一、産(chǎn)品概述

通常，網絡攻擊者針對Web應用(yòng)程序的可(kě)能(néng)漏洞、Web系統軟件的不當配置以及http協議本身薄弱之處，通過發送一系列含有(yǒu)特定企圖的請求數據，對Web站點特别是Web應用(yòng)進行偵測和攻擊，攻擊的目的包括：非法獲取站點信息、篡改數據庫和網頁(yè)、繞過身份認證和假冒用(yòng)戶、竊取用(yòng)戶資料和數據、控制被攻擊的服務(wù)器等。

iWall應用(yòng)防火牆實現了對Web站點特别是Web應用(yòng)的保護。它通過全面分(fēn)析應用(yòng)層的用(yòng)戶http請求數據（如URL、參數、鏈接、Cookie、請求行、頭部信息、載荷等），區(qū)分(fēn)正常用(yòng)戶訪問Web應用(yòng)和攻擊者的惡意行為(wèi)，對攻擊行為(wèi)進行實時阻斷和報警。

iWall應用(yòng)防火牆對常見的注入式攻擊、跨站攻擊、訪問敏感文(wén)件、不安(ān)全本地存儲、非法執行腳本、非法執行系統命令、資源盜鏈、源代碼洩漏、URL訪問限制失效等攻擊手段都着有(yǒu)效的防護效果。

iWall應用(yòng)防火牆在安(ān)全防護體(tǐ)系中(zhōng)的位置和作(zuò)用(yòng)如下圖所示：

二、工(gōng)作(zuò)原理(lǐ)

iWall應用(yòng)防火牆使用(yòng)天存HTTP安(ān)全模型對所有(yǒu)用(yòng)戶請求數據進行檢查。這些請求數據尚未被Web服務(wù)器軟件和Web應用(yòng)處理(lǐ)之前即進行檢查，确保所有(yǒu)攻擊行為(wèi)被拒之門外。

天存HTTP安(ān)全模型采用(yòng)匹配引擎和安(ān)全規則分(fēn)離的方式。其工(gōng)作(zuò)過程如下所示：

三、産(chǎn)品特性

1.二階段檢查

漏判和誤判以及準确和效率之間的平衡是應用(yòng)防火牆最關注的問題。由于天存複雜匹配引擎支持多(duō)階段多(duō)流程處理(lǐ)，因此天存核心規則集可(kě)以使用(yòng)二階段檢查技(jì )術：對99%的正常訪問可(kě)以初查後快速通過，對初查不合格的1%的可(kě)疑訪問可(kě)以複雜匹配，精(jīng)确識别。

2.加擾去除

黑客為(wèi)了繞過應用(yòng)安(ān)全程序或系統的檢測，往往将攻擊數據加擾（增加噪聲）後提交。天存核心規則集可(kě)以有(yǒu)效識别和剔除加擾數據，包括：識别并壓縮空格、識别并替換注釋、大小(xiǎo)寫轉換等。

3.編碼識别

由于黑客攻擊或者應用(yòng)自身的需要，請求數據可(kě)能(néng)采用(yòng)各種方式進行編碼。天存核心規則集可(kě)以識别多(duō)種編碼數據并進行解碼，包括：HTML實體(tǐ)解碼、URL解碼、Unicode解碼等。

4.多(duō)規則支持

支持任意多(duō)個規則集，可(kě)以針對站點、應用(yòng)、URL甚至訪問者IP來制定和應用(yòng)相應的規則集，并對其中(zhōng)的任意規則進行單獨忽略，實現細粒度的安(ān)全配置。