随着网络信息化的发展，越来越多的企业利用Web应用系统提供业务服务，进行产品推广、市场宣传、培训服务、远程服务协作甚至网上交易，例如网上银行、电子商务网站等。于是Web应用系统变顺理成章成为现代企业不可缺少的生产工具，并且伴随着Web应用需求的日益多样化，Web应用的交互性越来越强，相关的应用安全问题也同样随之而来，Web数据被窃取、页面被篡改，甚至Web站点成为传播木马的傀儡，给更多访问者造成危害，带来损失。因此，很多IDC托管机房、商业站点、游戏平台、门户网站等网络服务商长期以来一直被Web应用攻击所困扰，随之而来的是客户投诉、法律纠纷、商业损失等一系列问题。 综上所述，解决Web应用系统安全问题成为当今企业必须考虑的头等大事。目前针对网络层的各种安全访问控制措施被广泛采用，通常企业的对外Web服务只开放HTTP和其必要的服务端口，因此黑客已经难以通过传统网络层攻击的方式达到攻击Web站点的目的。然而，随着Web应用系统交互性和互动性越来越普及，基于Web2.0的各种应用技术被广泛采用，Web应用程序、操作系统、数据库系统的漏洞不断爆出也在所难免，而且基于Web应用漏洞的攻击更加容易被利用，攻击成本越来越低，已经成为入侵者的首选。Forrester曾经指出“Vulnerable Web applications are the No. 1 attack vector today.” 在OWASP (Open Web Application Security Project)机构发布的最新《OWASP Top 10 Application Security Risks》，SQL注入和XSS攻击（Cross Site Scripting，跨站脚本攻击）这2类Web应用代码漏洞所引发的攻击位居前两位，是目前存在普遍、利用广泛、造成危害严重的两类Web应用威胁，然而随着技术的发展和迭代，攻击手段也层出不穷，Web应用系统的管理者应该对Web应用系统进行持续关注和改进。

国舜（以下简称“UnisGuard”）UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙采用专有的操作系统UnisGuard SecOS及全新设计的TCP协议栈，并且将TCP协议栈移植到用户空间层，能够实现IPV4/IPV6双栈并行，同时还自行开发了多核并行控制程序，实现CPU多核心均衡并行数据包的分发，根据CPU核心的负载程度动态的分配数据，发挥CPU的处理能力，打破了传统信息安全性能瓶颈。通过这两方面的技术实现一举将Web安全检测引擎的处理性能提高到万兆水平。

并行多核控制器技术

如今随着多核技术的日渐成熟，多核架构成为提高网关处理性能的最好选择，然而任何硬件架构的最终实现都需要一个优秀的操作系统来驱动。多核并不是简单的CPU叠加，需要Web应用防火墙从硬件到软件，从操作系统底层到上层应用进程去全方位支持多核硬件架构，为此UnisGuard专门研发了自己的并行多核控制器，充分处理核与核间任务的分配与调度。来自网络层的数据包进入并行多核控制器后，并行多核控制器根据会话的状态和数据包的包头信息将流量数据均衡分配到各个不同的CPU，以便完成后续多颗CPU的并行事务处理。

优化重写的TCP协议栈技术

上述多核控制器只是支持多核硬件架构的基础，为了充分发挥多核硬件架构的性能优势，突破通用操作系统内核层TCP协议栈共享机制的束缚对于Web应用防火墙的性能提升也是关键所在。 传统的部分经过优化的操作系统，在操作系统支持硬件架构上也可能已经做到了支持多核均衡任务分发机制，但是仍使用基于通用操作系统内核层的TCP 协议栈进行数据包的还原，由于通用的TCP协议栈存在共享机制，不同的CPU 在调度TCP协议栈的共享机制进行数据还原时，存在相互等待，因此CPU之间不能达到完全的并行数据还原。 UnisGuard一直致力于优化重写TCP协议栈，在兼顾安全性的基础上，开发了横跨系统内核层和系统应用层的TCP协议栈，同时将TCP协议栈与应用代理进程并行结合，打破了通用操作系统基于内核的TCP协议栈共享机制的限制，从而开发出了真正意义上的多核完全并行处理操作系统，实现了转发层面和数据还原层面的真正完全并行处理，Web应用防火墙扫描检测应用内容的性能瓶颈因此被打破。

扫描引擎性能优化技术

UnisGuard研发团队在设计WAF的扫描检测引擎时，充分考虑内容应用网关的特点，在内容扫描检测匹配上，着重于大量应用数据与特征的并行扫描匹配，从而进一步优化其Web应用防火墙的性能。首先通过Engine Initializer 创建一个共享的 Scan Engine 环境，每个进程可以自由的利用该环境系统，在WAF扫描检测过程中，每个进程都可以共享的、独立的访问Scan Engine 的环境资源，并行扫描，这样不仅充分支持多进程的攻击检测扫描，减少了不必要的进程切换，减少了I/0 Block 操作，而且通过这样的方式充分利用了多核硬件平台，并且随着平台硬件配置的提升，引擎的扫描性能随之同等级的提升。

双向多重检测规则

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙作为Web客户端与服务器端请求与响应的中间人，避免Web服务器直接暴露在互联网上，检测过滤HTTP/HTTPS双向交互流量数据，对其中的恶意成分进行实时在线清洗过滤。通过对HTTP/HTTPS协议进行深入的解析，精确的识别出协议中的各种要素，比如 Cookie、Get参数、Post表单等，并对这些数据进行必要的解码，以还原原始信息，根据这些解码后的原始信息，准的检测识别是否包含攻击内容。

UnisGuard经过多年的产品技术研究与积累，使现在的UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙拥有丰富的安全与管理功能，能够覆盖OWASP TOP10中的威胁并提供防御办法。

1.多维度的安全可视

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙可以从多个维度例如：Web攻击、入侵防护、病毒防护、Web访问数据统计等角度，通过攻击地图、柱状图、饼图等图形建模辅以各类数据环绕的方式，详细显示用户Web应用系统的安全和运行状态，同时更具备专用的威胁地图监控页面，融合地理识别功能，适合用户在各种运营中心进行安全展示，帮助客户做到安全的全方位可视化，对Web应用系统威胁能够做到从宏观到微观的深入全面了解。

2.WAF+IPS双擎保护

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙内置轻量化的IPS引擎 ，可以帮助用户一站式解决Web应用系统环境中安全关联性较强的如操作系统、数据库系统、网络设备等方面的安全威胁问题，具体包括安全漏洞、溢出攻击等防御模块，同时更具备自定义策略功能，用户可根据自身业务安全需求灵活定制专有的WAF及IPS策略。

3. 协议安全+内容安全

从协议合规及传输内容安全的角度出发，除了常规的特征库检测手段之外还包括HTTP协议内容长度检查、请求及行为方法控制、溢出检查、cookie过滤、上传/下载类型检测、URL访问控制、盗链防护、网站隐身、敏感信息过滤等多项可控安全功能，全方位覆盖OWASP TOP10威胁内容。

4.病毒上传过滤

除了Web攻击与入侵防御的防御手段之外， UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙还具备FTP和HTTP协议的文件上传病毒过滤功能，内置实时更新的病毒特征库，从恶意程序和协议识别角度保护用户HTTP和FTP业务服务器的文件健康，有效避免重要服务器成为病毒程序的扩散源，造成水坑攻击效果，有效防御病毒攻击。

5.IPv4v6双栈协议支持

在IPV4地址资源逐渐枯竭的今天，越来越多的校园网、科研单位网络正在向IPV6组网跨越， UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙满足各类双栈部署环境，同时双向支持IPV4及IPV6协议栈，帮助用户轻松组建实验网络或帮助从IPV4到IPV6的过渡，并支持IPV6地址的安全检测。

6.内置Web漏洞扫描功能

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙内置经过优化的轻量级Web漏洞扫描引擎，用户可以通过扫描计划任务，周期性的对自己的站点进行高效可靠的扫描工作，尽量在信息安全事件发生前感知Web应用系统的漏洞和弱点，及时部署相应的安全保护措施。扫描器可支持的扫描项目包括：SQL注入漏洞、XSS脚本漏洞、Web后门、网页挂马、程序错误信息、内部目录泄露、邮箱地址泄露、无效链接、代码泄露、目录遍历、入侵广告、目录浏览、内部文件泄露、WebDAV启用、典型登录页面、内部IP泄露。并根据系统扫描结果，生成扫描报告。报告支持在线查看、导出、订阅，并可以通过邮件方式将扫描报告发送至相关干系人。

7.网络及应用层DOS攻击防护

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙具备常见的针对Web应用系统的网络层和应用层攻击防护功能，可以根据多种参数组合方式拦截各类flood攻击、cc攻击，保障正常访问业务连接，阻断异常或非法的请求连接，有效抵御流量及连接型dos攻击，保障业务可用。

8.一键及动态黑白

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙经过多年的用户反馈积累和先进的用户体验设计，具备方便快捷的源IP一键加白加黑功能，同时也可基于安全事件日志的URL或IP进行signature级别的精确一键加白，当然我们也提供单独的例外添加功能让客户能够进行合理可控的例外配置非感兴趣流。针对常见的攻击源，我们也可以进行一键及动态加黑，达到快速屏蔽并节省防御资源的目的。

9.冗余与业务逃生功能

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙经过多年锤炼，具备多种冗余接入方式，同时支持HA-active&active与HA-active&standby部署方式，辅以多种探测机制消除单点故障，保障用户Web业务稳定可靠运行。 UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙也支持软件和硬件bypass(云WAF不支持硬件bypass，仅支持软件bypass)，在单机部署时，也可根据合理有效的参数设定快速切换至逃生状态，保障用户业务优先。

10.完备的数据报表日志功能

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙在进行安全事件记录的同时，也可记录所有Web访问行为的日志，为调查工作提供完整的追查依据，符合国家网络监管要求，并可进行深度挖掘和关联分析,为用户提供网站应用优化及防御的报表数据支撑。

11.旁路阻断功能

在WAF首次部署或担心部署后产生业务连续性和可用性影响时，可以选择将WAF进行侦测模式旁路部署，通过接收交换机镜像过来的镜像流量来进行流量分析，不会对真实业务流量产生任何阻止动作及性能瓶颈影响，是最快速易用的部署模式(云WAF不支持此部署模式，仅硬件WAF有旁路阻断功能)，同时在充分考虑用户应用场景的情况下， UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙还支持旁路阻断功能，可以通过设置专用的阻断端口实现TCPreset功能，在侦测模式下完成威胁流量的防御拦截。

12.Webshell侦测与阻断

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙实时监测过滤WebShell攻击命令，阻止WebShell发起的各种攻击例如：挂马、文件下载、端口扫描、内容篡改等，同时配套专用的Webshell监测工具（绿色、操作简单、无需额外组件、支持畸形文件夹文件名、扫描速度快）。

13.多种部署模式

根据用户组网需求，UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙支持多种部署模式(云WAF仅支持反向代理部署模式)，包括对网络拓扑影响最小的透明模式，可以隐藏网站真实IP的高安全性反向代理模式，适于快速部署和业务学习的侦测模式，复杂环境中的混合模式，消除单体故障的HA主主与HA主备模式（云WAF暂不支持双机模式），充分满足用户的各类组网环境需求。

集中一站式防护（透明代理模式）

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙可部署在企业网关出口处，对多网段分布部署的Web应用服务系统，提供集中一站式的防护(云WAF不支持此部署模式，仅支持反向代理部署模式)。以一般中型企业为例，在具备多个子公司或办公节点的且共享互联网出口的情况下，每个子公司甚至每个部门具有分布部署的多个Web应用服务系统，通过在该公司互联网出口处部署一台UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙产品，就能达到对全部Web应用服务器的防护，使投资回报率最大化。

旁挂检测与阻断（旁路模式）

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙可旁挂在核心或应用服务接入交换机上，通过接受交换机或分光设备等镜像过来的流量进行旁路数据分析检测(云WAF不支持此部署模式，仅支持反向代理部署模式)，提供各类Web风险监控与评估报告，并可根据需求通过TCP-reset的方式设置专用的旁路阻断接口进行Web攻击行为的旁路拦截，该部署模式对用户实际业务流量走向没有任何影响所以不会造成新的性能瓶颈，也不增加额外的故障点，是对用户拓扑影响最小的设备部署方案。

专项Web业务防护部署（反向代理模式）

UnisGuard WEB应用安全防护系统W10000/V5.0 WEB应用防火墙可部署在防火墙DMZ的服务器集群中，只需要在WAF设备上配置反向代理需要映射的本地IP和目标Web服务器的IP地址，通过防火墙将Web服务器的公网IP地址映射到WAF被配置的本地IP，这样访问服务器的流量，会优先导入WAF设备进行检测过滤，过滤Web攻击和非法操作，然后将正常的流量通过配置的映射关系，转发给真实的Web服务器，对于服务器返回的数据，也首先转给WAF进行检测过滤之后，再返回给访问客户端，提升Web应用服务器自身的业务处理效率，进而实现对Web服务器的隐身高效安全防护。

UnisGuard作为Web应用防火墙的创新者，着眼于互联网的应用安全领域，致力于高性能Web应用防火墙的研发，为企业提供整合反恶意软件、Internet应用控制、Web应用服务内容及协议保护等诸多功能一体化解决的SecPath 系列 Web 应用防火墙，帮助企业抵御网络威胁，加强信息安全管理，提高生产效率。