NSX Advanced Load Balancer 利用软件定义的架构及其在网络上的战略位置获取实时应用程序详细信息。内置的 WAF 解决方案为应用程序安全和网络团队提供了一个分析驱动的弹性解决方案,以通过集中管理扩展和简化策略自定义和管理。

NSX Advanced Load Balancer WAF 在纵深防御策略中起到不可或缺的作用,它可以执行全面的威胁分析、降低风险、针对未发布的漏洞提供零日保护以及优化应用程序安全性。

WAF 为管理员提供了一个重要的安全实施和情报点。WAF 可保护 Web 应用程序免受开放式 Web 应用程序安全项目 (Open Web Application Security Project, OWASP) 确定的常见漏洞的侵害,例如 SQL 注入 (SQL Injection, SQLi) 和跨站点脚本 (Cross-Site Scripting, XSS) 漏洞,同时提供为每个应用程序自定义规则集的功能。

WAF 可分析与特定事务匹配的安全规则,并在学习应用程序和攻击模式时实时提供该详细信息。此应用程序情报与直观的一键式规则自定义相结合,使 WAF 能够大幅减少误报。

核心安全

威胁检测

应用程序保护

OWASP 十大攻击防护,包括 HTTP 验证、注入、数据泄漏防护、自动攻击阻止和应用程序特定的安全性。

接受列表规则允许某些请求属性绕过 WAF。例如,在 WAF 检查中允许 DAST 扫描程序 IP,从 WAF 检查中排除内部 IP 地址,或为所有 POST 请求绕过 WAF。

应用程序行为和结构的学习模式有助于分析应用程序、为决策提供信息并自动创建主动安全规则。

引导式误报缓解具有可自定义的 Paranoia 级别,可根据日志和分析控制策略的严格程度。

为允许的应用程序行为提供主动安全保护以阻止异常。在特征码引擎之前调用主动模型引擎,从而减少误报并缩短就请求的有效性做出决策所需的时间。

按应用程序部署可在不同的安全策略级别精确保护特定应用程序,同时确保应用程序性能。

根据客户端 IP、URL 和路径等参数,将每个应用程序的速率限制到 L3/L4 和 L7 流量。

通过拒绝列表方法,即通过基于核心规则集 (Core Rule Set, CRS) 针对 SQLi、XSS 和其他威胁分析入站和出站请求的每个部分,提供针对已知威胁的特征码保护。

按需自动缩放可在不影响性能的情况下,弹性增减 WAF 实例和应用程序服务器的数量,以便处理不可预知的流量。

点击式策略使用户能够快速有效地创建自定义策略,从而实现集中控制和轻松使用。

基于历史趋势信息进行 WAF 事件的应用程序分析,以及实时查看正在进行的操作、应用程序行为分析和攻击模式。

支持 RBAC 以控制对 WAF 配置文件和策略的写入访问权限,以及对应用程序、池和云的读取访问权限。

功能列表

以下部分介绍了 WAF 功能的三大类别:

有关所有 WAF 功能的简明列表,请参阅“常见问题解答”一节中的哪些功能是作为 WAF 的一部分提供的?

Web 安全和应用程序攻击防护

WAF 提供了完整的应用程序安全堆栈,以确保 Web 安全并防范应用程序威胁。

  • OWASP 十大攻击防护,包括 HTTP 验证、注入、数据泄漏防护、自动攻击阻止和应用程序特定的安全性。

  • 主动安全规则可检查应用程序流量是否存在允许的应用程序行为并阻止异常行为。该引擎在特征码引擎之前调用,从而减少误报,并能够更快地就请求的有效性做出决策。

  • 通过应用程序学习来学习应用程序行为和结构,稍后可以对其重用以进行其他分析,并自动创建主动安全规则。

  • 允许列表为某些给定的请求属性定义绕过 WAF 的规则。例如,在 WAF 检查中允许 DAST 扫描程序 IP,从 WAF 检查中排除内部 IP 地址,或为所有对 /upload.php 的 POST 请求绕过 WAF,等等。

  • IP 地理位置

  • HTTP RFC 合规性

  • 文件上载扫描

  • DAST 导入

  • 针对应用程序逻辑缺陷的脚本

  • JSON、XML 的 API 保护

  • 除了保护传统的 HTTP 应用程序之外,WAF 还可以通过分析 JSON 或 XML 负载来保护 API 或 AJAX 应用程序

  • 支持多个 CRS 版本

  • 按应用程序限制速率

  • 暴力攻击防护

  • 基本 DDoS 防护

  • HTTP 安全策略

  • 包括 ACL 在内的 L3-L7 安全规则

管理和配置

  • WAF 管理员 RBAC 支持提供精细的基于角色的访问控制 (Role-Based Access Control, RBAC)。用户可以对 WAF 配置文件和策略具有写入访问权限,并对应用程序虚拟服务、池和云等具有读取访问权限。

  • 通过 SSH 和 Web GUI 访问以进行管理。

  • NSX Advanced Load Balancer 平台完全基于 REST API。因此,部署可以完全自动执行,并且所有功能均可包含在 CI/CD 管道中。

  • 可自定义的错误代码和错误页面。

  • 按应用程序部署可在不同的安全策略级别精确保护特定应用程序,同时确保应用程序性能。

  • 轻松部署规则。

  • 轻松创建自定义规则,以便为应用程序特定的用例或可能出现的任何其他自定义要求添加这些规则。

  • 通过简单的点击操作执行策略以进行集中控制。

  • 通过高性能和自动扩展的架构实现弹性缩放。

  • 轻松部署排除项。

  • 引导式误报缓解具有可自定义的 Paranoia 级别,可根据日志和分析控制策略的严格程度。

  • 内置事件和警示机制。

  • SNMP 支持。

  • NSX Advanced Load Balancer 云服务提供实时安全威胁更新,例如 IP 信誉、特征码,以及源自行业领先威胁分析公司并通过 NSX Advanced Load Balancer 云服务进行管理的更多更新。

日志和分析

  • 基于历史趋势信息进行 WAF 事件的应用程序分析,以及实时查看正在进行的操作、应用程序行为分析和攻击模式。

    • 关于流量传输和规则匹配的详细安全信息,可创建精确的自定义策略。

  • 全面的日志收集,包括对 WAF 阻止的所有安全事件进行的精准分析。

架构

NSX Advanced Load Balancer WAF 建立在下面所示的核心设计原则之上,从而确保 WAF 成为简单而全面的安全解决方案。



有关 WAF 处理流程的信息,请参阅“常见问题解答”一节中的什么是 WAF 处理流程?