梭子魚Web應用防火墻白皮書
【51CTO.com 綜合消息】隨著網(wǎng)絡應用的發(fā)展,企業(yè)Web應用日益增多,同時也面臨著Web濫用、病毒泛濫和黑客攻擊等安全問題,導致企業(yè)Web被篡改、數(shù)據(jù)被竊取或丟失。根據(jù)Gartner的統(tǒng)計當前網(wǎng)絡上75%的攻擊是針對Web應用的。攻擊者通過應用層協(xié)議進入企業(yè)內(nèi)部,如Web、Web郵件、聊天工具和P2P等攻擊企業(yè)網(wǎng)絡。利用網(wǎng)上隨處可見的攻擊軟件,攻擊者不需要對網(wǎng)絡協(xié)議的深厚理解基礎,即可完成諸如更換web網(wǎng)站主頁,盜取管理員密碼,破壞整個網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡層數(shù)據(jù),和正常數(shù)據(jù)沒有什么區(qū)別。
因此,傳統(tǒng)的防火墻是無法進行Web應用防護的。防火墻工作在網(wǎng)絡層,通過地址轉換、訪問控制及狀態(tài)檢測等功能,對企業(yè)網(wǎng)絡進行保護。但對于應用最廣泛的Web服務器,防火墻完全對外部網(wǎng)絡開放http應用端口,這種方式對于Web應用沒有任何的防護。防火墻無法防護上述應用層的攻擊。
據(jù)最近的美國計算機安全協(xié)會(CSI)/美國聯(lián)邦調(diào)查局(FBI)的研究表明,在接受調(diào)查的公司中有 52% 的公司的系統(tǒng)遭受過外部入侵,但事實上他們中有 98% 的公司都裝有防火墻。而這些攻擊為269家受訪公司帶來的經(jīng)濟損失——包括系統(tǒng)入侵、濫用 web 應用系統(tǒng)、網(wǎng)頁置換、盜取私人信息及拒絕服務共計超過 1.41 億美元。
入侵檢測系統(tǒng)作為防火墻的有利補充,加強了網(wǎng)絡的安全防御能力。但是,入侵檢測技術的作用存在一定的局限性。由于需要預先構造攻擊特征庫來匹配網(wǎng)絡數(shù)據(jù),對于未知攻擊和或偽裝成正常流量的攻擊,入侵檢測系統(tǒng)不能檢測和防御。更重要的是,對于應用系統(tǒng)中某一漏洞的目標攻擊,他們沒有任何防御能力,因為這些攻擊沒有明顯的特征可供判斷。另外就是其技術實現(xiàn)的矛盾,如果需要防御更多的攻擊,那么就需要很多的規(guī)則,但是隨著規(guī)則的增多,系統(tǒng)出現(xiàn)的虛假報告(對于入侵防御系統(tǒng)來說,會產(chǎn)生中斷正常連接的問題)率會上升,同時,系統(tǒng)的效率會降低。
 |
| 圖 |
圖一 Web攻擊對防火墻及IDS是不可見的
梭子魚提供了世界上最強大的Netcontinuum應用防火墻產(chǎn)品線,能夠為 web 服務器和 web 應用提供全面的保護——既可防范已知的對 web 應用系統(tǒng)及基礎設施漏洞的攻擊,也可抵御更多的惡意及目標攻擊。梭子魚應用防火墻基于NetContinuum專利的NCOS系統(tǒng),對Web應用具備終止、防護和加速。集中化GUI控制界面可以讓系統(tǒng)的配置和管理變得十分簡單。 特別是,梭子魚應用控制防火墻完全符合WAFEC & OWASP提出的標準。并且是世界上唯一被ICSA在網(wǎng)絡層和應用層上通過認證的產(chǎn)品。#p#
梭子魚應用防火墻的原理:
梭子魚應用防火墻通過代理(Proxy)幫助企業(yè)建起防線! 基于會話的雙向代理不僅能應用在網(wǎng)絡層,同時還能應用在HTTP應用層上,確保內(nèi)部服務器操作系統(tǒng)和TCP堆棧不直接暴露在Internet,保障web應用的安全。
 |
| 圖 |
圖二 Web應用防火墻的原理
NetContinuum 應用防火墻功能:
終止:NetContinuum 產(chǎn)品有一個基本原則: 用戶瀏覽器和應用程序服務器的連接會話都在此終止。 Netcontinuum將對應用流量(向內(nèi)和向外)進行全面的檢查,并管理每一個會話。通過TCP握手切斷任何基于TCP的DOS攻擊。在終止會話的同時,應用防火墻可以提供網(wǎng)絡層的NAT、PAT 、ACL 策略和SSL 密碼系統(tǒng)。系統(tǒng)對于HTTP內(nèi)容有著完全的訪問權和控制權,檢查所有的HTTP 內(nèi)容,解釋和建立規(guī)則。
安全:一旦某個會話被NetContinuum應用防火墻終止并被控制,將會對向內(nèi)或向外的流量進行多種檢查,以阻止內(nèi)嵌的攻擊、數(shù)據(jù)竊取和身份竊取。 可以指定各種策略對URL、 參數(shù)和格式等進行檢查。 加速:除了WEB應用的安全性,數(shù)據(jù)中心還負責應用的可用性和響應時間。將加速功能 (TCP 池,緩存,GZIP壓縮)和可用性功能(負載均衡,內(nèi)容交換,健康檢查)在一個單一的節(jié)點處結合起來會顯著地簡化數(shù)據(jù)中心的體系結構,以此來降低成本。
 |
| 圖 |
#p#
梭子魚NetContinuum 應用防火墻的安裝
梭子魚應用防火墻部署簡便靈活,共有4種部署方式。
◆單臂模式
單臂模式是目前為止用于殘品測試的最透明和最簡單的方式,不會影響網(wǎng)絡中的其他流量。在單臂模式下,只有HTTP和HTTPS流量會被指到控制器,控制器處于DMZ區(qū)。控制器檢查這些流量,轉發(fā)給服務器,記錄所有違背安全策略的行為。單臂模式是一種讓用戶“進入”第7層安全應用的方便的方法。
◆橋模式
橋模式是指在兩臺運行的設備中間插入控制器,但是對流量并不產(chǎn)生任何影響。在橋模式下,控制器阻斷第7層的應用攻擊,但是讓其他的流量通過。橋模式是部署最為簡便的方式。橋模式是透明的,所以不會干預任何網(wǎng)絡中的設備。然而,某些功能在橋模式下是無法啟用的,比如負載均衡,內(nèi)容交換和網(wǎng)絡防火墻。
◆代理模式
代理模式為您的應用結構提供了最高程度的保護。然而,這種模式要求應用的IP地址在控制器的控制之下。這種模式通常在數(shù)據(jù)中心與系統(tǒng)相兼容并且已準備好作為代理設備的情況下使用。
◆主動/被動 安全性增強
此外,以上每一種模式可以運行在主動或者被動模式。在被動模式下,控制器不會執(zhí)行策略。僅僅讓流量通過,始終學習、報告和記錄事務日志。對于理解應用的行為和提供有價值的信息來將控制器移入應用數(shù)據(jù)流是非常有用的。只有在主動模式下,控制器才會執(zhí)行安全策略。
◆備機
NetContinuum 控制器擁有stateful failover功能。在主控制器失敗的情況下(由于軟件出錯,網(wǎng)絡連接出錯等),備用控制器能夠安全、有效地進行接替。沒有流量丟失。
◆穿透功能
NetContinuum 控制器包含可選的網(wǎng)絡層fail open功能。 若控制器的硬件、PSU或軟件出錯,控制器會把自己從網(wǎng)絡中移除,使所有流量都能到達后面的設備。任何控制器的問題都不會導致應用的失效。
管理簡便
在部署完畢后,NetContinuum控制器提供一個信息和控制的中心點來操作您的應用。數(shù)據(jù)中心能夠觀察到完整的應用健康程度。能夠方便迅速地調(diào)整策略,不需停止任何服務。NetContinuum研發(fā)了一個管理模型和特別設計的GUI,用來促進當前技術人員運用NetContinuum的水平并拓展對于應用控制的能力。最重要的是,系統(tǒng)設計了向?qū)Чδ芎皖A設置功能,這將能夠?qū)π碌膽玫陌踩院托碌牟呗赃M行迅速的定義。
◆運行情況報告 – 應用和系統(tǒng)健康
運行情況報告發(fā)布實時完整的應用運行的健康數(shù)據(jù)。處理率、比特率、健康攻擊都被實時監(jiān)控并顯示在運行情況報告面板里。諸如內(nèi)存和CPU的利用情況、應用防火墻、網(wǎng)絡防火墻和系統(tǒng)的日志等控制器信息都實時顯示。
 |
| 圖 |
◆虛擬功能 – 多個應用
NetContinuum的虛擬功能是一個為數(shù)據(jù)中心所提供的強大的工具,這個數(shù)據(jù)中心處理著應用方面的管理。虛擬功能允許您定義多個獨立的應用。每個被定義的應用都被當作一個單獨的實體進行處理。系統(tǒng)讓管理員獨立、清晰地管理多個應用服務。
◆當前策略調(diào)整
應用服務經(jīng)常改變并被部署。因此,控制器必須能夠方便地調(diào)整策略。NetContinuum控制器有兩種方法來幫助管理員管理這種情況。NetContinuum動態(tài)應用調(diào)試和執(zhí)行 (DAP) 能夠?qū)崟r地自動學習和執(zhí)行策略。此功能使得管理員在不對控制器產(chǎn)生任何影響的前提下部署應用的升級。一些安全人員更加喜歡一種操控性更強、手動進行的應用升級。實時策略向?qū)軌騾f(xié)助您自定義策略,同時讓您對于當前的策略擁有完全的掌控。此系統(tǒng)能夠記錄所有違背ACL的行為。根據(jù)這個日志,當然,您也可以隨時重新創(chuàng)建策略。
符合標準
由于當今Web攻擊日益嚴重,加上與它們相關的攻擊與日俱增,因此研發(fā)一種測試產(chǎn)品安全性的標準來全面保護應用顯得至關重要。
兩個站在定義應用安全前線的組織機構是:
◆開放Web應用安全項目 (OWASP),這是一個致力于尋找和攻克危險軟件的組織。OWASP所規(guī)定的前十項要求提供了最低標準的應用安全。NetContinuum產(chǎn)品能夠輕松解決前十項最普遍的WEB安全漏洞問題。請瀏覽OWASP官方網(wǎng)站:www.owasp.org.
◆Web應用安全聯(lián)盟 (WASC)是一個包含專家、行業(yè)人員、和生產(chǎn)開源應用安全標準的組織代表的國際組織。聯(lián)盟新的 “Web應用防火墻評測標準” (WAFEC)是一個為提供獨立的、與廠家無關的WEB應用防火墻產(chǎn)品的評測標準。符合了這些標準意味著能夠確保進入的數(shù)據(jù)都是安全的。自從標準出臺以來,NetContinuum就著手開始滿足WASC-WAFEC評測標準的工作。下表表明了NetContinuum如何滿足這些標準,包括終止,安全,加速和會話控制等功能。要獲得更多詳細信息,請瀏覽www.webappsec.org 和 NetContinuum的官方網(wǎng)站。
 |
| 圖 |
總結
要完全控制企業(yè)的Web應用需要強大的功能來確保執(zhí)行所有安全策略的可用性和響應時間。負載均衡、內(nèi)容交換、full-stack協(xié)議檢查(網(wǎng)絡和應用)的響應時間加速、內(nèi)容檢查、告訴密碼系統(tǒng)、認證、訪問控制和完整登陸等策略都要嚴格地應用,從此安心地在互聯(lián)網(wǎng)中進行商業(yè)事務的操作。
應用控制器正在迅速成為一個企業(yè)應用DMZ的“最優(yōu)方法”。NetContinuum通過行業(yè)中使用最簡單、運行最高效的應用控制器家族來不斷證明自己對保護Web應用、降低終端用戶響應時間和提供應用可用性的能力。
