產(chǎn)品概述

Cisco ACE Web 應(yīng)用防火墻 (圖 1)是思科應(yīng)用控制引擎(ACE)產(chǎn)品系列中的最新成員。

許多機構(gòu)當(dāng)前都在設(shè)法通過實施全新的基于Web的應(yīng)用、Web 2.0和SOA解決方案，來提高效率和利潤。這些全新的基于Web的服務(wù)為客戶、員工和合作伙伴提供了更大的靈活性和交互性。同時，罪犯也在千方百計地找經(jīng)常存在問題的全新服務(wù)中的漏洞，從而進行金融欺詐、身份和數(shù)據(jù)盜竊、拒絕服務(wù)攻擊，以及傳播惡意和遠程控制代理軟件。

根據(jù)privacyrights.org的調(diào)查結(jié)果，自2005年以來，僅在美國就出現(xiàn)了大約2.5億起違規(guī)事件。相應(yīng)地，在世界各地也不斷涌現(xiàn)了 Sarbanes-Oxley、Graham-Leach-Bliley、HIPAA、PCI、Basel II、EU Data Privacy Regulation、J-SOX和PIPEDA等新興法規(guī)。這些法規(guī)著重保護對敏感信息的訪問、傳輸和存儲，如客戶和員工的個人和財務(wù)信息等。

保護消費者的財務(wù)和個人信息尤為重要。為了應(yīng)對越來越多的身份盜竊事件和安全漏洞，大型信用卡公司合作創(chuàng)建了信用卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)，對公司存儲和訪問信用卡信息的方式進行了簡化和標(biāo)準(zhǔn)化。

Cisco ACE Web應(yīng)用防火墻能夠幫助存儲、處理和傳輸信用卡數(shù)據(jù)的機構(gòu)達到PCI DSS標(biāo)準(zhǔn)的要求。由于它獨特地結(jié)合了HTML和XML安全功能，Cisco ACE Web應(yīng)用防火墻提供了一個完全能夠滿足PCI DSS標(biāo)準(zhǔn)（版本1.1）6.5和6.6章節(jié)中要求的解決方案。

在6.6章節(jié)中還特別指出，任何處理或存儲信用卡信息的機構(gòu)都必須在2008年6月30日前安裝Web 應(yīng)用防火墻，以防御在2007年在OWASP排名前10位的攻擊 。

通過對Web應(yīng)用的深入分析，并與高性能的XML檢測和管理相結(jié)合，從而真正地解決與全新Web應(yīng)用服務(wù)有關(guān)的各種威脅，Cisco ACE Web應(yīng)用防火墻能夠完全滿足最新的PCI要求。它能夠保護Web應(yīng)用不受普通攻擊的影響，如身份盜竊、數(shù)據(jù)盜竊、應(yīng)用運行中斷、欺騙和目標(biāo)式攻擊。這些攻擊包括跨站腳本（XSS）攻擊、SQL和命令注入、權(quán)限擴大、跨站請求偽造（CSRF）、緩存溢流、cookie竄改和拒絕服務(wù)(DoS)攻擊。

Cisco ACE Web應(yīng)用防火墻的集成XML防火墻功能將對基于HTML的傳統(tǒng)Web應(yīng)用的保護擴展至現(xiàn)代支持XML的Web服務(wù)應(yīng)用。XML數(shù)據(jù)安全包括XML威脅牽制，如檢驗XML內(nèi)容，以阻攔您的Web服務(wù)應(yīng)用流量中消息處理策略的違規(guī)行為。

Cisco ACE Web應(yīng)用防火墻也是一個全面的代理安全解決方案，為請求和響應(yīng)流量提供了消息級別（message-level）的監(jiān)控功能。因此，它不僅能夠阻攔攻擊，還能保護您的Web應(yīng)用，使其不受黑客的破壞。通過過濾輸出流量防止泄漏敏感數(shù)據(jù)，如信用卡，以及護照或社會保險號等個人身份號碼，還能實施安全策略。

Cisco ACE Web應(yīng)用防火墻軟件許可證通過升級，能支持完整的Cisco ACE XML網(wǎng)關(guān)軟件，后者為基于XML的軟件應(yīng)用提供了非常豐富的XML增強性能和管理工具。Cisco ACE XML網(wǎng)關(guān)能夠確保在不影響安全、互操作性或可靠性的前提下，使所有XML消息都得以處理。它幫助企業(yè)實現(xiàn)市場上最廣泛的策略控制和端到端的卓越性能，并高效地保護、加速和集成XML Web服務(wù)，從而加快客戶產(chǎn)品的面世速度，在業(yè)務(wù)競爭中占據(jù)優(yōu)勢。

圖 1. Cisco ACE Web應(yīng)用防火墻

安全、快速、可靠的HTML和XML應(yīng)用要求提供有保障的吞吐率、高并發(fā)率、低延遲和對如安全性和可用性的關(guān)鍵應(yīng)用等支持特性。Cisco ACE Web應(yīng)用防火墻通過下列特性提供了這些優(yōu)勢：

◆為您的定制應(yīng)用提供了無懈可擊的安全性

◆針對已知惡意模式提供了廣泛的思科驗證簽名

◆了解要過濾的Web應(yīng)用，只允許合法流量通過

◆人工輔助的自動學(xué)習(xí)，消除安全配置中的人為猜測因素

Cisco ACE Web應(yīng)用防火墻在高性能網(wǎng)絡(luò)設(shè)備上提供了業(yè)界領(lǐng)先的安全處理特性，能夠充分滿足您的開發(fā)和部署需求。無論您是試用方案，或是保護少量Web應(yīng)用，還是在整個企業(yè)內(nèi)部署廣泛的Web應(yīng)用，思科都提供了業(yè)界領(lǐng)先的Web 應(yīng)用防火墻解決方案，并能夠加以擴展以滿足您的應(yīng)用安全、可用性和性能要求。

特性和優(yōu)勢

◆大幅度降低關(guān)鍵任務(wù)應(yīng)用在代價高昂的Web攻擊下受損的幾率

◆僅用同類產(chǎn)品的一小部分時間和成本即可部署安全的Web項目

◆能夠與SOAP和XML應(yīng)用共用，因而簡化了后續(xù)Web安全管理

圖2介紹了典型部署，表1概述了Cisco ACE Web應(yīng)用防火墻的特性和優(yōu)勢。

圖2. Cisco ACE Web應(yīng)用防火墻部署

【編輯推薦】

1. 如何評價、選擇和實施Web應(yīng)用防火墻
2. 防火墻加web應(yīng)用防火墻解決趙明問題