隨著網絡信息化的發展，越來越多的企業利用Web應用系統提供業務服務，進行產品推廣、市場宣傳、培訓服務、遠程服務協作甚至網上交易，例如網上銀行、電子商務網站等。于是Web應用系統變順理成章成為現代企業不可缺少的生產工具，并且伴隨著Web應用需求的日益多樣化，Web應用的交互性越來越強，相關的應用安全問題也同樣隨之而來，Web數據被竊取、頁面被篡改，甚至Web站點成為傳播木馬的傀儡，給更多訪問者造成危害，帶來損失。因此，很多IDC托管機房、商業站點、游戲平臺、門戶網站等網絡服務商長期以來一直被Web應用攻擊所困擾，隨之而來的是客戶投訴、法律糾紛、商業損失等一系列問題。 綜上所述，解決Web應用系統安全問題成為當今企業必須考慮的頭等大事。目前針對網絡層的各種安全訪問控制措施被廣泛采用，通常企業的對外Web服務只開放HTTP和其必要的服務端口，因此黑客已經難以通過傳統網絡層攻擊的方式達到攻擊Web站點的目的。然而，隨著Web應用系統交互性和互動性越來越普及，基于Web2.0的各種應用技術被廣泛采用，Web應用程序、操作系統、數據庫系統的漏洞不斷爆出也在所難免，而且基于Web應用漏洞的攻擊更加容易被利用，攻擊成本越來越低，已經成為入侵者的首選。Forrester曾經指出“Vulnerable Web applications are the No. 1 attack vector today.” 在OWASP (Open Web Application Security Project)機構發布的最新《OWASP Top 10 Application Security Risks》，SQL注入和XSS攻擊（Cross Site Scripting，跨站腳本攻擊）這2類Web應用代碼漏洞所引發的攻擊位居前兩位，是目前存在普遍、利用廣泛、造成危害嚴重的兩類Web應用威脅，然而隨著技術的發展和迭代，攻擊手段也層出不窮，Web應用系統的管理者應該對Web應用系統進行持續關注和改進。

國舜（以下簡稱“UnisGuard”）UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻采用專有的操作系統UnisGuard SecOS及全新設計的TCP協議棧，并且將TCP協議棧移植到用戶空間層，能夠實現IPV4/IPV6雙棧并行，同時還自行開發了多核并行控制程序，實現CPU多核心均衡并行數據包的分發，根據CPU核心的負載程度動態的分配數據，發揮CPU的處理能力，打破了傳統信息安全性能瓶頸。通過這兩方面的技術實現一舉將Web安全檢測引擎的處理性能提高到萬兆水平。

并行多核控制器技術

如今隨著多核技術的日漸成熟，多核架構成為提高網關處理性能的最好選擇，然而任何硬件架構的最終實現都需要一個優秀的操作系統來驅動。多核并不是簡單的CPU疊加，需要Web應用防火墻從硬件到軟件，從操作系統底層到上層應用進程去全方位支持多核硬件架構，為此UnisGuard專門研發了自己的并行多核控制器，充分處理核與核間任務的分配與調度。來自網絡層的數據包進入并行多核控制器后，并行多核控制器根據會話的狀態和數據包的包頭信息將流量數據均衡分配到各個不同的CPU，以便完成后續多顆CPU的并行事務處理。

優化重寫的TCP協議棧技術

上述多核控制器只是支持多核硬件架構的基礎，為了充分發揮多核硬件架構的性能優勢，突破通用操作系統內核層TCP協議棧共享機制的束縛對于Web應用防火墻的性能提升也是關鍵所在。 傳統的部分經過優化的操作系統，在操作系統支持硬件架構上也可能已經做到了支持多核均衡任務分發機制，但是仍使用基于通用操作系統內核層的TCP 協議棧進行數據包的還原，由于通用的TCP協議棧存在共享機制，不同的CPU 在調度TCP協議棧的共享機制進行數據還原時，存在相互等待，因此CPU之間不能達到完全的并行數據還原。 UnisGuard一直致力于優化重寫TCP協議棧，在兼顧安全性的基礎上，開發了橫跨系統內核層和系統應用層的TCP協議棧，同時將TCP協議棧與應用代理進程并行結合，打破了通用操作系統基于內核的TCP協議棧共享機制的限制，從而開發出了真正意義上的多核完全并行處理操作系統，實現了轉發層面和數據還原層面的真正完全并行處理，Web應用防火墻掃描檢測應用內容的性能瓶頸因此被打破。

掃描引擎性能優化技術

UnisGuard研發團隊在設計WAF的掃描檢測引擎時，充分考慮內容應用網關的特點，在內容掃描檢測匹配上，著重于大量應用數據與特征的并行掃描匹配，從而進一步優化其Web應用防火墻的性能。首先通過Engine Initializer 創建一個共享的 Scan Engine 環境，每個進程可以自由的利用該環境系統，在WAF掃描檢測過程中，每個進程都可以共享的、獨立的訪問Scan Engine 的環境資源，并行掃描，這樣不僅充分支持多進程的攻擊檢測掃描，減少了不必要的進程切換，減少了I/0 Block 操作，而且通過這樣的方式充分利用了多核硬件平臺，并且隨著平臺硬件配置的提升，引擎的掃描性能隨之同等級的提升。

雙向多重檢測規則

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻作為Web客戶端與服務器端請求與響應的中間人，避免Web服務器直接暴露在互聯網上，檢測過濾HTTP/HTTPS雙向交互流量數據，對其中的惡意成分進行實時在線清洗過濾。通過對HTTP/HTTPS協議進行深入的解析，精確的識別出協議中的各種要素，比如 Cookie、Get參數、Post表單等，并對這些數據進行必要的解碼，以還原原始信息，根據這些解碼后的原始信息，準的檢測識別是否包含攻擊內容。

UnisGuard經過多年的產品技術研究與積累，使現在的UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻擁有豐富的安全與管理功能，能夠覆蓋OWASP TOP10中的威脅并提供防御辦法。

1.多維度的安全可視

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻可以從多個維度例如：Web攻擊、入侵防護、病毒防護、Web訪問數據統計等角度，通過攻擊地圖、柱狀圖、餅圖等圖形建模輔以各類數據環繞的方式，詳細顯示用戶Web應用系統的安全和運行狀態，同時更具備專用的威脅地圖監控頁面，融合地理識別功能，適合用戶在各種運營中心進行安全展示，幫助客戶做到安全的全方位可視化，對Web應用系統威脅能夠做到從宏觀到微觀的深入全面了解。

2.WAF+IPS雙擎保護

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻內置輕量化的IPS引擎 ，可以幫助用戶一站式解決Web應用系統環境中安全關聯性較強的如操作系統、數據庫系統、網絡設備等方面的安全威脅問題，具體包括安全漏洞、溢出攻擊等防御模塊，同時更具備自定義策略功能，用戶可根據自身業務安全需求靈活定制專有的WAF及IPS策略。

3. 協議安全+內容安全

從協議合規及傳輸內容安全的角度出發，除了常規的特征庫檢測手段之外還包括HTTP協議內容長度檢查、請求及行為方法控制、溢出檢查、cookie過濾、上傳/下載類型檢測、URL訪問控制、盜鏈防護、網站隱身、敏感信息過濾等多項可控安全功能，全方位覆蓋OWASP TOP10威脅內容。

4.病毒上傳過濾

除了Web攻擊與入侵防御的防御手段之外， UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻還具備FTP和HTTP協議的文件上傳病毒過濾功能，內置實時更新的病毒特征庫，從惡意程序和協議識別角度保護用戶HTTP和FTP業務服務器的文件健康，有效避免重要服務器成為病毒程序的擴散源，造成水坑攻擊效果，有效防御病毒攻擊。

5.IPv4v6雙棧協議支持

在IPV4地址資源逐漸枯竭的今天，越來越多的校園網、科研單位網絡正在向IPV6組網跨越， UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻滿足各類雙棧部署環境，同時雙向支持IPV4及IPV6協議棧，幫助用戶輕松組建實驗網絡或幫助從IPV4到IPV6的過渡，并支持IPV6地址的安全檢測。

6.內置Web漏洞掃描功能

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻內置經過優化的輕量級Web漏洞掃描引擎，用戶可以通過掃描計劃任務，周期性的對自己的站點進行高效可靠的掃描工作，盡量在信息安全事件發生前感知Web應用系統的漏洞和弱點，及時部署相應的安全保護措施。掃描器可支持的掃描項目包括：SQL注入漏洞、XSS腳本漏洞、Web后門、網頁掛馬、程序錯誤信息、內部目錄泄露、郵箱地址泄露、無效鏈接、代碼泄露、目錄遍歷、入侵廣告、目錄瀏覽、內部文件泄露、WebDAV啟用、典型登錄頁面、內部IP泄露。并根據系統掃描結果，生成掃描報告。報告支持在線查看、導出、訂閱，并可以通過郵件方式將掃描報告發送至相關干系人。

7.網絡及應用層DOS攻擊防護

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻具備常見的針對Web應用系統的網絡層和應用層攻擊防護功能，可以根據多種參數組合方式攔截各類flood攻擊、cc攻擊，保障正常訪問業務連接，阻斷異?；蚍欠ǖ恼埱筮B接，有效抵御流量及連接型dos攻擊，保障業務可用。

8.一鍵及動態黑白

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻經過多年的用戶反饋積累和先進的用戶體驗設計，具備方便快捷的源IP一鍵加白加黑功能，同時也可基于安全事件日志的URL或IP進行signature級別的精確一鍵加白，當然我們也提供單獨的例外添加功能讓客戶能夠進行合理可控的例外配置非感興趣流。針對常見的攻擊源，我們也可以進行一鍵及動態加黑，達到快速屏蔽并節省防御資源的目的。

9.冗余與業務逃生功能

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻經過多年錘煉，具備多種冗余接入方式，同時支持HA-active&active與HA-active&standby部署方式，輔以多種探測機制消除單點故障，保障用戶Web業務穩定可靠運行。 UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻也支持軟件和硬件bypass(云WAF不支持硬件bypass，僅支持軟件bypass)，在單機部署時，也可根據合理有效的參數設定快速切換至逃生狀態，保障用戶業務優先。

10.完備的數據報表日志功能

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻在進行安全事件記錄的同時，也可記錄所有Web訪問行為的日志，為調查工作提供完整的追查依據，符合國家網絡監管要求，并可進行深度挖掘和關聯分析,為用戶提供網站應用優化及防御的報表數據支撐。

11.旁路阻斷功能

在WAF首次部署或擔心部署后產生業務連續性和可用性影響時，可以選擇將WAF進行偵測模式旁路部署，通過接收交換機鏡像過來的鏡像流量來進行流量分析，不會對真實業務流量產生任何阻止動作及性能瓶頸影響，是最快速易用的部署模式(云WAF不支持此部署模式，僅硬件WAF有旁路阻斷功能)，同時在充分考慮用戶應用場景的情況下， UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻還支持旁路阻斷功能，可以通過設置專用的阻斷端口實現TCPreset功能，在偵測模式下完成威脅流量的防御攔截。

12.Webshell偵測與阻斷

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻實時監測過濾WebShell攻擊命令，阻止WebShell發起的各種攻擊例如：掛馬、文件下載、端口掃描、內容篡改等，同時配套專用的Webshell監測工具（綠色、操作簡單、無需額外組件、支持畸形文件夾文件名、掃描速度快）。

13.多種部署模式

根據用戶組網需求，UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻支持多種部署模式(云WAF僅支持反向代理部署模式)，包括對網絡拓撲影響最小的透明模式，可以隱藏網站真實IP的高安全性反向代理模式，適于快速部署和業務學習的偵測模式，復雜環境中的混合模式，消除單體故障的HA主主與HA主備模式（云WAF暫不支持雙機模式），充分滿足用戶的各類組網環境需求。

集中一站式防護（透明代理模式）

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻可部署在企業網關出口處，對多網段分布部署的Web應用服務系統，提供集中一站式的防護(云WAF不支持此部署模式，僅支持反向代理部署模式)。以一般中型企業為例，在具備多個子公司或辦公節點的且共享互聯網出口的情況下，每個子公司甚至每個部門具有分布部署的多個Web應用服務系統，通過在該公司互聯網出口處部署一臺UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻產品，就能達到對全部Web應用服務器的防護，使投資回報率最大化。

旁掛檢測與阻斷（旁路模式）

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻可旁掛在核心或應用服務接入交換機上，通過接受交換機或分光設備等鏡像過來的流量進行旁路數據分析檢測(云WAF不支持此部署模式，僅支持反向代理部署模式)，提供各類Web風險監控與評估報告，并可根據需求通過TCP-reset的方式設置專用的旁路阻斷接口進行Web攻擊行為的旁路攔截，該部署模式對用戶實際業務流量走向沒有任何影響所以不會造成新的性能瓶頸，也不增加額外的故障點，是對用戶拓撲影響最小的設備部署方案。

專項Web業務防護部署（反向代理模式）

UnisGuard WEB應用安全防護系統W10000/V5.0 WEB應用防火墻可部署在防火墻DMZ的服務器集群中，只需要在WAF設備上配置反向代理需要映射的本地IP和目標Web服務器的IP地址，通過防火墻將Web服務器的公網IP地址映射到WAF被配置的本地IP，這樣訪問服務器的流量，會優先導入WAF設備進行檢測過濾，過濾Web攻擊和非法操作，然后將正常的流量通過配置的映射關系，轉發給真實的Web服務器，對于服務器返回的數據，也首先轉給WAF進行檢測過濾之后，再返回給訪問客戶端，提升Web應用服務器自身的業務處理效率，進而實現對Web服務器的隱身高效安全防護。

UnisGuard作為Web應用防火墻的創新者，著眼于互聯網的應用安全領域，致力于高性能Web應用防火墻的研發，為企業提供整合反惡意軟件、Internet應用控制、Web應用服務內容及協議保護等諸多功能一體化解決的SecPath 系列 Web 應用防火墻，幫助企業抵御網絡威脅，加強信息安全管理，提高生產效率。