XXX公司梭子魚應用防火墻解決方案

XXX公司梭子魚應用防火墻解決方案 Confidential PagePAGE2 DATE2/19/2009BarracudaCorporationXXX公司梭子魚應用防火墻解決方案目錄概要 2一. 什么是web應用漏洞，這些漏洞會造成怎樣嚴重的后果 3二. 整個Web應用的安全現(xiàn)狀 4客戶需求與分析 8一． 客戶背景 8二．XXX公司的相關需求 9XXX公司梭子魚應用防火墻解決方案 10一．梭子魚Web應用防火墻 10二． 網絡架構和部署 10三． 梭子魚應用防火墻特性 121.終止 122.安全 153.加速 19 概要非常感謝XXX公司能夠提供這次在機會，使梭子魚應用防火墻能夠在其信息中心進行全面的測試。梭子魚應用防火墻是一款架設在web應用服務前端的安全網關，通過簡單的，快速的部署，能夠滿足對大型企業(yè)等客戶來說至關重要的安全要求。梭子魚應用防火墻不僅能在ISO七層阻斷已知和未知的攻擊，同時還提供了安全的事務日志，告訴SSL加密/解密以及安全應用訪問。簡單通俗地說，梭子魚為web應用提供了傳統(tǒng)防火墻和VPN的安全機制。這樣，可以使您網絡在最小改動的情況下，增強對web站點和應用的可靠性。梭子魚使web應用安全變得易如反掌。所以，我們相信通過使用梭子魚應用防火墻，能夠成功地幫助XXX公司實現(xiàn)對web安全應用的關鍵需求。您需要了解的相關信息什么是web應用漏洞，這些漏洞會造成怎樣嚴重的后果Web應用由于其開發(fā)的特點－經常更改，不徹底的開發(fā)編寫，沒有經過嚴格的測試，導致web應用出現(xiàn)了很多的漏洞，這些漏洞甚至將整個企業(yè)暴露給了外界。相關組織不得不定期的檢查是否存在web應用漏洞，簡單地測試來總結一些對策，保護web應用不受攻擊。下面列舉一些最為典型的攻擊類型，這些攻擊將會導致非常嚴重的安全事件：緩存溢出—差勁的應用編碼會嘗試將應用數(shù)據(jù)存儲于緩存中，而不是正常的分配，這將最終導致一個攻擊，借此，惡意代碼將溢出到另外一個緩存中來執(zhí)行惡意代碼?？缯军c腳本攻擊—攻擊類型的代碼數(shù)據(jù)被插入到另外一個可信任區(qū)域的數(shù)據(jù)中，最終導致使用可信任的身份來執(zhí)行攻擊服務拒絕攻擊—這種攻擊會導致服務沒有能力為正常業(yè)務提供服務異常錯誤處理—錯誤發(fā)生時，向用戶提交錯誤提示是很正常的事情，但是如果提交的錯誤提示中包含了太多的內容，就有可能會被攻擊者分析出網絡環(huán)境的結構或配置。有問題的或者不存在的sessionID—當sessionID沒有被正常使用時，攻擊者可以破壞Web會話，并且實施多個攻擊（通過冒用其他的可信任的憑證），借此來繞開認證機制。命令注入—-如果沒有成功的阻止帶有語法含義的輸入內容，有可能導致對數(shù)據(jù)庫信息的非法訪問。比如在Web表單中輸入的內容（SQL語句），應該保持簡單，并且不應該還有可被執(zhí)行的代碼內容。脆弱的認證—利用脆弱的認證機制或者未加密的數(shù)據(jù)來獲得訪問，破壞和控制數(shù)據(jù)是一個非常嚴重的問題。通過正確的開發(fā)Web應用可以輕而易舉的避免此問題。未受保護的參數(shù)傳遞—利用統(tǒng)一資源標識符（URL）和隱藏的HTML標記可以傳遞參數(shù)給瀏覽器，瀏覽器在將HTML傳回給服務器之前，是不會修改這些參數(shù)的。不安全的存儲－對于Web應用程序來說，妥善的保存密碼，用戶名，以及其它與身份驗證有關的信息是非常重要的工作。對這些信息進行加密是非常有效的方式，但是一些企業(yè)會采用那些未經實踐驗證的加密解決方案，其中就可能存在漏洞。非法輸入--在數(shù)據(jù)被輸入程序前忽略對數(shù)據(jù)合法性的檢驗，是一個常見的編程漏洞。隨著我們對Web應用程序脆弱性的調查，非法輸入的問題已經成為了大多數(shù)Web應用程序安全漏洞的一個主要特點。整個Web應用的安全現(xiàn)狀目前中國互聯(lián)網發(fā)展態(tài)勢良好。來自中國互聯(lián)網絡信息中心的數(shù)據(jù)表明，截至2007年年底，國內網民數(shù)已達到2.1億；中國域名總數(shù)是1193萬個，年增長率達到190.4%；中國網站數(shù)量已有150萬；中國網頁總數(shù)已經有84.7億個，年增長率達到89.4%。2008年年初，投行MorganStanley預測，未來幾個月中國網民數(shù)將超過美國，成為全球第一。欣喜之余，我們發(fā)現(xiàn)：Web應用越來越為豐富的同時，Web服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標。SQL注入、網頁篡改、網頁掛馬等安全事件，頻繁發(fā)生。來自網絡世界（NetworkWorld）的報導，2008年5月13日，在中國大陸、香港及臺灣地區(qū)有數(shù)萬個網站遭遇新一輪SQL注入攻擊，并引發(fā)大規(guī)模掛馬。在過去的4個月中，之前已有3次大規(guī)模攻擊，受害者包括某知名防病毒軟件廠商網站、歐洲某政府網站和某國際機構網站在內的多家互聯(lián)網網站，感染頁面數(shù)最多超過10，000頁面/天。2007年，國家計算機網絡應急技術處理協(xié)調中心（簡稱CNCERT/CC）監(jiān)測到中國大陸被篡改網站總數(shù)累積達61228個，比去年增加了1.5倍。其中，中國大陸政府網站被篡改各月累計達4234個。Google最新數(shù)據(jù)①表明，過去10個月中，Google通過對互聯(lián)網上幾十億URL進行抓取分析，發(fā)現(xiàn)有300多萬個惡意URL。其中，中國的惡意站點占到了總數(shù)的67%。我國近期網站被篡改情況2008年1月至10月，我國網站被篡改數(shù)量的月度情況統(tǒng)計如下圖所示：由上圖可見，相對于香港和臺灣，大陸的網站安全現(xiàn)狀不容樂觀，每月都有大量的網站被篡改，網站安全隱患出處可見。[注：該數(shù)據(jù)來自CNNIC2008年10月中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告]。公司在有限的時間和預算壓力下，開發(fā)出的Web應用缺乏對安全的考慮開發(fā)人員，執(zhí)行人員和測試人員都沒有接受過專業(yè)的安全培訓；他們大都關注于Web應用是否符合實際的需求。公司同時需要耗費其他資源來防止和限制對應用的錯誤使用。.相關的行業(yè)標準正推動Web應用安全MasterCard和Visa信用卡提出了所有存儲，處理或者傳輸持卡人數(shù)據(jù)的成員機構，商業(yè)機構，服務提供商都必須符合PaymentCardIndustry(PCI)DataSecurityStandard。PCI標準強制所有涉及到持卡人數(shù)據(jù)環(huán)境的Web軟件和應用都必須基于安全的編碼方針，并且必須符合OpenWebApplicationSecurityProject(OWASP)的協(xié)議。隨著在其他行業(yè)中，軟件安全需求意識的提高，這些指導方針對那些不安全的Web應用提出了挑戰(zhàn)。越來越多的安全組織的加入標識著我們將會有更多的選擇和培訓的機會。當前，軟件安全已經在各大安全會議上成為了一個重要的話題，包括RSAConference2006,theBlackHatconventions,以及thenewSoftwareSecuritySummit.。軟件安全專家變得越來越普遍，更多地出現(xiàn)在包括OWASP，WebApplicationSecurityConsortium(WASC)以及BuildSecurityIn.這些組織中以及一些書本中。另外，更多的工具和產品的出現(xiàn)都給市場帶了新的生氣。客戶需求與分析客戶背景企業(yè)，公司或者組織需要將Web應用安全作為一部分，包括在他們的安全管理部署之中。據(jù)統(tǒng)計，90％的外部訪問應用，如今，還是直接面向web服務器，其中的三分之二具有可以被攻擊的漏洞，能夠是黑客輕易的控制和破壞服務器和服務。因為Web應用是可以使用瀏覽器進行外部訪問的服務，攻擊者可以輕而易舉的繞開邊界安全設備，通常這些設備對80和443的端口都沒有做任何限制。因此我們推薦XXX公司使用梭子魚應用防火墻來實現(xiàn)對Web應用漏洞的檢測和防護。XXX公司是由上海精文投資有限公司、上海文化廣播影視集團、上海文廣新聞傳媒集團、上海東方明珠（集團）股份有限公司、上海信息投資股份有限公司、文匯新民聯(lián)合報業(yè)集團、解放日報報業(yè)集團、上海教育電視臺、勞動報社、青年報社聯(lián)合組建的有新聞特色的大型綜合性網站。XXX公司于2000年5月28日開通。目前，東方網旗下主管報社1家（《城市導報》），控股和參股公司14家（包括東方網點、東方數(shù)字社區(qū)、東方怡動、東方網誠、東方誠心等）。配合XXX公司如此的一個大型的綜合性網站，其后臺的web應用服務器集群也是非常龐大的，達到30～40臺之多。合作伙伴，客戶，用戶都是通過其網站來登錄訪問東方網提供的網絡電視，網路電臺，以及聊天室等等的其他服務。同時，東方網擁有3個語種、80個主體頻道；200多萬日均用戶、2000多萬日均頁讀數(shù)（PV）；有1000余項網絡技術應用；為上海1000多家單位以及中國上海政府網站、世博會官方網站等重大項目提供網絡平臺服務?？上攵幱谧钔鈱拥膚eb應用的安全是至關重要的，通過保護web應用的安全能夠有效的屏蔽內部網路和后臺數(shù)據(jù)，使其對外不可見，防止因為由于web應用被攻擊導致后臺服務的宕機，重要數(shù)據(jù)的破壞和泄漏。另外，由于web應用的開發(fā)工作是在多年前完成的，如果需要防護web層面的應用攻擊，那么就必須花費大量的時間，精力和人力來對原本的代碼進行大規(guī)模的優(yōu)化，不管在管理層面上還是執(zhí)行層面上來說，都不是一個最佳的解決方案。以上內容更具不同用戶編寫二．XXX公司的相關需求對包括SQL注入，命令注入，緩存溢出，跨站點腳本攻擊等數(shù)十種已知的web應用攻擊進行有效的防護，不影響正常的web應用流量以及其他的應用流量對未知的web應用攻擊能夠有效地防護，并伴隨智能學習能力實現(xiàn)雙向過濾能力實現(xiàn)站點的虛擬化，實現(xiàn)后臺真實服務器和真實域名對外界的非可見性SSLoffloading功能，加速SSL流量連接復用功能，實現(xiàn)TCP連接池應用防火墻熱備功能，避免單點故障，實現(xiàn)statefulfailover多種認證機制的支持，包括LDAP,AAA,RADIUS,ADetc多種部署方式，簡單管理，提供圖形化界面符合PCI-DSS，OWASP，WASC協(xié)議標準無需改動現(xiàn)有的web應用代碼XXX公司梭子魚應用防火墻解決方案一．梭子魚Web應用防火墻梭子魚應用防火墻產品是一款集成化的產品，它能夠在完全的獲取和管理Web應用過程中進與出的每一個事務。同時它也是一款高性能，雙向HTTP代理設備，允許系統(tǒng)管理員針對每一個應用的每一個會話指定精確的安全，內容和流量的規(guī)則。梭子魚提供企業(yè)級的應用防火墻?；谒笞郁~私有的操作系統(tǒng)，應用防火墻通過終止，安全，加速web應用會話流量，提供給數(shù)據(jù)中心一個非常有價值的解決方案，來控制至關重要的web應用。梭子魚產品的拓撲和管理是非常簡單的。最重要的是，梭子魚應用防火墻是完全遵循WASC和OWASP組織的協(xié)議來開發(fā)的。根據(jù)東XXX公司目前網絡拓撲狀況，因為已經包含了F5的負載均衡設備對后臺的web服務器進行流量負載，梭子魚推薦使用NC－2000AF配合原先的F5負載均衡設備，實現(xiàn)安全，負載，加速。使整個站點從性能和安全上提升一個新的臺階。（根據(jù)用戶情況而定）網絡架構和部署雙臂代理模式（視項目而定）雙臂代理模式是web應用防火墻部署種的最佳模式。這個模式也是拓撲過程中推薦的模式，能夠提供最佳的安全性能。在此模式中，所有的數(shù)據(jù)端口都將被開啟；端口eth1是對外的，直接面向因特網的端口；端口eth2將會和內部的設備（交換機等）進行連接，是面向內部的。管理端口可以被分配到另一個網段，我們推薦將管理數(shù)據(jù)和實際的流量分離，避免因為實際流量和管理數(shù)據(jù)的沖突。以下為示例拓撲圖：網絡實現(xiàn)：前端端口和后端端口位于不同的網段，所有外部客戶將會和應用虛擬IP地址進行連接，此虛擬ip將會和前端端口（eth1）進行綁定客戶的連接將會在設備上終止，進行安全檢查和過濾合法的流量將會由后端端口（eth2）建立新的連接到負載均衡設備負載均衡進行流量的負載雙臂代理模式可以開啟所有的安全功能Note：此種部署模式，會暫時性的造成應用的不可訪問性?？梢愿鶕?jù)實際需求，在部署過程中，局部分層次的進行。梭子魚應用防火墻特性1.終止TCP會話終止

Web應用防火墻進行TCP握手的優(yōu)勢（終止）：在發(fā)往真實服務器之前，完全控制會話，并實行安全策略實現(xiàn)應用加速功能卸載諸如SSL之類的運算狀態(tài)網絡防火墻擁有基于狀態(tài)的網絡防火墻的優(yōu)勢:實現(xiàn)傳統(tǒng)網絡防火墻的ACL，NAT，PAT等規(guī)則的設定保護內部網絡免受2～4層的網絡攻擊：PreventSYNfloodPreventtoomanyhalf-openconnectionsPreventsportscanningandnetworkreconnaissanceSSL終止SSL終止的優(yōu)勢：卸載高強度計算的SSL加密，使應用服務器CPU占用率大大降低自定義的局部網站加密，無需改動任何代碼在進行內部網絡之前，解密SSL加密數(shù)據(jù)HTTP協(xié)議合規(guī)化HTTP合規(guī)化的優(yōu)勢在于：強制符合標準化協(xié)議自動解碼，并識別和阻斷被編碼的數(shù)據(jù)HTTP包頭重寫HTTP包頭重寫可以：防止信息泄漏和掃描提供更得心應手得流量管理提供獨一無二得應用層功能URL轉換URL轉換的優(yōu)勢：提供應用層偽裝針對客戶只暴露一個簡單的名稱結構URL速率控制URL速率控制能夠幫助您實現(xiàn)：后端應用服務器收到指定速率的請求防止應用服務器過載提供一個控制應用的事務中心2.安全應用偽裝應用偽裝能保護使您的應用和外界完全屏蔽：隱藏所有服務器，操作系統(tǒng)，應用服務，web服務的結構防止wormsandbots對應用進行掃描認證與授權拒絕/同意被認證授權的用戶在URL級別設置訪問控制列表能為安全審計提供詳細的日志和報表表格保護表格保護能夠：防止因為