SiteShell是一款由NEC专门研发的用于防御Web应用漏洞攻击的安全软件产品,可应对市场上所有通过IIS、APACHE等构建的Web服务器的应用漏洞;可防护SQL注入、跨站脚本攻击等OWASP组织所公布的”Top 10 Web Application Security Risks”中所有WAF软件可以对应的部分;通过其优质的、可信赖的黑名单技术以及相关策略,在保护用户的Web应用免受最新攻击的同时,让Web防护更符合客户的实际需求。
对于中小型的电子商务等企业来说,Siteshell为软件性WAF,和硬件性WAF相比导入更为容易,导入WAF代价低而且一劳永逸。
1.安装导入非常简便、容易
安装操作只需几分钟,安装完毕即可使用。并且提供测试模式以验证对Web应用的影响,使用户安全放心使用。在一个拥有36台服务器的复杂电子商务网站,只用了两周时间就完成了从测试到完全导入,足以证明安装的便利性。
2.完备的防御力(领先的黑名单技术)
NEC在全球(中国,印度,日本)的安全专家组的不间断研究成果确保抵御攻击的核心-黑名单的完备性和更新的及时性,使用户的网站免受最新的攻击。 Siteshell可以防御OWASP规定的WAF需要应对的所有种类的攻击,这在业界是极为少见的。
3.高性能
对于用户的Web应用的影响微乎其微,在每秒300个事务处理的情况下,实测影响值在10毫秒以下。 对于服务器的负荷影响,CPU的使用率增加在5%~10%以内,几乎不增加内存使用量。
4.和传统的修改网站源代码实现网站安全的方式相比具有巨大优越性
有的大型电子商务网站为了自身实现Web应用的安全不得不维持着数百人的安全代码维护团队以巨大代价来对付不断出现的新型Web应用攻击,对于中小型的电子商务等企业来说,这是不能承受的代价。与此相比导入WAF代价低而且一劳永逸。
5.轻松应对Https(SSL)的应用
SiteShell作为Web服务器的插件形式,接受并检查来自Web服务器已经解密的访问数据,可以轻松应对https(SSL)形式的应用,而硬件型的WAF,由于以一台独立的设备介入服务器和用户访问之间,如需检查Https(SSL)的数据需要用户将证书设置到硬件性的WAF中,这对于网站运营者来说,需要承担潜在的风险。
6.Siteshell为软件性WAF,和硬件性WAF相比导入更为容易
无需更改用户的网络环境便可轻松导入。而硬件性的WAF需要改变用户的网络环境。
7.设置灵活
通过调整黑名单和使用白名单机制,可灵活的变更漏洞对应措施的级别。使用户的网站安全无忧的运行。