梭子鱼应用防火墙解决方案

XXX公司梭子鱼应用防火墙解决方案ConfidentialPage13/23/2020BarracudaCorporationXXX公司梭子鱼应用防火墙解决方案XXX公司梭子鱼应用防火墙解决方案ConfidentialPage23/23/2020BarracudaCorporation目录概要.................................................................3一.什么是web应用漏洞，这些漏洞会造成怎样严重的后果.....................3二.Web应用安全市场已经逐步成熟.......................错误!未定义书签。三.整个Web应用的市场现状是..........................................5客户需求与分析.......................................................7一．客户背景........................................................7二．XXX公司的相关需求...............................................8XXX公司梭子鱼应用防火墙解决方案......................................9一．梭子鱼Web应用防火墙.............................................9二．网络架构和部署..................................................9三．梭子鱼应用防火墙特性............................................111.终止.................................................................122.安全.................................................................163.加速.................................................................20XXX公司梭子鱼应用防火墙解决方案ConfidentialPage33/23/2020BarracudaCorporation概要非常感谢XXX公司能够提供这次在机会，使梭子鱼应用防火墙能够在其信息中心进行全面的测试。梭子鱼应用防火墙是一款架设在web应用服务前端的安全网关，通过简单的，快速的部署，能够满足对大型企业等客户来说至关重要的安全要求。梭子鱼应用防火墙不仅能在ISO七层阻断已知和未知的攻击，同时还提供了安全的事务日志，告诉SSL加密/解密以及安全应用访问。简单通俗地说，梭子鱼为web应用提供了传统防火墙和VPN的安全机制。这样，可以使您网络在最小改动的情况下，增强对web站点和应用的可靠性。梭子鱼使web应用安全变得易如反掌。所以，我们相信通过使用梭子鱼应用防火墙，能够成功地帮助XXX公司实现对web安全应用的关键需求。您需要了解的相关信息一.什么是web应用漏洞，常见的Web应用漏洞有哪些？Web应用由于其开发的特点－经常更改，不彻底的开发编写，没有经过严格的测试，导致web应用出现了很多的漏洞，这些漏洞甚至将整个企业暴露给了外界。相关组织不得不定期的检查是否存在web应用漏洞，简单地测试来总结一些对策，保护web应用不受攻击。下面列举一些最为典型的攻击类型，这些攻击将会导致非常严重的安全事件：‧缓存溢出—差劲的应用编码会尝试将应用数据存储于缓存中，而不是正常的分配，这将最终导致一个攻击，借此，恶意代码将溢出到另外一个缓存中来执行恶意代码。‧跨站点脚本攻击—攻击类型的代码数据被插入到另外一个可信任区域的数据中，最终导致XXX公司梭子鱼应用防火墙解决方案ConfidentialPage43/23/2020BarracudaCorporation使用可信任的身份来执行攻击服务拒绝攻击—这种攻击会导致服务没有能力为正常业务提供服务‧异常错误处理—错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。‧有问题的或者不存在的sessionID—当sessionID没有被正常使用时，攻击者可以破坏Web会话，并且实施多个攻击（通过冒用其他的可信任的凭证），借此来绕开认证机制。‧命令注入—-如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容（SQL语句），应该保持简单，并且不应该还有可被执行的代码内容。‧脆弱的认证—利用脆弱的认证机制或者未加密的数据来获得访问，破坏和控制数据是一个非常严重的问题。通过正确的开发Web应用可以轻而易举的避免此问题。‧未受保护的参数传递—利用统一资源标识符（URL）和隐藏的HTML标记可以传递参数给浏览器，浏览器在将HTML传回给服务器之前，是不会修改这些参数的。‧不安全的存储－对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。‧非法输入--在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。XXX公司梭子鱼应用防火墙解决方案ConfidentialPage53/23/2020BarracudaCorporation二.攻击会带来的怎样的严重后果？各类关系国计民生的重要信息系统，如政府网站、媒体网站、或商用网站都可能遭受到SQL注入攻击、网页篡改，或是网页挂马。2008年北京奥运会将成为各方关注焦点，包括攻击者在内。来自Websense安全实验室的研究预测②，围绕今年北京奥运，将极有可能针对奥运相关网站爆发大规模的DDoS攻击以及利用奥运网站媒体平台进行网页挂马。一旦攻击得逞，必将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。网页篡改还有可能被用于恶意商业竞争，比如通过篡改某知名媒体网站网页，发布对竞争对手不利的虚假信息。网页挂马相对比较隐蔽，其攻击目标是各类网站的最终用户。首先攻击者在服务器端插入恶意代码。用户访问恶意页面时，网页中植入的恶意代码触发客户端的漏洞从而自动下载并执行恶意程序，最终攻击者盗取客户端的敏感信息（如各类帐号密码），甚而可能用户主机沦为攻击者的肉鸡。这种情况下，Web服务器成为了传播网页木马的“傀儡帮凶”，严重影响到网站的公信度。遭受分布式拒绝服务攻击（DDoS）之下的门户网站性能急剧下降，无法正常处理用户的正常访问请求，造成客户访问失败。其服务质量协议（SLA）也会受到破坏，带来高额的服务赔偿。同时，公司的信誉也会蒙受损失，而这种危害又常常是长期性的。三．企业、组织所面临的挑战1.公司在有限的时间和预算压力下，开发出的Web应用缺乏对安全的考虑开发人员，执行人员和测试人员都没有接受过专业的安全培训；他们大都关注于Web应用是否符合实际的需求。公司同时需要耗费其他资源来防止和限制对应用的错误使用。.2.相关的行业标准正推动Web应用安全（1）.MasterCard和Visa信用卡提出了所有存储，处理或者传输持卡人数据的成员机构，商XXX公司梭子鱼应用防火墙解决方案ConfidentialPage63/23/2020BarracudaCorporation业机构，服务提供商都必须符合PaymentCardIndustry(PCI)DataSecurityStandard。PCI标准强制所有涉及到持卡人数据环境的Web软件和应用都必须基于安全的编码方针，并且必须符合OpenWebApplicationSecurityProject(OWASP)的协议。（2）.随着在其他行业中，软件安全需求意识的提高，这些指导方针对那些不安全的Web应用提出了挑战。四．梭子鱼应用防火墙的价值体现1.梭子鱼Web应用防火墙是应用级的网站安全综合解决方案，能帮助企业达到在线支付级的网站安全标准。具备十大功能，十大技术，是web应用防火墙的领导品牌：十大功能十大技术网站隐身反向代理网站防篡改应用层深度包检测技术网站主动防攻击基于规则的攻击模式匹配技术网站防信息泄露http数据标准化技术网站防DDoS、CC攻击Cookie加密签名及重放保护技术网站负载均衡TCP复用、缓存、压缩等加速技术网站加速认证授权代理技术网站安全访问数据窃取防护技术网站安全审计高可用性综合技术网站安全合规智能模式学习技术2.梭子鱼应用防火墙将弥补传统网络防火墙和IPS的不足与传统网络防火墙相比：这是工作在不同层面两类产品！第一代网络防火墙作为访问控制设备，主要工作在OSI模型三、四层，基于IP报文进行检测。其产品设计无需理解HTTP会话，也就无法理解Web应用程序语言如HTML、SQL。因此，它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求，从80或443端口顺利通过防火墙检测。一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，如能根据TCP会话异常性及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中，但从根本上说他仍然无法理解HTTP会话，难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。XXX公司梭子鱼应用防火墙解决方案ConfidentialPage73/23/2020BarracudaCorporation与IPS相比：这是防护技术和防护对象不同的两类产品！相同点是，IPS和Web应用防火墙都是为防止网络攻击而设计的。不同的是IPS采用的是特征匹配技术、使用“允许除非明确阻断”模式，其防护对象是一段网络、以及网络中通用的设备或系统而不是特定的Web应用；IPS不能像Web应用防火墙那样进行主动防护，因此他不能防止“零日攻击”，也无法防止针对某个应用特制的攻击，如针对某个网站的命令注入或SQL注入攻击；IPS事实上也不会去理解HTTPS协议中的程序代码或报头设定，由于Web网站往往是特定开发的，IPS往往无法针对性的进行防御。客户需求与分析一．客户背景企业，公司或者组织需要将Web应用安全作为一部分，包括在他们的安全管理部署之中。据统计，90％的外部访问应用，如今，还是直接面向web服务器，其中的三分之二具有可以被攻击的漏洞，能够是黑客轻易的控制和破坏服务器和服务。因为Web应用是可以使用浏览器进行外部访问的服务，攻击者可以轻而易举的绕开边界安全设备，通常这些设备对80和443的端口都没有做任何限制。因此我们推荐XXX公司使用梭子鱼应用防火墙来实现对Web应用漏洞的检测和防护。此处为公司背景、网络状况简介XXX公司梭子鱼应用防火墙解决方案ConfidentialPage83/23/2020BarracudaCorporation二．XXX公司的相关需求1．对包括SQL注入，命令注入，缓存溢出，跨站点脚本攻击等数十种已知的web应用攻击进行有效的防护，不影响正常的web应用流量以及其他的应用流量2．对未知的web应用攻击能够有效地防护，并伴随智能学习能力3．实现双向过滤能力4．实现站点的虚拟化，实现后台真实服务器和真实域名对外界的非可见性5．SSLoffloading功能，加速SSL流量6．连接复用功能，实现TCP连接池7．应用防火墙热备功能，避免单点故障，实现statefulfailover8．多种认证机制的支持，包括LDAP,AAA,RADIUS,ADetc9．多种部署方式，简单管理，提供图形化界面10．符合PC