星空（中国）官方网站-官方授权体育平台

　　本标准规定了迪普科技Web应用防火墙产品的术语缩略语、型号与规格、要求、试验方法、检验规则、标志、包装、运输和贮存。

　　下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

　　GB4798-90电子电工产品应用环境条件机械和试验环境条件GB3047.4高度进制为44.45mm的插箱、插件的基本尺寸系列

　　GB/T3047.2高度进制为44.45mm的面板、机架和机柜的基本尺寸系列

　　电工电子产品环境试验第2部分：试验方法试验Db：交变湿热（12h+12h循环）

　　GBT28451-2012信息安全技术网络型入侵防御产品技术要求和测试评价方法GBT30279-2013信息安全技术安全漏洞等级划分指南

　　ETSIEN300386电磁兼容和无线频谱管理（ERM）：通信设备：电磁兼容性（EMC）要求

　　产品档次：根据设备性能分为三个档次，M（1G），G（1G-10G），T（10G）。

　　S表示Standard，定位为该档次的标准型产品，具有该档次完整功能。强调性价

　　M表示Middle，定位为该档次的中间型产品，具有该档次完整功能，同时在硬件规格、性能指标方面优于标准型产品。

　　A表示Advanced，定位为该档次的高级型产品，具有该档次完整功能，并提供高级特性。同时硬件规格、性能指标方面优于中间型产品。

　　E表示Enhanced，定位为该档次的增强型产品，具有该档次完整功能，并提供高级特性。同时硬件规格、性能指标方面优于高级型产品。

　　外观要符合通信类产品设计惯例，符合一般受众审美观点。产品外观设计按照工业设计规范流程以及规范工具表达，设计表达简洁清晰，易于理解。产品外观充分考虑人机界面，具有优秀的用户感受和识别特征，按照通行的人机标准进行测量以及评价。产品外观应整洁，表面不应有凹痕、裂缝、变形、毛刺、霉斑等缺陷，表面涂层不应起泡、龟裂、脱离。金属件不应有锈蚀及其他机械损伤。符合本公司产品外观检验标准之规定。

　　机箱和面板上说明功能的文字和图形符号标志应正确、清晰、端正、牢固，图形符号应符合GB5465之规定。

　　应符合GB4943相关规定。对下面相关的危险采取适当的防护措施，减少或避免由于下列各种危险造成伤害或危害：

　　支持全双工、半双工、自动协商工作方式GE电口支持10M、100M、1000M、自协商速率GE光口支持100M、1000M速率

　　产品的技术参数、形状、尺寸应尽最大限度地标准化和规格化，有利于提高产品质量，保持产品继承性，并能降低成本。

　　电子产品的经济性包括使用经济性和生产经济性两方面内容。产品在使用、储存和运输过程中所消耗的费用，称为使用经济性。生产经济性是指生产成本，它包括生产准备费用、原材料的辅助费用、工资和附加费用、管理费用等。为提高产品的经济性，在设计阶段应考虑以下几个问题：

　　研究产品的技术条件，产品设计参数、性能和使用条件，正确制定设计方案和确定产品的复杂程度，这是产品经济性的首要条件。

　　由产量确定产品结构形式和生产类型。产量的大小决定着生产批量的规模，进而影响生产方式类型。

　　周密设计产品的结构，使产品具有较好的操作维修性能和使用性能，降低产品的维修和使用费

　　首件产品经操作者自检合格后，再提交检验员进行检验活动，包括装配首检、测试首检、包装首检；首检应覆盖生产过程的检查和产品性能、精度、安全性和外观的检查。

　　BOM单是否与所生产产品一致，是最新BOM;产品型号与实际生产的型号相符

　　巡检是指检验人员对产品生产过程的各个环节进行巡查监控的一种质量控制方式，以确保加工中的产品符合规格要求。

　　例行检验是生产人员对产品的外观和功能进行的100%检查，通常检验后，除包装和加贴标签外，不再进一步加工。

　　最终检验是对完工后的产品进行全面的检查与试验。其目的是防止不合格品流到用户手中，避免对用户造成损失。

　　振动：按照GB/T2423.10“试验Fc”的试验方法进行。冲击：按照GB/T2423.5“试验Ea”的试验方法进行。碰撞：按照GB/T2423.6“试验Eb”的试验方法进行。自由跌落：按照4.8.5中自由跌落试验要求进行。

　　考察WAF是否支持灵活的配置管理方式，是否支持Console、SSH管理方式

　　通过开启WAF设备的https服务，允许终端通过https登陆WAF设备进行管理

　　1、测试WAF设备是否支持AAA用户认证功能；2、测试WAF设备是否支持Radius

　　验证WAF设备是否支持分级权限管理功能，不同级别的用户对设备有不同的操作权限

　　分别为其设置角色：超级管理员、操作员、审计员，只有超级管理员账号可以创建新用户，超级管理员和操作员账号可以进行配置变更，审计员账号只允许进行只读操作。设置角色后，用此用户登陆，执行相关操作，验证权限有效性

　　WAF可开启界面超时检测，对于WEB方式，用户在超时时间内没有对设备进行操作，

　　WAF可开启界面超时检测，用户在超时时间内没有对设备进行操作，设备会跳回登陆

　　考察厂商对于入侵事件库的后续支持是否完备，是否支持离线升级包进行升级，以及

　　Web应用防火墙系统应配备不同的网络硬件接口分别用于产品管理和应用数据防护

　　采用镜像模式进行部署，无需调整网络结构，只需将客户端和WEB服务器的通信流量

　　利用扫描器Appscan扫描WEB服务器，考察WAF能否对客户端和WEB服务器的通信流量进行安全审计和告警

　　测试WAF是否支持透明模式部署，在透明部署模式中，WAF相当于二层交换机，不修

　　利用扫描器Appscan扫描WEB服务器，考察WAF能否对客户端和WEB服务器的通信流量进行安全审计和告警

　　测试WAF是否支持路由模式部署，在路由模式下，WAF相当于一个路由器，不修改经

　　在PC1（）上利用扫描器Appscan扫描WEB服务器（），考察WAF能否对客户端和WEB服务器的通信流量进行安全审计和告警

　　WAF允许通过配置访问控制策略，依据协议，源/目的地址，源/目的端口来对数据流

　　配置网络层访问控制策略，针对于PC客户端对请求服务器80端口（对外提供服务的端口）的请求进行阻断操作，看是否生效。

　　HTTP访问控制实现了基于应用层的黑白名单功能，可以根据配置的HOST、URI-path、请求方法和客户端IP来设置动作。匹配上白名单的HTTP访问将直接透过设备访问服务器，不进行检测；匹配上黑名单的访问执行相应的动作，比如阻断即将丢弃报文,响应配置的HTTP状态码，伪装页面等。

　　配置黑名单优先，配置需要控制的目的站点URL,源ip配置为客户端ip,动作设置为阻断，客户端通过浏览器访问被限制站点

　　配置白名单优先，配置需要控制的目的站点URL,源ip配置为客户端ip,动作

　　WAF上报HTTP访问控制事件，黑名单配置时阻断对受限制HTTP的访问；而白名单时

　　站点安全开启httpflood防护功能，配置阈值为5（基于服务器相应站点），开启日志功能

　　对于不完整的丢包，重传包以及伪造的畸形包都会通过协议合规性机制来处理，防止非法用户通过构造不合规请求，对Web服务器进行非合法探测或溢出攻击。对于检测

　　WAF新建一个HTTP协议校验策略，配置HTTP合规性检查参数，URL最大长度设置为2个字节

　　对于检测出的不合规的请求，允许进行丢弃或返回错误页面处理，同时记录相应日志。

　　WAF新建一个HTTP协议校验策略，配置HTTP合规性检查参数，Cookie最大长度设置为2个字节

　　客户端使用浏览器的控制台等工具设置Cookie长度超过2字节，访问目标网站

　　网络爬虫是一种自动抓取网页的程序，大量的网络爬虫会消耗Web服务器资源，造成Web服务器响应变慢，甚至无响应。有的爬虫会抓取网站的重要数据，因此需要对恶

　　站点安全开启爬虫防护功能，动作设置为阻断，阻断IP封禁时间2分钟，开启日志功能

　　恶意的Web漏洞扫描器扫描不仅容易暴漏网站的漏洞风险，还会消耗Web服务器资源，造成Web服务响应变慢等影响。高并发多线程的漏洞扫描还会对服务器造成DoS攻击，因此WAF需要进行扫描防护。扫描器的请求特征包含特殊的User-Agent，特殊的攻击请求参数/参数值，同时通过算法统计请求量，应答样本的比例可以识别出扫描器

　　验证WEB应用防火墙设备的网页防盗链功能，网站盗链会大量消耗被盗链网站的带宽，消耗服务器的资源，而真正用户的点击率也许会很小，严重损害了被盗链网站的

　　在攻击机上安装如迅雷等下载软件，新建下载任务，填入防护站点的某个资源，比如视频或者图片的URL连接，并开始下载

　　SQL注入攻击利用现有应用程序不对输入数据进行检查过滤的缺陷，将恶意的SQL命令注入到后台数据库引擎执行，达到偷取数据库数据甚至控制Web服务器的目的。开启SQL注入防护功能可以防御SQL注入攻击。通过配置站点安全中的相应内容，可以实现丢弃攻击报文，或者返回错误页面，阻断攻击主机，提取原始报文以及上报攻

　　分别在WEB应用防火墙关闭状态和开启状态下测试下面项目：使用webscarab代理IE访问，打开WebScarab，进行手动输入payload：

　　WAF丢弃SQL注入攻击报文，浏览器上提示页面无法显示，WAF上有sql注入阻断告

　　跨站脚本攻击(CrossSiteScripting)，指恶意攻击者往Web页面里插入恶意html代码，当受害者浏览该Web页时，嵌入其中的html代码会被受害者Web客户端执行，达到窃取用户网站访问权限，植入网页木马，钓鱼攻击等恶意目的。

　　开启XSS攻击防护功能可以防御XSS攻击。通过配置安全策略中的相应内容，可以实现丢弃攻击报文，或者返回错误页面，阻断攻击主机，提取原始报文以及上报攻击事

　　WAF丢弃XSS攻击报文，浏览器上提示页面无法显示，WAF上有XSS攻击阻断告警

　　文件上传过滤，可以对指定的某种类型文件或者文件内容进行检测过滤，禁止上传或允许上传，并上报事件日志。

　　开启文件上传过滤，对禁止上传的文件，可以阻断连接，上报事件；对允许上传的文

　　配置站点安全，开启文件上传过滤，采用阻断方法禁止上传exe类型文件，开启日志。

　　文件下载过滤，可以对指定的某种类型文件进行过滤，禁止从服务器上下载某种类型的文件，还可以根据MIMEtype、文件的大小进行过滤。

　　配置站点安全，开启文件下载过滤，丢弃下载exe类型文件的报文，开启日志，并将下载文件大小设置为100byte

　　开启WEB应用防火墙的cookies签名保护，动作阻断，并开启源IP校验

　　CSRF（Cross-siterequestforgery）跨站请求伪造攻击通过伪装来自受信任用户的请求来利用受信任的网站功能比如添加用户，删除文章等。根据Web网站功能的不同，漏洞的危害程度也不同。测试WEB应用防火墙是否能够阻止CSRF（跨站请求伪造）

　　2、提交后，当管理员登陆后审核留言时，即可添加一个用户名为test，密码为test的用户；

　　WEB服务器类型：隐藏、修改一些能够透露WEB服务器类型、服务器版本的文字信息，

　　使恶意攻击者不能获取WEB服务器的类型，从而难于进行针对性的攻击（例如0Day攻击）。该模块可以有效防护一些ATP攻击。

　　WEB错误页面信息：把Web服务器的错误提示信息，替换为标准、通用的错误提示信息，以防止错误提示信息泄露系统敏感信息内容，被恶意攻击者进行进一步的渗透利用。例如常见的SQL数据库报错信息，Web应用程序报错信息泄漏的Web服务器目录的绝对路径等信息。该模块可以有效防护一些ATP攻击。

　　开启WAF信息泄露防护，并对服务器响应404典型页面进行替换操作，并上传客户自定义页面

　　敏感信息过滤策略主要针对指定的隐私信息如个人身份证、社会安全号码、银行卡号等进行过滤，对涉及敏感信息内容的访问进行阻断或者替换为指定字符，从而避免泄

　　测试WAF是否可针对于用户服务器站点的参数及参数值进行自学习，并可根据学习到

　　2、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问加。

　　3、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。

　　4、VIP文档为合作方或网友上传，每下载1次， 网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

　　生物质能发电产业2025年技术创新与生物质能发电厂技术创新人才培养报告.docx

　　区域协调发展战略下的环境保护与可持续发展路径2025年研究报告.docx

　　针对2025年老龄化社会，银发网民电脑操作技能培训与适配方案研究.docx

　　2026年全球光伏组件出口贸易壁垒分析：技术创新与市场拓展策略研究.docx

　　2025年网络零售行业医疗电商分析及未来五到十年市场发展趋势报告.docx

　　新能源集控中心项目 智慧电厂建设项目 智慧光伏 智慧水电 智慧燃机 智慧工地 智慧城市 数据中心 电力行业信息化

　　同等学力申硕《控制科学与工程学科综合水平全国统一考试》真题答案解析.pdf

　　土壤中有机污染物的分析测试方法PPT(浙江省环境监测中心刘劲松).pdf

　　原创力文档创建于2008年，本站为文档C2C交易模式，即用户上传的文档直接分享给其他用户（可下载、阅读），本站只是中间服务星空体育官方入口 星空体育官网平台，本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方，若您的权利被侵害，请发链接和相关诉求至 电线) ，上传者