产品综述
据 Gartner 统计,近些年所发生的黑客攻击等恶意网络行为的 75% 以上为利用 Web 服务的漏洞的攻击,而现有的诸多安全产品对其未能做到有效的防护。作为防火墙、 IPS 等安全产品的必要补充, KILL 过滤网关 -Web 安全网关( KSG-W )专门针对 Web 服务及相关应用提供有效的防护。
KSG-W 深入分析 Web 应用层数据,是真正运行在 OSI 7 层的应用层防火墙。 KSG-W 基于对 HTTP 应用层数据的理解,采用主动安全模型对已知和未知的 Web 攻击进行深度防护,来达到保护企业关键 Web 应用的目的。
功能特点
多层立体深度防护:提供网络防火墙、 http/https 协议规范验证、基于规则的主动防御、基于 OWASP 的特征库检查、双向自学习安全模型、深入的 Web 请求限制、 Cookie 加密与签名安全保护等,全面保护 Web 应用。
防御 Web 攻击:通过特征库匹配、规则检查、自学习安全模型等技术,防护已知和未知的 Web 漏洞。此外,通过规范 Web 流量,对 Web 请求中的路径、编码进行规范化操作,防止 URL 攻击和恶意编码攻击。
保护 Web 服务:通过 Web 请求细粒度控制、 Web 服务器隐身、防网页篡改等技术,保护 Web 服务器及其相关应用。
Web 加速处理:基于内存循环、事件 polling 、动态连接池等技术,以及可选的 SSL 硬件加速卡,保障数据处理效率。
主要功能
|
功能项 |
说明 |
|
网络防火墙 |
可预先定义包过滤访问控制规则,过滤掉不允许通过的网络流量 |
|
http/https 协议检查 |
对 http 及 https 请求进行协议规范检查,如果存在协议违背情况将会作为异常行为被阻断 |
|
主动防御 |
通过人工定义和自学习引擎两种途径,生成主动应用层安全规则 |
|
被动防御 |
基于 OWASP 定义的特征库检查已知 Web 攻击 |
|
自学习安全模型 |
通过自学习引擎双向学习 Web 应用逻辑,生成安全模型数据库,阻断非正常的请求 |
|
访问限制 |
细粒度控制 Web 访问请求,防止请求消息中注入的恶意代码和缓存区溢出攻击 |
|
Cookie 加密与签名 |
通过对 Web 访问时 Cookie 值的加密与签名,防止 Cookie 泄露与篡改 |
|
Web 服务器隐身 |
通过禁止反馈 Web 错误页面和头信息的技术措施,防止 Web 服务器信息泄露 |
|
会话级 QoS |
通过限制 KSG-W 网关、服务器、客户端最大连接数等措施,防止网络风暴,保障持续服务 |
|
防网页篡改 |
KSG-W 可保护所有 Web 页面,一旦 Web 页面被修改,系统可立即发现并采取相应措施进行响应 |
|
用户行为审计 |
对可疑活动主机可进行详细审计。被审计对象的所有 Web 访问将被逐一记录,作为事后取证依据 |
|
保障业务连续性 |
系统提供透明部署、 HA 双机热备、 Bypass 卡技术手段,可确保业务持续运行 |
产品规格
|
技术指标 |
KSG-W100 |
KSG-W200 |
KSG-W600 |
KSG-W1000 |
KSG-W2000 |
|
最大吞吐量 |
100 Mbps |
200 Mbps |
600 Mbps |
1000 Mbps |
2000 Mbps |
|
通讯接口 |
2 × 10/100/1000-TX |
2 × 10/100/1000-TX |
2 × 10/100/1000-TX |
2 × 10/100/1000-TX |
2 × 10/100/1000-TX |
|
电口 Bypass |
支持 |
支持 |
支持 |
支持 |
支持 |
|
管理接口 |
2 × 10/100-TX |
2 × 10/100-TX |
2 × 10/100/1000-TX |
2 × 10/100/1000-TX 1 × 10/100-TX |
4 × 10/100/1000-TX |
|
扩展接口 |
× |
× |
可定制 |
可定制 |
可定制 |
|
光口 Bypass |
× |
× |
可定制 |
可定制 |
可定制 |
|
多路部署 |
× |
× |
可定制 |
可定制 |
可定制 |
|
HA |
√ |
√ |
√ |
√ |
√ |
|
机架 |
1U |
1U |
1U |
2U |
2U |
|
冗余电源 |
× |
× |
× |
√ |
√ |
【编辑推荐】
