【51CTO.com 綜合消息】隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，企業(yè)Web應(yīng)用日益增多，同時(shí)也面臨著Web濫用、病毒泛濫和黑客攻擊等安全問題，導(dǎo)致企業(yè)Web被篡改、數(shù)據(jù)被竊取或丟失。根據(jù)Gartner的統(tǒng)計(jì)當(dāng)前網(wǎng)絡(luò)上75%的攻擊是針對(duì)Web應(yīng)用的。攻擊者通過應(yīng)用層協(xié)議進(jìn)入企業(yè)內(nèi)部，如Web、Web郵件、聊天工具和P2P等攻擊企業(yè)網(wǎng)絡(luò)。利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對(duì)網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ)，即可完成諸如更換web網(wǎng)站主頁(yè)，盜取管理員密碼，破壞整個(gè)網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。

因此，傳統(tǒng)的防火墻是無(wú)法進(jìn)行Web應(yīng)用防護(hù)的。防火墻工作在網(wǎng)絡(luò)層，通過地址轉(zhuǎn)換、訪問控制及狀態(tài)檢測(cè)等功能，對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行保護(hù)。但對(duì)于應(yīng)用最廣泛的Web服務(wù)器，防火墻完全對(duì)外部網(wǎng)絡(luò)開放http應(yīng)用端口，這種方式對(duì)于Web應(yīng)用沒有任何的防護(hù)。防火墻無(wú)法防護(hù)上述應(yīng)用層的攻擊。

據(jù)最近的美國(guó)計(jì)算機(jī)安全協(xié)會(huì)（CSI）/美國(guó)聯(lián)邦調(diào)查局（FBI）的研究表明，在接受調(diào)查的公司中有 52% 的公司的系統(tǒng)遭受過外部入侵，但事實(shí)上他們中有 98% 的公司都裝有防火墻。而這些攻擊為269家受訪公司帶來(lái)的經(jīng)濟(jì)損失——包括系統(tǒng)入侵、濫用 web 應(yīng)用系統(tǒng)、網(wǎng)頁(yè)置換、盜取私人信息及拒絕服務(wù)共計(jì)超過 1.41 億美元。

入侵檢測(cè)系統(tǒng)作為防火墻的有利補(bǔ)充，加強(qiáng)了網(wǎng)絡(luò)的安全防御能力。但是，入侵檢測(cè)技術(shù)的作用存在一定的局限性。由于需要預(yù)先構(gòu)造攻擊特征庫(kù)來(lái)匹配網(wǎng)絡(luò)數(shù)據(jù)，對(duì)于未知攻擊和或偽裝成正常流量的攻擊，入侵檢測(cè)系統(tǒng)不能檢測(cè)和防御。更重要的是，對(duì)于應(yīng)用系統(tǒng)中某一漏洞的目標(biāo)攻擊，他們沒有任何防御能力，因?yàn)檫@些攻擊沒有明顯的特征可供判斷。另外就是其技術(shù)實(shí)現(xiàn)的矛盾，如果需要防御更多的攻擊，那么就需要很多的規(guī)則，但是隨著規(guī)則的增多，系統(tǒng)出現(xiàn)的虛假報(bào)告（對(duì)于入侵防御系統(tǒng)來(lái)說(shuō)，會(huì)產(chǎn)生中斷正常連接的問題）率會(huì)上升，同時(shí)，系統(tǒng)的效率會(huì)降低。 

圖

圖一 Web攻擊對(duì)防火墻及IDS是不可見的

梭子魚提供了世界上最強(qiáng)大的Netcontinuum應(yīng)用防火墻產(chǎn)品線，能夠?yàn)?web 服務(wù)器和 web 應(yīng)用提供全面的保護(hù)——既可防范已知的對(duì) web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊，也可抵御更多的惡意及目標(biāo)攻擊。梭子魚應(yīng)用防火墻基于NetContinuum專利的NCOS系統(tǒng)，對(duì)Web應(yīng)用具備終止、防護(hù)和加速。集中化GUI控制界面可以讓系統(tǒng)的配置和管理變得十分簡(jiǎn)單。 特別是，梭子魚應(yīng)用控制防火墻完全符合WAFEC & OWASP提出的標(biāo)準(zhǔn)。并且是世界上唯一被ICSA在網(wǎng)絡(luò)層和應(yīng)用層上通過認(rèn)證的產(chǎn)品。#p#

梭子魚應(yīng)用防火墻的原理：

梭子魚應(yīng)用防火墻通過代理(Proxy)幫助企業(yè)建起防線! 基于會(huì)話的雙向代理不僅能應(yīng)用在網(wǎng)絡(luò)層，同時(shí)還能應(yīng)用在HTTP應(yīng)用層上，確保內(nèi)部服務(wù)器操作系統(tǒng)和TCP堆棧不直接暴露在Internet，保障web應(yīng)用的安全。

圖

圖二 Web應(yīng)用防火墻的原理

NetContinuum 應(yīng)用防火墻功能： 

終止：NetContinuum 產(chǎn)品有一個(gè)基本原則: 用戶瀏覽器和應(yīng)用程序服務(wù)器的連接會(huì)話都在此終止。 Netcontinuum將對(duì)應(yīng)用流量（向內(nèi)和向外）進(jìn)行全面的檢查，并管理每一個(gè)會(huì)話。通過TCP握手切斷任何基于TCP的DOS攻擊。在終止會(huì)話的同時(shí)，應(yīng)用防火墻可以提供網(wǎng)絡(luò)層的NAT、PAT 、ACL 策略和SSL 密碼系統(tǒng)。系統(tǒng)對(duì)于HTTP內(nèi)容有著完全的訪問權(quán)和控制權(quán)，檢查所有的HTTP 內(nèi)容，解釋和建立規(guī)則。

安全：一旦某個(gè)會(huì)話被NetContinuum應(yīng)用防火墻終止并被控制，將會(huì)對(duì)向內(nèi)或向外的流量進(jìn)行多種檢查，以阻止內(nèi)嵌的攻擊、數(shù)據(jù)竊取和身份竊取。 可以指定各種策略對(duì)URL、 參數(shù)和格式等進(jìn)行檢查。  加速：除了WEB應(yīng)用的安全性，數(shù)據(jù)中心還負(fù)責(zé)應(yīng)用的可用性和響應(yīng)時(shí)間。將加速功能 (TCP 池，緩存，GZIP壓縮)和可用性功能（負(fù)載均衡，內(nèi)容交換，健康檢查）在一個(gè)單一的節(jié)點(diǎn)處結(jié)合起來(lái)會(huì)顯著地簡(jiǎn)化數(shù)據(jù)中心的體系結(jié)構(gòu)，以此來(lái)降低成本。

圖

#p#

梭子魚NetContinuum 應(yīng)用防火墻的安裝

梭子魚應(yīng)用防火墻部署簡(jiǎn)便靈活，共有4種部署方式。

◆單臂模式

單臂模式是目前為止用于殘品測(cè)試的最透明和最簡(jiǎn)單的方式，不會(huì)影響網(wǎng)絡(luò)中的其他流量。在單臂模式下，只有HTTP和HTTPS流量會(huì)被指到控制器，控制器處于DMZ區(qū)?？刂破鳈z查這些流量，轉(zhuǎn)發(fā)給服務(wù)器，記錄所有違背安全策略的行為。單臂模式是一種讓用戶“進(jìn)入”第7層安全應(yīng)用的方便的方法。

◆橋模式

橋模式是指在兩臺(tái)運(yùn)行的設(shè)備中間插入控制器，但是對(duì)流量并不產(chǎn)生任何影響。在橋模式下，控制器阻斷第7層的應(yīng)用攻擊，但是讓其他的流量通過。橋模式是部署最為簡(jiǎn)便的方式。橋模式是透明的，所以不會(huì)干預(yù)任何網(wǎng)絡(luò)中的設(shè)備。然而，某些功能在橋模式下是無(wú)法啟用的，比如負(fù)載均衡，內(nèi)容交換和網(wǎng)絡(luò)防火墻。

◆代理模式

代理模式為您的應(yīng)用結(jié)構(gòu)提供了最高程度的保護(hù)。然而，這種模式要求應(yīng)用的IP地址在控制器的控制之下。這種模式通常在數(shù)據(jù)中心與系統(tǒng)相兼容并且已準(zhǔn)備好作為代理設(shè)備的情況下使用。

◆主動(dòng)/被動(dòng) 安全性增強(qiáng)

此外，以上每一種模式可以運(yùn)行在主動(dòng)或者被動(dòng)模式。在被動(dòng)模式下，控制器不會(huì)執(zhí)行策略。僅僅讓流量通過，始終學(xué)習(xí)、報(bào)告和記錄事務(wù)日志。對(duì)于理解應(yīng)用的行為和提供有價(jià)值的信息來(lái)將控制器移入應(yīng)用數(shù)據(jù)流是非常有用的。只有在主動(dòng)模式下，控制器才會(huì)執(zhí)行安全策略。

◆備機(jī)

NetContinuum 控制器擁有stateful failover功能。在主控制器失敗的情況下（由于軟件出錯(cuò)，網(wǎng)絡(luò)連接出錯(cuò)等），備用控制器能夠安全、有效地進(jìn)行接替。沒有流量丟失。

◆穿透功能

NetContinuum 控制器包含可選的網(wǎng)絡(luò)層fail open功能。 若控制器的硬件、PSU或軟件出錯(cuò)，控制器會(huì)把自己從網(wǎng)絡(luò)中移除，使所有流量都能到達(dá)后面的設(shè)備。任何控制器的問題都不會(huì)導(dǎo)致應(yīng)用的失效。

管理簡(jiǎn)便

在部署完畢后，NetContinuum控制器提供一個(gè)信息和控制的中心點(diǎn)來(lái)操作您的應(yīng)用。數(shù)據(jù)中心能夠觀察到完整的應(yīng)用健康程度。能夠方便迅速地調(diào)整策略，不需停止任何服務(wù)。NetContinuum研發(fā)了一個(gè)管理模型和特別設(shè)計(jì)的GUI，用來(lái)促進(jìn)當(dāng)前技術(shù)人員運(yùn)用NetContinuum的水平并拓展對(duì)于應(yīng)用控制的能力。最重要的是，系統(tǒng)設(shè)計(jì)了向?qū)Чδ芎皖A(yù)設(shè)置功能，這將能夠?qū)π碌膽?yīng)用的安全性和新的策略進(jìn)行迅速的定義。

◆運(yùn)行情況報(bào)告 – 應(yīng)用和系統(tǒng)健康

運(yùn)行情況報(bào)告發(fā)布實(shí)時(shí)完整的應(yīng)用運(yùn)行的健康數(shù)據(jù)。處理率、比特率、健康攻擊都被實(shí)時(shí)監(jiān)控并顯示在運(yùn)行情況報(bào)告面板里。諸如內(nèi)存和CPU的利用情況、應(yīng)用防火墻、網(wǎng)絡(luò)防火墻和系統(tǒng)的日志等控制器信息都實(shí)時(shí)顯示。 

圖

◆虛擬功能 – 多個(gè)應(yīng)用

NetContinuum的虛擬功能是一個(gè)為數(shù)據(jù)中心所提供的強(qiáng)大的工具，這個(gè)數(shù)據(jù)中心處理著應(yīng)用方面的管理。虛擬功能允許您定義多個(gè)獨(dú)立的應(yīng)用。每個(gè)被定義的應(yīng)用都被當(dāng)作一個(gè)單獨(dú)的實(shí)體進(jìn)行處理。系統(tǒng)讓管理員獨(dú)立、清晰地管理多個(gè)應(yīng)用服務(wù)。

◆當(dāng)前策略調(diào)整

應(yīng)用服務(wù)經(jīng)常改變并被部署。因此，控制器必須能夠方便地調(diào)整策略。NetContinuum控制器有兩種方法來(lái)幫助管理員管理這種情況。NetContinuum動(dòng)態(tài)應(yīng)用調(diào)試和執(zhí)行 (DAP) 能夠?qū)崟r(shí)地自動(dòng)學(xué)習(xí)和執(zhí)行策略。此功能使得管理員在不對(duì)控制器產(chǎn)生任何影響的前提下部署應(yīng)用的升級(jí)。一些安全人員更加喜歡一種操控性更強(qiáng)、手動(dòng)進(jìn)行的應(yīng)用升級(jí)。實(shí)時(shí)策略向?qū)軌騾f(xié)助您自定義策略，同時(shí)讓您對(duì)于當(dāng)前的策略擁有完全的掌控。此系統(tǒng)能夠記錄所有違背ACL的行為。根據(jù)這個(gè)日志，當(dāng)然，您也可以隨時(shí)重新創(chuàng)建策略。

符合標(biāo)準(zhǔn)

由于當(dāng)今Web攻擊日益嚴(yán)重，加上與它們相關(guān)的攻擊與日俱增，因此研發(fā)一種測(cè)試產(chǎn)品安全性的標(biāo)準(zhǔn)來(lái)全面保護(hù)應(yīng)用顯得至關(guān)重要。

兩個(gè)站在定義應(yīng)用安全前線的組織機(jī)構(gòu)是：

◆開放Web應(yīng)用安全項(xiàng)目 (OWASP),這是一個(gè)致力于尋找和攻克危險(xiǎn)軟件的組織。OWASP所規(guī)定的前十項(xiàng)要求提供了最低標(biāo)準(zhǔn)的應(yīng)用安全。NetContinuum產(chǎn)品能夠輕松解決前十項(xiàng)最普遍的WEB安全漏洞問題。請(qǐng)瀏覽OWASP官方網(wǎng)站：www.owasp.org.

◆Web應(yīng)用安全聯(lián)盟 (WASC)是一個(gè)包含專家、行業(yè)人員、和生產(chǎn)開源應(yīng)用安全標(biāo)準(zhǔn)的組織代表的國(guó)際組織。聯(lián)盟新的 “Web應(yīng)用防火墻評(píng)測(cè)標(biāo)準(zhǔn)” (WAFEC)是一個(gè)為提供獨(dú)立的、與廠家無(wú)關(guān)的WEB應(yīng)用防火墻產(chǎn)品的評(píng)測(cè)標(biāo)準(zhǔn)。符合了這些標(biāo)準(zhǔn)意味著能夠確保進(jìn)入的數(shù)據(jù)都是安全的。自從標(biāo)準(zhǔn)出臺(tái)以來(lái)，NetContinuum就著手開始滿足WASC-WAFEC評(píng)測(cè)標(biāo)準(zhǔn)的工作。下表表明了NetContinuum如何滿足這些標(biāo)準(zhǔn)，包括終止，安全，加速和會(huì)話控制等功能。要獲得更多詳細(xì)信息，請(qǐng)瀏覽www.webappsec.org 和 NetContinuum的官方網(wǎng)站。 

圖

總結(jié)

要完全控制企業(yè)的Web應(yīng)用需要強(qiáng)大的功能來(lái)確保執(zhí)行所有安全策略的可用性和響應(yīng)時(shí)間。負(fù)載均衡、內(nèi)容交換、full-stack協(xié)議檢查（網(wǎng)絡(luò)和應(yīng)用）的響應(yīng)時(shí)間加速、內(nèi)容檢查、告訴密碼系統(tǒng)、認(rèn)證、訪問控制和完整登陸等策略都要嚴(yán)格地應(yīng)用，從此安心地在互聯(lián)網(wǎng)中進(jìn)行商業(yè)事務(wù)的操作。

應(yīng)用控制器正在迅速成為一個(gè)企業(yè)應(yīng)用DMZ的“最優(yōu)方法”。NetContinuum通過行業(yè)中使用最簡(jiǎn)單、運(yùn)行最高效的應(yīng)用控制器家族來(lái)不斷證明自己對(duì)保護(hù)Web應(yīng)用、降低終端用戶響應(yīng)時(shí)間和提供應(yīng)用可用性的能力。