XXX公司梭子魚應(yīng)用防火墻解決方案

XXX公司梭子魚應(yīng)用防火墻解決方案 Confidential PagePAGE2 DATE2/19/2009BarracudaCorporationXXX公司梭子魚應(yīng)用防火墻解決方案目錄概要 2一. 什么是web應(yīng)用漏洞，這些漏洞會造成怎樣嚴重的后果 3二. 整個Web應(yīng)用的安全現(xiàn)狀 4客戶需求與分析 8一． 客戶背景 8二．XXX公司的相關(guān)需求 9XXX公司梭子魚應(yīng)用防火墻解決方案 10一．梭子魚Web應(yīng)用防火墻 10二． 網(wǎng)絡(luò)架構(gòu)和部署 10三． 梭子魚應(yīng)用防火墻特性 121.終止 122.安全 153.加速 19 概要非常感謝XXX公司能夠提供這次在機會，使梭子魚應(yīng)用防火墻能夠在其信息中心進行全面的測試。梭子魚應(yīng)用防火墻是一款架設(shè)在web應(yīng)用服務(wù)前端的安全網(wǎng)關(guān)，通過簡單的，快速的部署，能夠滿足對大型企業(yè)等客戶來說至關(guān)重要的安全要求。梭子魚應(yīng)用防火墻不僅能在ISO七層阻斷已知和未知的攻擊，同時還提供了安全的事務(wù)日志，告訴SSL加密/解密以及安全應(yīng)用訪問。簡單通俗地說，梭子魚為web應(yīng)用提供了傳統(tǒng)防火墻和VPN的安全機制。這樣，可以使您網(wǎng)絡(luò)在最小改動的情況下，增強對web站點和應(yīng)用的可靠性。梭子魚使web應(yīng)用安全變得易如反掌。所以，我們相信通過使用梭子魚應(yīng)用防火墻，能夠成功地幫助XXX公司實現(xiàn)對web安全應(yīng)用的關(guān)鍵需求。您需要了解的相關(guān)信息什么是web應(yīng)用漏洞，這些漏洞會造成怎樣嚴重的后果Web應(yīng)用由于其開發(fā)的特點－經(jīng)常更改，不徹底的開發(fā)編寫，沒有經(jīng)過嚴格的測試，導(dǎo)致web應(yīng)用出現(xiàn)了很多的漏洞，這些漏洞甚至將整個企業(yè)暴露給了外界。相關(guān)組織不得不定期的檢查是否存在web應(yīng)用漏洞，簡單地測試來總結(jié)一些對策，保護web應(yīng)用不受攻擊。下面列舉一些最為典型的攻擊類型，這些攻擊將會導(dǎo)致非常嚴重的安全事件：緩存溢出—差勁的應(yīng)用編碼會嘗試將應(yīng)用數(shù)據(jù)存儲于緩存中，而不是正常的分配，這將最終導(dǎo)致一個攻擊，借此，惡意代碼將溢出到另外一個緩存中來執(zhí)行惡意代碼。跨站點腳本攻擊—攻擊類型的代碼數(shù)據(jù)被插入到另外一個可信任區(qū)域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來執(zhí)行攻擊服務(wù)拒絕攻擊—這種攻擊會導(dǎo)致服務(wù)沒有能力為正常業(yè)務(wù)提供服務(wù)異常錯誤處理—錯誤發(fā)生時，向用戶提交錯誤提示是很正常的事情，但是如果提交的錯誤提示中包含了太多的內(nèi)容，就有可能會被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。有問題的或者不存在的sessionID—當sessionID沒有被正常使用時，攻擊者可以破壞Web會話，并且實施多個攻擊（通過冒用其他的可信任的憑證），借此來繞開認證機制。命令注入—-如果沒有成功的阻止帶有語法含義的輸入內(nèi)容，有可能導(dǎo)致對數(shù)據(jù)庫信息的非法訪問。比如在Web表單中輸入的內(nèi)容（SQL語句），應(yīng)該保持簡單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。脆弱的認證—利用脆弱的認證機制或者未加密的數(shù)據(jù)來獲得訪問，破壞和控制數(shù)據(jù)是一個非常嚴重的問題。通過正確的開發(fā)Web應(yīng)用可以輕而易舉的避免此問題。未受保護的參數(shù)傳遞—利用統(tǒng)一資源標識符（URL）和隱藏的HTML標記可以傳遞參數(shù)給瀏覽器，瀏覽器在將HTML傳回給服務(wù)器之前，是不會修改這些參數(shù)的。不安全的存儲－對于Web應(yīng)用程序來說，妥善的保存密碼，用戶名，以及其它與身份驗證有關(guān)的信息是非常重要的工作。對這些信息進行加密是非常有效的方式，但是一些企業(yè)會采用那些未經(jīng)實踐驗證的加密解決方案，其中就可能存在漏洞。非法輸入--在數(shù)據(jù)被輸入程序前忽略對數(shù)據(jù)合法性的檢驗，是一個常見的編程漏洞。隨著我們對Web應(yīng)用程序脆弱性的調(diào)查，非法輸入的問題已經(jīng)成為了大多數(shù)Web應(yīng)用程序安全漏洞的一個主要特點。整個Web應(yīng)用的安全現(xiàn)狀目前中國互聯(lián)網(wǎng)發(fā)展態(tài)勢良好。來自中國互聯(lián)網(wǎng)絡(luò)信息中心的數(shù)據(jù)表明，截至2007年年底，國內(nèi)網(wǎng)民數(shù)已達到2.1億；中國域名總數(shù)是1193萬個，年增長率達到190.4%；中國網(wǎng)站數(shù)量已有150萬；中國網(wǎng)頁總數(shù)已經(jīng)有84.7億個，年增長率達到89.4%。2008年年初，投行MorganStanley預(yù)測，未來幾個月中國網(wǎng)民數(shù)將超過美國，成為全球第一。欣喜之余，我們發(fā)現(xiàn)：Web應(yīng)用越來越為豐富的同時，Web服務(wù)器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標。SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件，頻繁發(fā)生。來自網(wǎng)絡(luò)世界（NetworkWorld）的報導(dǎo)，2008年5月13日，在中國大陸、香港及臺灣地區(qū)有數(shù)萬個網(wǎng)站遭遇新一輪SQL注入攻擊，并引發(fā)大規(guī)模掛馬。在過去的4個月中，之前已有3次大規(guī)模攻擊，受害者包括某知名防病毒軟件廠商網(wǎng)站、歐洲某政府網(wǎng)站和某國際機構(gòu)網(wǎng)站在內(nèi)的多家互聯(lián)網(wǎng)網(wǎng)站，感染頁面數(shù)最多超過10，000頁面/天。2007年，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT/CC）監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達61228個，比去年增加了1.5倍。其中，中國大陸政府網(wǎng)站被篡改各月累計達4234個。Google最新數(shù)據(jù)①表明，過去10個月中，Google通過對互聯(lián)網(wǎng)上幾十億URL進行抓取分析，發(fā)現(xiàn)有300多萬個惡意URL。其中，中國的惡意站點占到了總數(shù)的67%。我國近期網(wǎng)站被篡改情況2008年1月至10月，我國網(wǎng)站被篡改數(shù)量的月度情況統(tǒng)計如下圖所示：由上圖可見，相對于香港和臺灣，大陸的網(wǎng)站安全現(xiàn)狀不容樂觀，每月都有大量的網(wǎng)站被篡改，網(wǎng)站安全隱患出處可見。[注：該數(shù)據(jù)來自CNNIC2008年10月中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告]。公司在有限的時間和預(yù)算壓力下，開發(fā)出的Web應(yīng)用缺乏對安全的考慮開發(fā)人員，執(zhí)行人員和測試人員都沒有接受過專業(yè)的安全培訓(xùn)；他們大都關(guān)注于Web應(yīng)用是否符合實際的需求。公司同時需要耗費其他資源來防止和限制對應(yīng)用的錯誤使用。.相關(guān)的行業(yè)標準正推動Web應(yīng)用安全MasterCard和Visa信用卡提出了所有存儲，處理或者傳輸持卡人數(shù)據(jù)的成員機構(gòu)，商業(yè)機構(gòu)，服務(wù)提供商都必須符合PaymentCardIndustry(PCI)DataSecurityStandard。PCI標準強制所有涉及到持卡人數(shù)據(jù)環(huán)境的Web軟件和應(yīng)用都必須基于安全的編碼方針，并且必須符合OpenWebApplicationSecurityProject(OWASP)的協(xié)議。隨著在其他行業(yè)中，軟件安全需求意識的提高，這些指導(dǎo)方針對那些不安全的Web應(yīng)用提出了挑戰(zhàn)。越來越多的安全組織的加入標識著我們將會有更多的選擇和培訓(xùn)的機會。當前，軟件安全已經(jīng)在各大安全會議上成為了一個重要的話題，包括RSAConference2006,theBlackHatconventions,以及thenewSoftwareSecuritySummit.。軟件安全專家變得越來越普遍，更多地出現(xiàn)在包括OWASP，WebApplicationSecurityConsortium(WASC)以及BuildSecurityIn.這些組織中以及一些書本中。另外，更多的工具和產(chǎn)品的出現(xiàn)都給市場帶了新的生氣?？蛻粜枨笈c分析客戶背景企業(yè)，公司或者組織需要將Web應(yīng)用安全作為一部分，包括在他們的安全管理部署之中。據(jù)統(tǒng)計，90％的外部訪問應(yīng)用，如今，還是直接面向web服務(wù)器，其中的三分之二具有可以被攻擊的漏洞，能夠是黑客輕易的控制和破壞服務(wù)器和服務(wù)。因為Web應(yīng)用是可以使用瀏覽器進行外部訪問的服務(wù)，攻擊者可以輕而易舉的繞開邊界安全設(shè)備，通常這些設(shè)備對80和443的端口都沒有做任何限制。因此我們推薦XXX公司使用梭子魚應(yīng)用防火墻來實現(xiàn)對Web應(yīng)用漏洞的檢測和防護。XXX公司是由上海精文投資有限公司、上海文化廣播影視集團、上海文廣新聞傳媒集團、上海東方明珠（集團）股份有限公司、上海信息投資股份有限公司、文匯新民聯(lián)合報業(yè)集團、解放日報報業(yè)集團、上海教育電視臺、勞動報社、青年報社聯(lián)合組建的有新聞特色的大型綜合性網(wǎng)站。XXX公司于2000年5月28日開通。目前，東方網(wǎng)旗下主管報社1家（《城市導(dǎo)報》），控股和參股公司14家（包括東方網(wǎng)點、東方數(shù)字社區(qū)、東方怡動、東方網(wǎng)誠、東方誠心等）。配合XXX公司如此的一個大型的綜合性網(wǎng)站，其后臺的web應(yīng)用服務(wù)器集群也是非常龐大的，達到30～40臺之多。合作伙伴，客戶，用戶都是通過其網(wǎng)站來登錄訪問東方網(wǎng)提供的網(wǎng)絡(luò)電視，網(wǎng)路電臺，以及聊天室等等的其他服務(wù)。同時，東方網(wǎng)擁有3個語種、80個主體頻道；200多萬日均用戶、2000多萬日均頁讀數(shù)（PV）；有1000余項網(wǎng)絡(luò)技術(shù)應(yīng)用；為上海1000多家單位以及中國上海政府網(wǎng)站、世博會官方網(wǎng)站等重大項目提供網(wǎng)絡(luò)平臺服務(wù)。可想而知，處于最外層的web應(yīng)用的安全是至關(guān)重要的，通過保護web應(yīng)用的安全能夠有效的屏蔽內(nèi)部網(wǎng)路和后臺數(shù)據(jù)，使其對外不可見，防止因為由于web應(yīng)用被攻擊導(dǎo)致后臺服務(wù)的宕機，重要數(shù)據(jù)的破壞和泄漏。另外，由于web應(yīng)用的開發(fā)工作是在多年前完成的，如果需要防護web層面的應(yīng)用攻擊，那么就必須花費大量的時間，精力和人力來對原本的代碼進行大規(guī)模的優(yōu)化，不管在管理層面上還是執(zhí)行層面上來說，都不是一個最佳的解決方案。以上內(nèi)容更具不同用戶編寫二．XXX公司的相關(guān)需求對包括SQL注入，命令注入，緩存溢出，跨站點腳本攻擊等數(shù)十種已知的web應(yīng)用攻擊進行有效的防護，不影響正常的web應(yīng)用流量以及其他的應(yīng)用流量對未知的web應(yīng)用攻擊能夠有效地防護，并伴隨智能學(xué)習(xí)能力實現(xiàn)雙向過濾能力實現(xiàn)站點的虛擬化，實現(xiàn)后臺真實服務(wù)器和真實域名對外界的非可見性SSLoffloading功能，加速SSL流量連接復(fù)用功能，實現(xiàn)TCP連接池應(yīng)用防火墻熱備功能，避免單點故障，實現(xiàn)statefulfailover多種認證機制的支持，包括LDAP,AAA,RADIUS,ADetc多種部署方式，簡單管理，提供圖形化界面符合PCI-DSS，OWASP，WASC協(xié)議標準無需改動現(xiàn)有的web應(yīng)用代碼XXX公司梭子魚應(yīng)用防火墻解決方案一．梭子魚Web應(yīng)用防火墻梭子魚應(yīng)用防火墻產(chǎn)品是一款集成化的產(chǎn)品，它能夠在完全的獲取和管理Web應(yīng)用過程中進與出的每一個事務(wù)。同時它也是一款高性能，雙向HTTP代理設(shè)備，允許系統(tǒng)管理員針對每一個應(yīng)用的每一個會話指定精確的安全，內(nèi)容和流量的規(guī)則。梭子魚提供企業(yè)級的應(yīng)用防火墻。基于梭子魚私有的操作系統(tǒng)，應(yīng)用防火墻通過終止，安全，加速web應(yīng)用會話流量，提供給數(shù)據(jù)中心一個非常有價值的解決方案，來控制至關(guān)重要的web應(yīng)用。梭子魚產(chǎn)品的拓撲和管理是非常簡單的。最重要的是，梭子魚應(yīng)用防火墻是完全遵循WASC和OWASP組織的協(xié)議來開發(fā)的。根據(jù)東XXX公司目前網(wǎng)絡(luò)拓撲狀況，因為已經(jīng)包含了F5的負載均衡設(shè)備對后臺的web服務(wù)器進行流量負載，梭子魚推薦使用NC－2000AF配合原先的F5負載均衡設(shè)備，實現(xiàn)安全，負載，加速。使整個站點從性能和安全上提升一個新的臺階。（根據(jù)用戶情況而定）網(wǎng)絡(luò)架構(gòu)和部署雙臂代理模式（視項目而定）雙臂代理模式是web應(yīng)用防火墻部署種的最佳模式。這個模式也是拓撲過程中推薦的模式，能夠提供最佳的安全性能。在此模式中，所有的數(shù)據(jù)端口都將被開啟；端口eth1是對外的，直接面向因特網(wǎng)的端口；端口eth2將會和內(nèi)部的設(shè)備（交換機等）進行連接，是面向內(nèi)部的。管理端口可以被分配到另一個網(wǎng)段，我們推薦將管理數(shù)據(jù)和實際的流量分離，避免因為實際流量和管理數(shù)據(jù)的沖突。以下為示例拓撲圖：網(wǎng)絡(luò)實現(xiàn)：前端端口和后端端口位于不同的網(wǎng)段，所有外部客戶將會和應(yīng)用虛擬IP地址進行連接，此虛擬ip將會和前端端口（eth1）進行綁定客戶的連接將會在設(shè)備上終止，進行安全檢查和過濾合法的流量將會由后端端口（eth2）建立新的連接到負載均衡設(shè)備負載均衡進行流量的負載雙臂代理模式可以開啟所有的安全功能Note：此種部署模式，會暫時性的造成應(yīng)用的不可訪問性。可以根據(jù)實際需求，在部署過程中，局部分層次的進行。梭子魚應(yīng)用防火墻特性1.終止TCP會話終止

Web應(yīng)用防火墻進行TCP握手的優(yōu)勢（終止）：在發(fā)往真實服務(wù)器之前，完全控制會話，并實行安全策略實現(xiàn)應(yīng)用加速功能卸載諸如SSL之類的運算狀態(tài)網(wǎng)絡(luò)防火墻擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢:實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)防火墻的ACL，NAT，PAT等規(guī)則的設(shè)定保護內(nèi)部網(wǎng)絡(luò)免受2～4層的網(wǎng)絡(luò)攻擊：PreventSYNfloodPreventtoomanyhalf-openconnectionsPreventsportscanningandnetworkreconnaissanceSSL終止SSL終止的優(yōu)勢：卸載高強度計算的SSL加密，使應(yīng)用服務(wù)器CPU占用率大大降低自定義的局部網(wǎng)站加密，無需改動任何代碼在進行內(nèi)部網(wǎng)絡(luò)之前，解密SSL加密數(shù)據(jù)HTTP協(xié)議合規(guī)化HTTP合規(guī)化的優(yōu)勢在于：強制符合標準化協(xié)議自動解碼，并識別和阻斷被編碼的數(shù)據(jù)HTTP包頭重寫HTTP包頭重寫可以：防止信息泄漏和掃描提供更得心應(yīng)手得流量管理提供獨一無二得應(yīng)用層功能URL轉(zhuǎn)換URL轉(zhuǎn)換的優(yōu)勢：提供應(yīng)用層偽裝針對客戶只暴露一個簡單的名稱結(jié)構(gòu)URL速率控制URL速率控制能夠幫助您實現(xiàn)：后端應(yīng)用服務(wù)器收到指定速率的請求防止應(yīng)用服務(wù)器過載提供一個控制應(yīng)用的事務(wù)中心2.安全應(yīng)用偽裝應(yīng)用偽裝能保護使您的應(yīng)用和外界完全屏蔽：隱藏所有服務(wù)器，操作系統(tǒng)，應(yīng)用服務(wù)，web服務(wù)的結(jié)構(gòu)防止wormsandbots對應(yīng)用進行掃描認證與授權(quán)拒絕/同意被認證授權(quán)的用戶在URL級別設(shè)置訪問控制列表能為安全審計提供詳細的日志和報表表格保護表格保護能夠：防止因為