XXX銀行梭子魚應(yīng)用防火墻解決方案

XXX銀行梭子魚應(yīng)用防火墻解決方案 Confidential PagePAGE10 DATE2/19/2009BarracudaCorporationXXX銀行梭子魚應(yīng)用防火墻解決方案目錄概要 3一. 什么是web應(yīng)用漏洞，這些漏洞對(duì)政府網(wǎng)站會(huì)造成怎樣嚴(yán)重的后果 3二. Web應(yīng)用安全市場已經(jīng)逐步成熟 4三. 我國大陸地區(qū)政府網(wǎng)站被篡改情況 5客戶需求與分析 8一． 客戶背景 8二．XXX政府的相關(guān)需求 8XXX政府梭子魚應(yīng)用防火墻解決方案 9一．梭子魚Web應(yīng)用防火墻 9二． 網(wǎng)絡(luò)架構(gòu)和部署 9三． 梭子魚應(yīng)用防火墻特性 11概要非常感謝XXX銀行能夠提供這次在機(jī)會(huì)，使梭子魚應(yīng)用防火墻能夠在其信息中心進(jìn)行全面的測試。梭子魚應(yīng)用防火墻是一款架設(shè)在web應(yīng)用服務(wù)前端的安全網(wǎng)關(guān)，通過簡單的，快速的部署，能夠滿足對(duì)大型企業(yè)等客戶來說至關(guān)重要的安全要求。梭子魚應(yīng)用防火墻不僅能在ISO七層阻斷已知和未知的攻擊，同時(shí)還提供了安全的事務(wù)日志，告訴SSL加密/解密以及安全應(yīng)用訪問。簡單通俗地說，梭子魚為web應(yīng)用提供了傳統(tǒng)防火墻和VPN的安全機(jī)制。這樣，可以使您網(wǎng)絡(luò)在最小改動(dòng)的情況下，增強(qiáng)對(duì)web站點(diǎn)和應(yīng)用的可靠性。梭子魚使web應(yīng)用安全變得易如反掌。所以，我們相信通過使用梭子魚應(yīng)用防火墻，能夠成功地幫助XXX銀行實(shí)現(xiàn)對(duì)web安全應(yīng)用的關(guān)鍵需求。什么是web應(yīng)用漏洞，這些漏洞對(duì)政府網(wǎng)站會(huì)造成怎樣嚴(yán)重的后果Web應(yīng)用由于其開發(fā)的特點(diǎn)－經(jīng)常更改，不徹底的開發(fā)編寫，沒有經(jīng)過嚴(yán)格的測試，導(dǎo)致web應(yīng)用出現(xiàn)了很多的漏洞，這些漏洞甚至將整個(gè)企業(yè)暴露給了外界。相關(guān)組織不得不定期的檢查是否存在web應(yīng)用漏洞，簡單地測試來總結(jié)一些對(duì)策，保護(hù)web應(yīng)用不受攻擊。下面列舉一些最為典型的攻擊類型，這些攻擊將會(huì)導(dǎo)致非常嚴(yán)重的安全事件：緩存溢出—差勁的應(yīng)用編碼會(huì)嘗試將應(yīng)用數(shù)據(jù)存儲(chǔ)于緩存中，而不是正常的分配，這將最終導(dǎo)致一個(gè)攻擊，借此，惡意代碼將溢出到另外一個(gè)緩存中來執(zhí)行惡意代碼?？缯军c(diǎn)腳本攻擊—攻擊類型的代碼數(shù)據(jù)被插入到另外一個(gè)可信任區(qū)域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來執(zhí)行攻擊服務(wù)拒絕攻擊—這種攻擊會(huì)導(dǎo)致服務(wù)沒有能力為正常業(yè)務(wù)提供服務(wù)異常錯(cuò)誤處理—錯(cuò)誤發(fā)生時(shí)，向用戶提交錯(cuò)誤提示是很正常的事情，但是如果提交的錯(cuò)誤提示中包含了太多的內(nèi)容，就有可能會(huì)被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。有問題的或者不存在的sessionID—當(dāng)sessionID沒有被正常使用時(shí)，攻擊者可以破壞Web會(huì)話，并且實(shí)施多個(gè)攻擊（通過冒用其他的可信任的憑證），借此來繞開認(rèn)證機(jī)制。命令注入—-如果沒有成功的阻止帶有語法含義的輸入內(nèi)容，有可能導(dǎo)致對(duì)數(shù)據(jù)庫信息的非法訪問。比如在Web表單中輸入的內(nèi)容（SQL語句），應(yīng)該保持簡單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。脆弱的認(rèn)證—利用脆弱的認(rèn)證機(jī)制或者未加密的數(shù)據(jù)來獲得訪問，破壞和控制數(shù)據(jù)是一個(gè)非常嚴(yán)重的問題。通過正確的開發(fā)Web應(yīng)用可以輕而易舉的避免此問題。未受保護(hù)的參數(shù)傳遞—利用統(tǒng)一資源標(biāo)識(shí)符（URL）和隱藏的HTML標(biāo)記可以傳遞參數(shù)給瀏覽器，瀏覽器在將HTML傳回給服務(wù)器之前，是不會(huì)修改這些參數(shù)的。不安全的存儲(chǔ)－對(duì)于Web應(yīng)用程序來說，妥善的保存密碼，用戶名，以及其它與身份驗(yàn)證有關(guān)的信息是非常重要的工作。對(duì)這些信息進(jìn)行加密是非常有效的方式，但是一些企業(yè)會(huì)采用那些未經(jīng)實(shí)踐驗(yàn)證的加密解決方案，其中就可能存在漏洞。非法輸入--在數(shù)據(jù)被輸入程序前忽略對(duì)數(shù)據(jù)合法性的檢驗(yàn)，是一個(gè)常見的編程漏洞。隨著我們對(duì)Web應(yīng)用程序脆弱性的調(diào)查，非法輸入的問題已經(jīng)成為了大多數(shù)Web應(yīng)用程序安全漏洞的一個(gè)主要特點(diǎn)。銀行網(wǎng)站安全分析網(wǎng)絡(luò)銀行（InternetBANKorE-BANK），又叫網(wǎng)上銀行、在線銀行，是指金融機(jī)構(gòu)利用Internet技術(shù)，在Internet上開設(shè)的銀行。用戶可以不受上網(wǎng)方式（PC、PDA、手機(jī)、電視機(jī)機(jī)頂盒等）和時(shí)空的限制，只要能夠上網(wǎng)，無論身在何處都能夠安全便捷地管理自己的資產(chǎn)和享受到銀行的服務(wù),與銀行傳統(tǒng)的服務(wù)方式相比更方便、更詳細(xì)、更高效，因而成為銀行業(yè)今后發(fā)展的重要方向之一。由于網(wǎng)上銀行是一種網(wǎng)絡(luò)應(yīng)用，它的所有內(nèi)容都是以數(shù)字的形式流轉(zhuǎn)于Internet之上，因此，在網(wǎng)上銀行應(yīng)用中不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患。網(wǎng)上銀行作為龐大資金流動(dòng)的載體，更易成為非法入侵和惡意攻擊的對(duì)象，安全風(fēng)險(xiǎn)同時(shí)關(guān)系到交易的雙方。2004年的調(diào)查顯示，在9400萬中國網(wǎng)民中，有超過34%的人認(rèn)為網(wǎng)上交易不安全。最近，美國也發(fā)生了及其嚴(yán)重的信用卡“泄密事件”。此外，由于網(wǎng)絡(luò)銀行涉及客戶個(gè)人隱私和銀行金融機(jī)密，所以網(wǎng)絡(luò)銀行的安全性是系統(tǒng)建設(shè)首先要考慮的問題。目前的網(wǎng)絡(luò)銀行所采用的安全技術(shù)中，除了常見的網(wǎng)絡(luò)防火墻、部署安全監(jiān)控工作站和防病毒系統(tǒng)，來減少Internet帶來的非安全因素之外，采用專業(yè)的應(yīng)用防火墻來保護(hù)后臺(tái)Web服務(wù)器，則成為網(wǎng)絡(luò)銀行安全策略中最重要的方面。.相關(guān)的行業(yè)標(biāo)準(zhǔn)正推動(dòng)Web應(yīng)用安全MasterCard和Visa信用卡提出了所有存儲(chǔ)，處理或者傳輸持卡人數(shù)據(jù)的成員機(jī)構(gòu)，商業(yè)機(jī)構(gòu)，服務(wù)提供商都必須符合PaymentCardIndustry(PCI)DataSecurityStandard。PCI標(biāo)準(zhǔn)強(qiáng)制所有涉及到持卡人數(shù)據(jù)環(huán)境的Web軟件和應(yīng)用都必須基于安全的編碼方針，并且必須符合OpenWebApplicationSecurityProject(OWASP)的協(xié)議。隨著在其他行業(yè)中，軟件安全需求意識(shí)的提高，這些指導(dǎo)方針對(duì)那些不安全的Web應(yīng)用提出了挑戰(zhàn)。越來越多的安全組織的加入標(biāo)識(shí)著我們將會(huì)有更多的選擇和培訓(xùn)的機(jī)會(huì)。當(dāng)前，軟件安全已經(jīng)在各大安全會(huì)議上成為了一個(gè)重要的話題，包括RSAConference2006,theBlackHatconventions,以及thenewSoftwareSecuritySummit.。軟件安全專家變得越來越普遍，更多地出現(xiàn)在包括OWASP，WebApplicationSecurityConsortium(WASC)以及BuildSecurityIn.這些組織中以及一些書本中。另外，更多的工具和產(chǎn)品的出現(xiàn)都給市場帶了新的生氣?？蛻粜枨笈c分析客戶背景該銀行網(wǎng)站簡介。二．XXX銀行相關(guān)需求XXX銀行在建設(shè)基礎(chǔ)網(wǎng)絡(luò)安全之后，進(jìn)一步提出構(gòu)架應(yīng)用層安全設(shè)想。在該需求中，安全系統(tǒng)將直接定位于對(duì)應(yīng)用層訪問行為進(jìn)行掃描，約束應(yīng)用層行為的合法性，提高應(yīng)用層交易安全程度。為了對(duì)XXX銀行網(wǎng)站的訪問行為進(jìn)行掃描和分析，XXX銀行要求對(duì)HTTP協(xié)議進(jìn)行全面、透徹的掃描。通過訪問日志的不斷收集與積累并且加以分析，有選擇性地對(duì)站點(diǎn)安全策略進(jìn)行調(diào)整和完善。具體需求如下所示：對(duì)包括網(wǎng)頁篡改、SQL注入，命令注入，緩存溢出，跨站點(diǎn)腳本攻擊等數(shù)十種已知的web應(yīng)用攻擊進(jìn)行有效的防護(hù)，不影響正常的web應(yīng)用流量以及其他的應(yīng)用流量對(duì)未知的web應(yīng)用攻擊能夠有效地防護(hù)，并伴隨智能學(xué)習(xí)能力實(shí)現(xiàn)雙向過濾能力實(shí)現(xiàn)站點(diǎn)的虛擬化，實(shí)現(xiàn)后臺(tái)真實(shí)服務(wù)器和真實(shí)域名對(duì)外界的非可見性SSLoffloading功能，加速SSL流量連接復(fù)用功能，實(shí)現(xiàn)TCP連接池應(yīng)用防火墻熱備功能，避免單點(diǎn)故障，實(shí)現(xiàn)statefulfailover多種認(rèn)證機(jī)制的支持，包括LDAP,AAA,RADIUS,ADetc多種部署方式，簡單管理，提供圖形化界面符合PCI-DSS，OWASP，WASC協(xié)議標(biāo)準(zhǔn)無需改動(dòng)現(xiàn)有的web應(yīng)用代碼XXX銀行梭子魚應(yīng)用防火墻解決方案一．梭子魚Web應(yīng)用防火墻梭子魚應(yīng)用防火墻產(chǎn)品是一款集成化的產(chǎn)品，它能夠在完全的獲取和管理Web應(yīng)用過程中進(jìn)與出的每一個(gè)事務(wù)。同時(shí)它也是一款高性能，雙向HTTP代理設(shè)備，允許系統(tǒng)管理員針對(duì)每一個(gè)應(yīng)用的每一個(gè)會(huì)話指定精確的安全，內(nèi)容和流量的規(guī)則。梭子魚提供企業(yè)級(jí)的應(yīng)用防火墻。基于梭子魚私有的操作系統(tǒng)，應(yīng)用防火墻通過終止，安全，加速web應(yīng)用會(huì)話流量，提供給數(shù)據(jù)中心一個(gè)非常有價(jià)值的解決方案，來控制至關(guān)重要的web應(yīng)用。梭子魚產(chǎn)品的拓?fù)浜凸芾硎欠浅：唵蔚?。最重要的是，梭子魚應(yīng)用防火墻是完全遵循WASC和OWASP組織的協(xié)議來開發(fā)的，并且符合PCIDSS的相關(guān)Web安全規(guī)定。根據(jù)東XXX公司目前網(wǎng)絡(luò)拓?fù)錉顩r，因?yàn)橐呀?jīng)包含了F5的負(fù)載均衡設(shè)備對(duì)后臺(tái)的web服務(wù)器進(jìn)行流量負(fù)載，梭子魚推薦使用NC－2000AF配合原先的F5負(fù)載均衡設(shè)備，實(shí)現(xiàn)安全，負(fù)載，加速。使整個(gè)站點(diǎn)從性能和安全上提升一個(gè)新的臺(tái)階。（根據(jù)用戶情況而定）網(wǎng)絡(luò)架構(gòu)和部署雙臂代理模式（視項(xiàng)目而定）雙臂代理模式是web應(yīng)用防火墻部署種的最佳模式。這個(gè)模式也是拓?fù)溥^程中推薦的模式，能夠提供最佳的安全性能。在此模式中，所有的數(shù)據(jù)端口都將被開啟；端口eth1是對(duì)外的，直接面向因特網(wǎng)的端口；端口eth2將會(huì)和內(nèi)部的設(shè)備（交換機(jī)等）進(jìn)行連接，是面向內(nèi)部的。管理端口可以被分配到另一個(gè)網(wǎng)段，我們推薦將管理數(shù)據(jù)和實(shí)際的流量分離，避免因?yàn)閷?shí)際流量和管理數(shù)據(jù)的沖突。以下為示例拓?fù)鋱D：網(wǎng)絡(luò)實(shí)現(xiàn)：前端端口和后端端口位于不同的網(wǎng)段，所有外部客戶將會(huì)和應(yīng)用虛擬IP地址進(jìn)行連接，此虛擬ip將會(huì)和前端端口（eth1）進(jìn)行綁定客戶的連接將會(huì)在設(shè)備上終止，進(jìn)行安全檢查和過濾合法的流量將會(huì)由后端端口（eth2）建立新的連接到負(fù)載均衡設(shè)備負(fù)載均衡進(jìn)行流量的負(fù)載雙臂代理模式可以開啟所有的安全功能Note：此種部署模式，會(huì)暫時(shí)性的造成應(yīng)用的不可訪問性?？梢愿鶕?jù)實(shí)際需求，在部署過程中，局部分層次的進(jìn)行。梭子魚應(yīng)用防火墻特性終止TCP會(huì)話終止

Web應(yīng)用防火墻進(jìn)行TCP握手的優(yōu)勢（終止）：在發(fā)往真實(shí)服務(wù)器之前，完全控制會(huì)話，并實(shí)行安全策略實(shí)現(xiàn)應(yīng)用加速功能卸載諸如SSL之類的運(yùn)算狀態(tài)網(wǎng)絡(luò)防火墻擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢:實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)防火墻的ACL，NAT，PAT等規(guī)則的設(shè)定保護(hù)內(nèi)部網(wǎng)絡(luò)免受2～4層的網(wǎng)絡(luò)攻擊：PreventSYNfloodPreventtoomanyhalf-openconnectionsPreventsportscanningandnetworkreconnaissanceSSL終止SSL終止的優(yōu)勢：卸載高強(qiáng)度計(jì)算的SSL加密，使應(yīng)用服務(wù)器CPU占用率大大降低自定義的局部網(wǎng)站加密，無需改動(dòng)任何代碼在進(jìn)行內(nèi)部網(wǎng)絡(luò)之前，解密SSL加密數(shù)據(jù)HTTP協(xié)議合規(guī)化HTTP合規(guī)化的優(yōu)勢在于：強(qiáng)制符合標(biāo)準(zhǔn)化協(xié)議自動(dòng)解碼，并識(shí)別和阻斷被編碼的數(shù)據(jù)HTTP包頭重寫HTTP包頭重寫可以：防止信息泄漏和掃描提供更得心應(yīng)手得流量管理提供獨(dú)一無二得應(yīng)用層功能URL轉(zhuǎn)換URL轉(zhuǎn)換的優(yōu)勢：提供應(yīng)用層偽裝針對(duì)客戶只暴露一個(gè)簡單的名稱結(jié)構(gòu)URL速率控制URL速率控制能夠幫助您實(shí)現(xiàn)：后端應(yīng)用服務(wù)器收到指定速率的請(qǐng)求防止應(yīng)用服務(wù)器過載提供一個(gè)控制應(yīng)用的事務(wù)中心2.安全應(yīng)用偽裝應(yīng)用偽裝能保護(hù)使您的應(yīng)用和外界完全屏蔽：隱藏所有服務(wù)器，操作系統(tǒng)，應(yīng)用服務(wù)，web服務(wù)的結(jié)構(gòu)防止wormsandbots對(duì)應(yīng)用進(jìn)行掃描認(rèn)證與授權(quán)拒絕/同意被認(rèn)證授權(quán)的用戶在URL級(jí)別設(shè)置訪問控制列表能為安全審計(jì)提供詳細(xì)的日志和報(bào)表參數(shù)保護(hù)參數(shù)保護(hù)能夠：防止因?yàn)楸韱巫侄未鄹亩斐傻墓舴乐褂捎谝驗(yàn)楸韱巫侄翁L導(dǎo)致的緩存溢出防止SQL注入和命令注入攻擊Cookie保護(hù)Cookie保護(hù)能夠有效地：通過cookie加密來防止cookie偷竊通過對(duì)會(huì)話cookie進(jìn)行簽