网关自动配置的国际ECC SSL证书全球信任,支持所有浏览器,支持国际证书透明安全,由零信自有品牌中级根证书ZoTrus ECC DV SSL CA签发,顶级根证书是全球最老的ECC算法根证书Sectigo ECC,全链采用ECC算法,加密速度比RSA算法快18倍,让用户访问网站更快。零信国密WAF自动化网关自动配置的国密SM2 OV SSL证书国密合规,支持所有国密浏览器,支持国密证书透明,由零信自有品牌中级根证书SM2 SSL Pro CA签发,顶级根证书是拥有国密局和工信部CA许可证的贵州CA国密根证书Guizhou SM2 CA,全链采用SM2算法,加密速度比RSA算法快20倍,让用户访问网站更快。零信国密WAF自动化网关自动配置的双SSL证书的证书链文件最小,省机房流量和用户手机流量、省机房耗电量和用户手机耗电量,更环保。
零信国密WAF自动化网关也是一个国密安全认证网关,支持CA签发的USB Key国密证书使用双向认证(SKF标准),配合零信浏览器的双向认证支持功能,用户无需任何额外开发,只需在网关设置网站启用国密HTTPS加密自动化服务的同时选择启用双向认证即可,可设置多个客户端证书签发CA,并已默认预置国家根证书。同时支持RSA算法软证书和USB Key硬证书的双向认证。
零信国密WAF自动化网关主要十二大功能:
-
1
高性能WAF安全防护
基于业界领先的开源ModSecurity系统开发和深度优化,支持常用的Web应用防火墙功能,为https加密流量卸载后的Web流量提供安全清洗保护,仅将正常安全的流量转发到后面的内部Web服务器。 -
2
零改造自动化https加密
原Web服务器无需安装SSL证书,无需安装ACME客户端软件,零改造实现国密https加密,自适应加密算法,支持RSA/ECC/SM2算法https加密。 -
3
自动配置SSL证书
默认免费自动为用户设置的网站域名配置双SSL证书(ECC/SM2),用户无需向CA申请SSL证书,无需安装和配置SSL证书,国际SSL证书全球信任,国密SSL证书国密合规。 -
4
高性能https卸载
完全接管和承担原服务器的SSL加密功能,大大减轻原服务器的性能压力,让原Web服务器专用于业务系统,大大提升客户端访问响应速度。 -
5
用户端连接复用
采用动态连接池技术和复用技术,捆绑海量用户端连接请求,节省大部分服务器TCP连接并持续保持,显著减少了原服务器需要处理的用户端连接数(最高可减少90%),加快连接处理速度,提高原服务器业务处理能力。 -
6
Web数据传输压缩
使用标准GZIP或Deflate压缩算法来压缩HTTP流量,降低带宽消耗和降低成本,提升服务器响应与带宽效率,缩短最终用户访问和下载时间,改进用户体验和提升满意度。 -
7
反向代理缓存
采用内存缓存和包存储结构的方式短时间缓存网站内容,降低用户访问对原服务器的负载压力,提高原服务器的处理能力和用户的访问体验。 -
8
会话保持机制
基于Cookie和源IP的会话保持机制,可以为用户选择曾连接的特定服务器,实现无缝地处理用户请求。同时可以减少新建连接的数量,有效减小相关设备和服务器的系统开销。 -
9
多算法负载均衡
支持七层和四层协议为用户分配不同的服务器资源,支持基于URI、HOST、COOKIE、USER_AGENT等信息和基于 IP 地址、应用类型和内容等因素实现流量负载,支持NAT转换。 -
10
TCP/UDP/DTLS安全交付
支持TCP/UDP/DTLS + SSL/TLS的安全传输通道交付服务,能够满足基于SSL/TLS协议的TCP/UDP/DTLS网络应用系统,实现传输通道的加密和加速,原服务器系统无需任何定制改造。 -
11
安全双向认证
集成安全双向认证功能,支持CA签发的USB Key国密证书使用双向认证(SKF标准),无缝支持零信浏览器的双向认证功能,同时支持SM2/RSA算法客户端软证书实现双向安全认证。 -
12
加密DNS服务模块
基于开源Bind 9 DNS服务系统,支持DoH(DNS Over HTTPS),自动化为DoH配置双算法SSL证书(SM2和ECC),实现国密DoH加密DNS服务,同时支持公网域名解析和内部主机名解析。
三、性能指标
零信国密WAF自动化网关提供了一种高效、安全、透明、易部署、零改造、全自动的创新方案实现WAF防护和https加密自动化,能够有效扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性、提升用户访问网站的用户体验。
零信国密WAF自动化网关的WAF防护功能经权威的第三方在线测试软件WAFER测试,其攻击行为检测能力和识别能力都是A级(最高级别),真阳检测率达到97.34%,假阳误拦率为0 (不会拦截不是攻击的假阳行为),能满足用户的网站安全防护应用需求。
具体实际防护效果测试表明:SQL注入(SQL Injection)共发起了128次攻击,拦截了126次,这就是真阳真拦;还有2次是假阴,也就是漏拦,拦截率为98.44%。对于跨站脚本攻击(Cross Site Scripting),共发起了149次攻击,拦截了147次,这就是真阳真拦;还有2次是假阴,也就是漏拦,拦截率为98.66%。对于命令注入攻击(Command Injection),共发起了41次攻击,拦截了37次,这就是真阳真拦;还有4次是假阴,也就是漏拦,拦截率为90.24%。对于服务器端包含注入攻击(SSI Injection),共发起了24次攻击,拦截了24次,这就是真阳真拦;没有假阴漏拦,拦截率为100%。其他拦截指标就不一一分析了,对于没有拦截的攻击,需要WAF网关能不断完善WAF防护规则,并定期更新防护规则。当然也需要用户平时注意分析WAF日志,不断根据攻击情况来自定义防护规则。
零信国密WAF自动化网关提供全自主可控软硬件一体化产品,包括:开源WAF系统、完全自主知识产权SSL安全网关软件系统、通过商用密码产品认证的国产密码算法硬件加速卡、采用自主可控国产操作系统、支持海光/龙芯/飞腾等国产CPU自主可控芯片、采用配套国产自主可控主板、支持国产自主可控网卡芯片等等。全自主可控软硬件一体化国密WAF自动化网关能够满足各种对信息安全管控要求极高的行业应用需求。
每台零信国密WAF自动化网关最多支持自动配置255张国际ECC SSL证书(单证书),同时最多支持255对国密SSL证书(一张签名证书和一张加密证书),标准的双算法双SSL证书配置支持为255个网站域名自动配置双SSL证书,实现双算法自适应https加密的WAF防护。每台网关实际上能为多少个网站实现https加密受限于网关硬件和密码卡所支持的新建连接数、吞吐量和并发量。
每台零信国密WAF自动化网关保用期为 5 年,5 年内免费为最多不超过 255 个网站域名自动配置全球信任的ECC DV SSL证书和国密合规的SM2 OV SSL证书。按照证签OV SSL证书精简版双SSL证书的价格(4888元/年)计算,仅自动化配置的SSL证书价值高达 623 万元(=5*255*4888),全球独家提供超值https加密自动化的WAF防护解决方案!
零信国密WAF自动化网关目前提供4种不同规格的产品,可分别用于云端高性能数据中心和大中型企业Web服务器自动化实现https加密的WAF防护、特别是零改造实现国密https加密和WAF防护的应用需求。各种型号的产品性能指标参数如下表所示,对于有不同指标要求的用户,可以定制产品满足要求。
金融机构
高校
金融机构
国有企业
云平台
政府/金融机构
政府机构
金融机构
四、部署应用方案
零信国密WAF自动化网关支持多种网络部署方式,支持多台设备集群部署。为了保证网关的高可用,强烈推荐双机部署,确保24*365天的不间断提供WAF安全防护服务和https加密自动化服务。
1、为本地Web服务器(网站)提供WAF防护和HTTPS加密自动化服务
要实现WAF防护,必须把WAF设备部署在Web服务器前面,由WAF设备来实现HTTP/HTTPS流量清洗和防护,把正常明文流量和密文解密后的明文流量转发给后面的Web服务器即可。但是,如果用户选购传统的WAF设备,需要用户向CA申请SSL证书,手动部署到WAF设备上使用,这是一个非常费时费力的难事。而选购零信国密WAF自动化网关,则用户无需向CA申请SSL证书,由零信WAF网关自动化对接零信云SSL服务系统自动化为用户网站配置双SSL证书,自动化实现HTTPS加密的WAF防护。
零信国密WAF自动化网关的一个网口连接到原先的公网接口,配置原先Web服务器的公网IP地址,而原先的Web服务器连接到其他网口,默认最多可以连接8台Web服务器,这些Web服务器改为配置内网IP地址。所有网络数据流量均通过国密WAF自动化网关进行https加速、卸载和转换处理,符合安全应用协议的数据包在通过WAF智能识别和防护后根据负载均衡策略转发到对应内部Web服务器上,支持HTTP明文转发和HTTPS加密转发。
此部署方式让原先暴露在公网的Web服务器变成了内网服务器,保护了Web服务器的安全,并且把原Web服务器负责的HTTPS加解密工作负载全部移交给了网关,能节省20%-30%的算力给Web服务器,让Web服务器能更好地为业务系统提供算力。
本部署方式适用于有自己的机房和自己的Web服务器的用户,需要在机房增加部署网关设备,此方式会改变原Web服务器的IP地址,重新分配内网IP地址给原Web服务器,原公网IP地址配置给网关使用,网关同时支持IP v4和IP v6,原域名解析不用改变,而内部服务器不需要支持IP v6。
默认部署方式为双机热备模式,双网关采用主主模式即Active - Active模式,两台网关设备均作为主机并同时处理业务流量,同时也互为备机。双机共同承担业务流量,不浪费资源。当其中一台网关出现问题无法继续工作时,另一台网关承担起全部工作,从而保证业务系统的持续可靠运行。零信网关保用5年,5年内如有故障,免费替换新网关,确保5年内不间断的WAF安全防护和HTTPS加密自动化服务。
2、为不在本地的Web服务器(网站)提供WAF防护和HTTPS加密自动化服务
对于不仅有本地服务器需要WAF防护和HTTPS加密自动化服务,而且还有外地分支机构的Web服务器或有部署在云上的多个网站也需要WAF防护和HTTPS加密自动化服务的用户,零信国密WAF自动化网关同时支持本地转发模式和远程回源模式。无论Web服务器(网站)是在外地机房还是云主机,只要网关能通过公网或者内网能访问,则这些网站就是类似于CDN服务的回源源站,都可以由网关来为它们提供WAF防护和HTTPS加密自动化服务。双网关最多为255个网站提供WAF防护和HTTPS加密自动化服务,更多网站或超过网关吞吐能力的大流量网站则需要购置更多台网关。
为了保障不在中心机房的网站系统的数据安全,从网关到外地服务器的回源连接必须采用HTTPS加密方式,实现全链路加密。零信技术免费为回源网站提供5年有效期的自签回源专用SSL证书,原网站无需部署全球信任的有效期仅为一年的SSL证书。
此部署方式也适用于为用户提供网站设计、虚拟主机、SSL证书销售的服务提供商,部署多台网关就可以既为自己的业务系统提供WAF防护和HTTPS加密自动化服务,也可以为其用户提供WAF防护和HTTPS加密自动化服务,而不用关心用户的网站托管在哪里,只有能HTTP或HTTPS方式访问即可。
3、云平台WAF防护自动化管理集群部署方案
对于各种云平台,如政务云平台和公共云平台,有上万个甚至上百万个网站需要WAF防护和完成国密HTTPS加密改造,唯一的解决方案只有自动化才能胜任。需要部署多台国密WAF自动化网关组成集群阵列--HTTPS卸载和WAF系统,多台国密WAF自动化网关一起工作共同分担业务流量,同时互为热备设备。当某台网关发生故障时,运行在其上的服务会被其它网关接管,保证业务调度得到充分及时的响应。集群模式适合于要求极高性能吞吐率的冗余网络环境的部署应用。
同其他传统的部署WAF设备解决方案不同的创新之处就是自动化配置双算法SSL证书,自动化实现HTTPS加密卸载和WAF防护,无需云平台采购了WAF设备后还需要人工向CA申请和人工部署双算法SSL证书,并且每年都要去续费申请和部署。本解决方案含5年双算法SSL证书的自动化申请和部署,5年自动化实现HTTPS加密方式的WAF防护,满足云平台国密合规和全球信任的HTTPS网站防护应用需求。
4、可选:云SSL系统本地部署
国密WAF自动化网关默认自动化对接零信云SSL系统获取双SSL证书后启用https加密方式的WAF防护,而对于希望能独立自主签发自有品牌的自动部署到网关中的双SSL证书的云平台用户,可以把零信云SSL系统本地化部署实现自动化从定制专用SSL中级根证书签发网关所需的双SSL证书,本地化部署的系统称之为政务云SSL系统或公共云SSL系统。
政务云SSL系统是一个本地化部署的用于签发国密合规的支持国密证书透明的国密SSL证书的CA系统,同时也是一个用于对接国际CA系统签发全球信任的国际SSL证书系统。全套系统的部署就是为了实现完全自主可控地签发和管理用于政务网站系统的国密SSL证书和相对独立自主的签发国际SSL证书。要做到自主可控的签发政务SSL证书,首先就必须有用于签发SSL证书的中级根证书,以便能可靠地实现所有政务系统只信任自己的中级根证书签发的SSL证书,有效地高效地阻止各种针对政务网站的SSL中间人攻击和其他假冒政务网站攻击。
五、小结
零信国密WAF自动化网关全球独家创新实现支持国密HTTPS加密自动化的WAF防护,双算法自适应https加密,开机配置网站域名和IP地址即刻直接开通WAF防护、https加密自动化、TCP/DTLS安全交付、双SSL证书自动就绪、全球信任和国密合规、高速动态缓存和压缩、连接复用、会话保持和负载均衡、双向安全认证等众多优化功能,在保证性能高效的同时,提供业界极高的性能价格比。
零信国密WAF自动化网关即插即用,部署在网站服务器的前端,原网站服务器无需任何改动,不仅轻松实现高性能WAF防护,而且可以零改造完成HTTPS加密国密改造,轻松实现无缝从http升级到https工作方式,并且是满足国密合规的国密https加密方式,同时支持国际算法https加密以兼容不支持国密算法的浏览器。其强大的https加速卸载能力为WAF防护分析提供了基础支撑,WAF流量清洗后的快速转发能力为网站服务器提供了额外的性能增强支持,不仅完全不增加https加解密负担,而且增强了对外响应能力和处理用户请求能力。零信国密WAF自动化网关的零改造、零维护、零影响的无缝切换,是网站系统WAF防护、国密https加密改造、系统安全从http升级到https的首选和必选。
