阿碼外傳-阿碼科技非官方中文 Blog: SmartWAF v3 的釋出與新功能介紹

2009年1月12日

SmartWAF v3 的釋出與新功能介紹

產品前進的腳步是不停歇的,三個月前還在 SmartWAF v2.5 的階段,轉眼間 SmartWAF 已經釋出第3版啦!

如果說 SmartWAF v2.5 是 SmartWAF 2 的強化版,不如說是 SmartWAF v3 的嘗鮮版。 SmartWAF v3 可以說是總合 SmartWAF v2 時代許多客戶的需求以及 SmartWAF v2.5 上的一些實驗性新功能,所推出來的新版本。 SmartWAF v3 整體介面風格並沒有多少改變(預計3.5版會改頭換面),但是有幾項主要改變與新增功能特色:

1.集中更新派送
其實 SmartWAF 的更新已經很簡單了,有安裝過的人都知道,只是 Web Server 一多,一台台連進去更新總是不夠方便。集中更新派送的功能主要提供給大量使用 SmartWAF 的客戶,透過管理介面就可以遠端更新各台 Web Server 上的 SmartWAF ,就像是企業防毒軟體的中控台一樣,這樣一來,無需一台一台 Web Server 遠端登入然後手動進行更新,版本更新也變得更加方便,另外也可以遠端停止 SmartWAF 運行或是重新啟動。
之前總是會有人會把 SmartWAF 與免費產品拿來比較,這個功能應該在免費的 WAF 產品上找不到吧。

2.支援多處理器
支援多處理器是 SmartWAF3 的一個重要里程碑。過去 SmartWAF 啟動時會同時生出多個 process ,但是並不支援多處理器模式,在多處理器環境下只能為每個 process 分配處理器來利用 CPU 資源。現在 SmartWAF v3 已經支援多處理器模式,甚至還可以指定要使用幾個處理器,一些比較繁重的工作如統計、過濾 response body 等就可以分散給多個處理器同時處理,不再只是佔用特定的處理器,其他處理器卻是閒得發慌。
相較之下,許多免費產品使用單一 process ,也不能充分利用 CPU 資源, process 一旦異常就整組報銷,而流量大一忙碌時,也沒辦法有效運用系統資源。

3.偵測模式與保護模式
在 SmartWAF v3 以前,如果想先觀察規則的嚴密程度,是否有誤擋情形,都必須使用 SHADOW Rules 。許多客戶在試用階段僅需要使用 SHADOW Rules ,另外有些客戶則是把 SmartWAF 當成 WebIDS 來用,一般用戶則在上線前都需要觀察一陣子,因此從 SmartWAF3 開始,提供了兩種模式,分別為偵測模式(Detection Mode)與保護模式(Protection Mode),用以提供使用者更直觀的操作體驗。
細部的實際操作與過去的 SHADOW Rules 與 ACTIVE Rules 相差不大,只是現在預設都處於偵測模式,相關規則設定、學習、匯入完成並觀察運行一陣子並微調完畢後,只需要切換到保護模式即可上線提供保護,攔阻違規的網頁存取行為。

4.異常警示
異常警示功能在 SmartWAF v2.5 就有了,到了 SmartWAF v3 又有了強化。過去僅能做到系統級別的警示,例如 SmartWAF 總存取量異常增加等,現在可以進一步到 Application 級別的警示,也就是說當某個 Application 內所保護網站的總存取量異常增加時,一樣可以發出示警。另外,現在示警的方式也增加了 SNMPTrap 這種方法,許多有使用用網管系統,或是有 NOC 或 SOC 的單位都可以接收 SNMP Trap。
目前系統層級的警示類型包含:
a. Cluster State - 例如叢集成員斷線或是系統異常無法回應
b. Requests Per Minute - 例如 DoS 或是弱點掃描
c. Denied Requests Per Minute - 例如弱點掃描
而 Application 級別的警示類型包含:
a. Requests Per Minute Per Application
b. Denied Requests Per Minute Per Application
c. New Sessions Per Minute Per Application - 例如弱點掃描或是 Session 猜測

目前發出警示的方法則包括:
a. Mail - 寄送警示至相關信箱
b. Post - 傳送警示至特定網頁
c. LogFile - 儲存警示至特定紀錄檔
d. SNMPTrap - 透過 SNMP Trap 送出警示

預計下個版本還會增加更多的警示類型與方式。

另外還有許多改進如新增的 Preconditions 、新增的 Handlers 、許多 Handlers 內的新增參數、每週及每月 PDF 統計報告、叢集成員系統狀態統計與特定 Handler 狀態統計等,功能強化不少,我就不一一列出了,有興趣試試看的,歡迎進一步連繫囉。

作者 Wisely 為 阿碼科技 產品經理

1 篇回應 :

匿名 提到...

3.0版用起來真的很舒服^^

。增加了HTTPS,讓管理連線更安全
。Baseline的下載讓規則定訂更快更簡單
。安裝更加穩定,減少調整微調設定
。server資源使用也更穩(吃CPU的部份目前看來還很穩^^)
。有發mail警訊功能
。統計圖型更細緻
。報表匯出功能超方便(而且很詳細)
。cluster功能…呵~還沒試++
。偵測與預防功能很方便(就像IDS與IPS的觀念)
。support8CPU @@ (希望有機會可以玩到^^)
。可用16個App (裝的了這麼多嗎??)
………

希望未來有的功能:
。能有自動更新防禦rule的功能:
就像windows一樣,你買了這個版本的授權,就可以更新這個版本的防禦規則~
不過…smartWAF更新這麼快~可以用如時間基準,一年內可不斷更新之類的~有自動更新的機制可以讓WAF產品更強喔^^

smartWAF加油!!
嘿~~ 頭好粉絲 漢克

張貼留言