梭子魚應(yīng)用防火墻在納斯達(dá)克(NASDAQ)的實(shí)施案例

1、梭子魚應(yīng)用防火墻在納斯達(dá)克（NASDAQ）的實(shí)施案例關(guān)于納斯達(dá)克（NASDAQ）納斯達(dá)克(Nasdaq)是全美證券商協(xié)會(huì)自動(dòng)報(bào)價(jià)系統(tǒng)（National Association of Securities Dealers Automated Quotations）英文縮寫，目前已成為納斯達(dá)克股票市場(chǎng)的代名詞。信息和服務(wù)業(yè)的興起催生了納斯達(dá)克。納斯達(dá)克始建于1971年，是一個(gè)完全采用電子交易、為新興產(chǎn)業(yè)提供競(jìng)爭(zhēng)舞臺(tái)、自我監(jiān)管、面向全球的股票市場(chǎng)。納斯達(dá)克是全美也是世界最大的股票電子交易市場(chǎng)。納斯達(dá)克的特點(diǎn)是收集和發(fā)布場(chǎng)外交易非上市股票的證券商報(bào)價(jià)。它現(xiàn)已成為全球最大的證券交易市場(chǎng)。目前的上市公司有

2、5200多家。納斯達(dá)克又是全世界第一個(gè)采用電子交易的股市，它在55個(gè)國(guó)家和地區(qū)設(shè)有26萬(wàn)多個(gè)計(jì)算機(jī)銷售終端。Web安全防護(hù)至關(guān)重要由于納斯達(dá)克是一個(gè)電子交易系統(tǒng)，經(jīng)營(yíng)著全球最大的資本市場(chǎng)，系統(tǒng)的安全性和可靠性成為至關(guān)重要的因素。 由于納斯達(dá)克的交易使用電子在線系統(tǒng)，又因?yàn)?。納斯達(dá)克擁有其官方網(wǎng)站，為用戶提供了一個(gè)信息共享的平臺(tái)。由于納斯達(dá)克在金融行業(yè)的地位和影響力，并且該網(wǎng)站包含大量的金融信息，致使其成為世界各地黑客的攻擊目標(biāo)。通過(guò)對(duì)納斯達(dá)克的官方網(wǎng)站的加固和防護(hù)，可以確保其免受各類Web攻擊，這些Web攻擊主要包括：1.緩存溢出 薄弱的應(yīng)用編碼會(huì)嘗試將應(yīng)用數(shù)據(jù)存儲(chǔ)于緩存中，而不是正常的分配，

3、這將最終導(dǎo)致一個(gè)攻擊，借此，惡意代碼將溢出到另外一個(gè)緩存中來(lái)執(zhí)行惡意代碼。2.跨站點(diǎn)腳本攻擊 攻擊類型的代碼數(shù)據(jù)被插入到另外一個(gè)可信任區(qū)域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來(lái)執(zhí)行攻擊3.服務(wù)拒絕攻擊 這種攻擊會(huì)導(dǎo)致服務(wù)沒(méi)有能力為正常業(yè)務(wù)提供服務(wù)4.異常錯(cuò)誤處理錯(cuò)誤發(fā)生時(shí)，向用戶提交錯(cuò)誤提示是很正常的事情，但是如果提交的錯(cuò)誤提示中包含了太多的內(nèi)容，就有可能會(huì)被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。5.非法session ID 當(dāng)session ID沒(méi)有被正常使用時(shí)，攻擊者可以破壞Web會(huì)話，并且實(shí)施多個(gè)攻擊（通過(guò)冒用其他的可信任的憑證），借此來(lái)繞開(kāi)認(rèn)證機(jī)制。6.命令注入 如果沒(méi)有成功的阻止帶有語(yǔ)法含

4、義的輸入內(nèi)容，有可能導(dǎo)致對(duì)數(shù)據(jù)庫(kù)信息的非法訪問(wèn)。比如在Web表單中輸入的內(nèi)容（SQL語(yǔ)句），應(yīng)該保持簡(jiǎn)單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。7.弱認(rèn)證機(jī)制 利用弱認(rèn)證機(jī)制或者未加密的數(shù)據(jù)來(lái)獲得訪問(wèn)，破壞和控制數(shù)據(jù)是一個(gè)非常嚴(yán)重的問(wèn)題。通過(guò)正確的開(kāi)發(fā)Web應(yīng)用可以輕而易舉的避免此問(wèn)題。8.未受保護(hù)的參數(shù)傳遞 利用統(tǒng)一資源標(biāo)識(shí)符（URL）和隱藏的HTML標(biāo)記可以傳遞參數(shù)給瀏覽器，瀏覽器在將HTML傳回給服務(wù)器之前，是不會(huì)修改這些參數(shù)的。9.不安全的存儲(chǔ) 對(duì)于Web應(yīng)用程序來(lái)說(shuō)，妥善的保存密碼，用戶名，以及其它與身份驗(yàn)證有關(guān)的信息是非常重要的工作。對(duì)這些信息進(jìn)行加密是非常有效的方式，但是一些企業(yè)會(huì)采

5、用那些未經(jīng)實(shí)踐驗(yàn)證的加密解決方案，其中就可能存在漏洞。10.非法輸入 -在數(shù)據(jù)被輸入程序前忽略對(duì)數(shù)據(jù)合法性的檢驗(yàn)，是一個(gè)常見(jiàn)的編程漏洞。隨著我們對(duì)Web應(yīng)用程序脆弱性的調(diào)查，非法輸入的問(wèn)題已經(jīng)成為了大多數(shù)Web應(yīng)用程序安全漏洞的一個(gè)主要特點(diǎn)。梭子魚應(yīng)用防火墻為納斯達(dá)克提供全面的Web保護(hù)梭子魚提供的強(qiáng)大的梭子魚應(yīng)用防火墻，為納斯達(dá)克的Web服務(wù)器和Web應(yīng)用提供全面的保護(hù)既可防范已知的對(duì) Web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊，也可抵御更多的惡意及目標(biāo)攻擊。梭子魚應(yīng)用防火墻基于梭子魚專利的NCOS體系，對(duì)HTTP請(qǐng)求進(jìn)行終止、防護(hù)和加速。集中化GUI控制界面可以讓系統(tǒng)的配置和管理變得十分簡(jiǎn)單。

6、特別是，梭子魚應(yīng)用防火墻完全符合WAFEC & OWASP提出的標(biāo)準(zhǔn)。并且是世界上唯一被ICSA在網(wǎng)絡(luò)層和應(yīng)用層上通過(guò)認(rèn)證的產(chǎn)品。此外，梭子魚動(dòng)態(tài)學(xué)習(xí)功能通過(guò)與納斯達(dá)克網(wǎng)站的Web服務(wù)器互相通信，能夠?qū)崟r(shí)地自動(dòng)學(xué)習(xí)和策略建模。梭子魚應(yīng)用防火墻的實(shí)時(shí)策略向?qū)軌騾f(xié)助管理員自定義策略，同時(shí)讓管理員對(duì)于當(dāng)前的策略擁有完全的掌控。此系統(tǒng)能夠記錄所有違背ACL的行為。梭子魚應(yīng)用防火墻給納斯達(dá)克網(wǎng)站帶來(lái)長(zhǎng)久高效的Web應(yīng)用安全通過(guò)部署梭子魚應(yīng)用防火墻，通過(guò)梭子魚的加速功能，大大提高了整體處理性能，并將納斯達(dá)克的Web服務(wù)器完全隱藏在梭子魚之后，實(shí)現(xiàn)完全的增減透明化。梭子魚使用緩存、壓縮、TCP連接復(fù)用和負(fù)載均衡等各種技術(shù)對(duì)后臺(tái)Web服務(wù)器進(jìn)行流量的優(yōu)化。使得納斯達(dá)克在Web