BLUECOATWEB應(yīng)用安全產(chǎn)品及解決方案-20130925

bLUECOAT

wEB應(yīng)用安全產(chǎn)品及解決方案

戴軍2013-09-25代理構(gòu)架基礎(chǔ)上Web應(yīng)用安全、高速解決方案安全Web網(wǎng)關(guān)/代理服務(wù)器：策略

性能

認(rèn)證

單點(diǎn)控制ProxySGDirectorWebFilter云安全ProxyClient防病毒墻KasperskyMcAfeePandaSophosSymantecTrendMicro傳輸優(yōu)化、加速BandwidthMgmtProtocolOptimiz.Caching/Acceler.StreamSplitting統(tǒng)計(jì)報(bào)表數(shù)據(jù)信息防泄漏高速安全代理構(gòu)架基礎(chǔ)上Web應(yīng)用安全、高速解決方案正向代理解決方案反向代理解決方案

指定代理（單臂或串接）瀏覽器配置ProxySG的IP或Hostname為代理PAC文件:腳本自動(dòng)配置DNS解析透明代理透明網(wǎng)橋（串接）策略路由、WCCP（單臂）缺省網(wǎng)關(guān)（單臂或串接）ProxySG工作模式及部屬方式Proxy(dest-ip=SG)Transparent(dest-ip=OCS)ProxyorTransparentSendClientIP(IPSpoofing)Proxy,Transparentor正向代理主要功能及技術(shù)實(shí)現(xiàn)WebPulseWebPulse統(tǒng)一報(bào)表BlueCoatSurfControlWebsenseSmartfilterEnvisionBlueCoatURL過濾多協(xié)議支持的代理服務(wù)精細(xì)的策略控制及高效加速HTTP,SOCKSv4/5,HTTPS,FTP,Streaming(RTSP,MMS,RTMP),DNS,TCPTunnel認(rèn)證NT,AD,LDAP,RADIUS,WindowsandNovellSSO,LocalFile,GuestSSL通信監(jiān)控CertificateEmulationHWAccelerationDecryptionforICAP&DLP用戶登錄SSOw/I.E.6andupDLP數(shù)據(jù)泄露防護(hù)(evenHTTPS)FIPS140-2ProxyAV安全威脅掃描Internet企業(yè)內(nèi)網(wǎng)安全方面的認(rèn)證ProxySGICAPS-ICAPICAPICAP+S-ICAPEAL2NISTWebPulsew/BCWFProxyClientOptimization上網(wǎng)內(nèi)容緩存加速ProxySG介紹真正的代理專用設(shè)備SGOS不是出自Windows或Unix通用系統(tǒng)無需加固，無需補(bǔ)丁沒有安全方面的隱患冷啟動(dòng)<60秒，熱啟動(dòng)<10秒安全的、面向?qū)ο蟮膶Ｓ貌僮飨到y(tǒng)基于對象的存儲(比文件系統(tǒng)快三倍以上，高流量時(shí)性能平穩(wěn))自適應(yīng)的主動(dòng)更新算法(保持緩存內(nèi)容最新)對象并行獲取技術(shù)(解決瀏覽器會話數(shù)限制)高速策略處理引擎，集成安全功能通過ICSA安全認(rèn)證的代理專用設(shè)備，意味著BlueCoatSG不需防火墻來保護(hù)強(qiáng)健的用戶認(rèn)證支持支持和所有主流的用戶認(rèn)證服務(wù)器集成，實(shí)現(xiàn)用戶認(rèn)證和授權(quán)IWA、LDAP、RADIUS、Local、Certificate、Sequences、CA

eTrust

SiteMinder、OracleCOREid?、策略替代、Novell支持和Microsoft域及Novell認(rèn)證域集成的單點(diǎn)登錄(SSO)，支持多重認(rèn)證域的集成支持基于Form的驗(yàn)證,方便企業(yè)定制化用戶認(rèn)證頁面基于IP、Cookie和基于Session認(rèn)證用戶認(rèn)證與授權(quán)指定代理認(rèn)證Proxy要求client進(jìn)行認(rèn)證HTTP407Response“ProxyAuthenticationRequired”Browser重新發(fā)送攜帶有用戶身份信息的RequestCredentialsaresentwitheveryrequest絕大多數(shù)Browser在運(yùn)行期間都會緩存用戶的身份信息透明代理認(rèn)證Server要求client進(jìn)行認(rèn)證HTTP401Response“AuthenticationRequired”Browser重新發(fā)送攜帶有用戶身份信息的RequestCredentialsaresentwitheveryrequest絕大多數(shù)Browser在運(yùn)行期間都會緩存用戶的身份信息完整的Proxy支持標(biāo)準(zhǔn)的HTTP、SOCKS(v4/v5)代理HTTPSMicrosoft流媒體（MMS-WMA、WAV、mp3）、RealNetworks流媒體（RTSP-RM、RMVB）、RTMP流媒體IM(AOL,MSN,Yahoo)CIFSFTPTelnetDNSTCPTunnel等應(yīng)用代理非標(biāo)準(zhǔn)協(xié)議的應(yīng)用均能夠通過HTTP、Socks或TCPTunnel（透明方式下）實(shí)現(xiàn)代理上網(wǎng)完整的代理支持精細(xì)的WEB訪問策略觸發(fā)機(jī)制用戶源IP、網(wǎng)段；目標(biāo)IP、網(wǎng)段用戶名、分組、認(rèn)證域HTTP請求頭的特征（如：瀏覽器版本、“木馬”傳輸特征等）HTTP應(yīng)答頭的特征（如：對各種Spoofing的檢測）目標(biāo)URL、域網(wǎng)站（URL）分類（針對全球網(wǎng)站的80個(gè)分類，覆蓋50種語言）Web應(yīng)用及操作訪問的內(nèi)容類型客戶端通訊協(xié)議訪問時(shí)間用戶登入次數(shù)相關(guān)系統(tǒng)的健康檢查結(jié)果…………所有觸發(fā)器均可以組合實(shí)現(xiàn)豐富的策略檢查條件精細(xì)的web訪問控制策略靈活的策略操作允許/禁止URL改寫訪問轉(zhuǎn)向提示告警病毒掃描、DLP處理帶寬限制記錄特定日志等各種操作通過操作系統(tǒng)內(nèi)置的可視化策略處理器（VPM），實(shí)現(xiàn)所有代理通訊和Web訪問的統(tǒng)一控制和管理Internet商業(yè)Web應(yīng)用&SaaS木馬

&

壞的網(wǎng)站良好的網(wǎng)頁內(nèi)容的網(wǎng)站你是誰？屬于什么組與部門你的位置什么應(yīng)用網(wǎng)站屬于什么分類？關(guān)鍵字什么時(shí)間瀏覽器類型內(nèi)容類型優(yōu)化阻擋控制可客制化的策略引擎完全安全有序的網(wǎng)絡(luò)和web使用使得IT部門為成為一個(gè)商業(yè)價(jià)值中心12精細(xì)的web訪問控制策略高效的加速并行獲取技術(shù)(Pipelining)一個(gè)網(wǎng)頁由多個(gè)Object組成Object由URL指定高效的加速并行獲取技術(shù)(Pipelining)InternetAfterparsingAfterparsing2sec7.25sec檢查證書，并提取服務(wù)器的公開密鑰。使用該算法。服務(wù)器的數(shù)字證書。完成驗(yàn)證客戶端

–代理設(shè)備連接服務(wù)器－代理設(shè)備連接已建立的通道

已建立的通道

完成驗(yàn)證完成驗(yàn)證完成驗(yàn)證代理設(shè)備

服務(wù)器

客戶端

我支持的算法。連接請求。我支持的算法。連接請求。檢查證書，并取出（代理設(shè)備的）公開密鑰。讓我們使用這個(gè)算法。仿真證書。SSL代理原理SSLTCPUserInternetAppsTCP信任的應(yīng)用透傳敏感的、已知的金融或其他個(gè)人信息沒有緩存，不可見只能獲得網(wǎng)絡(luò)層信息ControlOption1SSL選擇一:PassthroughSSLTCPUserInternetAppsTCP實(shí)現(xiàn)初始檢查正確的用戶、正確的應(yīng)用正確的服務(wù)器證書初始檢查后，用戶/應(yīng)用通訊透傳沒有緩存網(wǎng)絡(luò)層信息、證書、用戶和應(yīng)用信息可見可以警告用戶，提示企業(yè)管理策略ControlOption2SSL選擇二:檢查，然后通過SSLInternetAppsUserTCPTCPSSL實(shí)現(xiàn)初始檢查正確的用戶、正確的應(yīng)用正確的服務(wù)器證書初始檢查后，用戶/應(yīng)用通訊進(jìn)行代理完全的緩存和日志選項(xiàng)網(wǎng)絡(luò)層信息、證書、用戶、應(yīng)用信息和內(nèi)容等均可見完全終結(jié)/proxy可以警告用戶，提示企業(yè)管理策略ControlOption3SSL選擇三:完全的SSLProxyExternal

AppsASPCorporate

NetworkInternalUsersBlueCoatSGRestoresITVisibilityandControlandMakesSSLSafeAgainBlueCoatSG代表用戶管理SSL會話進(jìn)行證書管理和鑒定終止所有進(jìn)入Proxy的SSL會話確定和檢查所有SSL通訊內(nèi)容運(yùn)用相應(yīng)的安全控制和策略加速SSL性能BlueCoat解決SSL問題高效的加速

——基于對象的Cache高負(fù)載下快速磁盤訪問URLHash表一次磁盤I/O實(shí)現(xiàn)對象的存取連續(xù)存儲無碎片無需硬盤交換

訪問頻率記憶90%左右從內(nèi)存直接提供Watch.gifLogo.gifArc.gifText.gifArc.gifLogo.gifWatch.gifText.gifSystemData高效的加速

——?jiǎng)討B(tài)刷新技術(shù)主動(dòng)學(xué)習(xí)并自動(dòng)調(diào)整刷新機(jī)制使用戶感受不到網(wǎng)絡(luò)的延遲動(dòng)態(tài)刷新算法Object訪問頻率Object大小下載成本TimeToLive策略O(shè)bject的變化模式WWWAdaptiveRefreshCacheGetGetGetUserRequestsTIME22過濾Web內(nèi)容BlueCoatWebFilter覆蓋面、準(zhǔn)確性、和動(dòng)態(tài)URL過濾引擎BlueCoatSG內(nèi)容檢測和控制限制信息上傳檢查/改寫/禁止協(xié)議頭信息控制MIME類型和文件后綴剔除和替換動(dòng)態(tài)內(nèi)容對協(xié)議實(shí)施方法級控制BlueCoatWebFilteronBlueCoatSGcombineshigh-qualityURLfilteringandcomprehensivewebcontentcontrolsforunmatchedperformanceandsecurity.BlueCoat云——WebPulse80+分類,50語言,每天處理超過6Billion的URL請求分類分析內(nèi)容,form,鏈接和源URL

啟發(fā)式分析和二進(jìn)制掃描

對可疑站點(diǎn)進(jìn)行“信譽(yù)”分類

為策略規(guī)則進(jìn)行交叉分類

支持地區(qū)URL列表和客戶化的URL數(shù)據(jù)庫/分類Allow/deny列表,加上客戶化的“例外”和提示

為安全模式搜索提供“頭”檢測/重寫

通過客戶化的提示來指導(dǎo)和提示用戶針對不知道和動(dòng)態(tài)鏈接進(jìn)行實(shí)時(shí)分類(DRTR)23ProxySGWebFilter討厭的內(nèi)容Image搜索

搜索引擎緩存

翻譯服務(wù)Proxy屏蔽“釣魚”檢測WebPulseWebPulse如何工作UsersProxySGWeb內(nèi)容被掛馬網(wǎng)站MultipleThreatEnginesMachineAnalysisHumanRatersWebPulse數(shù)據(jù)中心InternetIt’sgoodDon’tKnowProxySGProxySGIt’sbadIt’sBadIt’sBad實(shí)時(shí)更新K-9WebProtectProxyClientProxySGProxyAVBCWFFullListBCWFFullList16種來源

簽名

行為

啟發(fā)式

評分

沙箱威脅分析后臺深層分析(DBRA)2Secs–2hrsRTTBalancedURLMalware

“Uncategorized”送到WebPulse進(jìn)行動(dòng)態(tài)實(shí)時(shí)分類

62M+UserCommunity45B+請求/周

5Min更新一次RatingServers

每天300M單獨(dú)請求

每周1.2B請求的“分析”50語言

快

(ms)？–試一下！RealTime邊界

WebPulse客戶端WebPulse云服務(wù)DynamicURLCacheDynamicURLCacheDynamicURLCacheURL&ContentTrainersANZMasterRatingDatabaseVACAHKUKNew:

中國服務(wù)點(diǎn)即將服務(wù)InternetInternalNetworkBlueCoatAVBlueCoatSGProxy/CacheICAP+惡意軟件檢查病毒、特洛伊木馬、蠕蟲、間諜軟件等高性能線速Web病毒掃描（與SG配合）內(nèi)容緩存可達(dá)24-32%性能提高“掃描一次，服務(wù)多次”“指紋緩存”：指紋Hash避免重復(fù)掃描智能的AV-Cache集成ICAP+協(xié)議，附帶時(shí)間標(biāo)簽，病毒代碼庫發(fā)生變化時(shí)，重新掃描ProxySG緩存中的內(nèi)容，

確保最新的保護(hù)和最快的性能掃描引擎和病毒代碼庫自動(dòng)更新掃描高達(dá)2GB的文件分析深達(dá)99層的壓縮檔案ProxyAV，線速的Web病毒掃描BlueCoatReporter9REPORTER9簡單易用可定制化的面板、提供基于每個(gè)用戶的報(bào)表可建立本地管理用戶50可以與目錄系統(tǒng)結(jié)合（AD/LDAP）生成報(bào)表速度快三種版本:

Standard:50Mloglines,（適用于擁有750個(gè)用戶的網(wǎng)絡(luò)，日志保留時(shí)間為60天）Enterprise:2.5Bloglines,（適用于擁有35,000個(gè)用戶的網(wǎng)絡(luò)，日志保留時(shí)間為60天）Premium:10Bloglines,（適用于擁有150,000個(gè)用戶的網(wǎng)絡(luò)，日志保留時(shí)間為60天）反向代理主要功能及技術(shù)實(shí)現(xiàn)統(tǒng)一報(bào)表BlueCoatSurfControlWebsenseSmartfilterEnvision認(rèn)證NT,AD,LDAP,RADIUS,WindowsandNovellSSO,LocalFile,GuestSSL通信監(jiān)控CertificateEmulationHWAccelerationDecryptionforICAP&DLP用戶登錄SSOw/I.E.6andupDLP數(shù)據(jù)泄露防護(hù)(evenHTTPS)ProxyAV安全威脅掃描InternetProxySGICAPS-ICAPICAPICAP+S-ICAP企業(yè)內(nèi)網(wǎng)多協(xié)議支持的代理服務(wù)精細(xì)的策略控制及高效加速HTTP,SOCKSv4/5,HTTPS,FTP,Streaming(RTSP,MMS,RTMP),DNS,TCPTunnel上網(wǎng)內(nèi)容緩存加速保護(hù)Web服務(wù)器

將Web服務(wù)器從互聯(lián)網(wǎng)隔離

控制對Web服務(wù)器的訪問

對上傳文件進(jìn)行病毒掃描

通過加密保護(hù)數(shù)據(jù)加速Web內(nèi)容

處理高峰流量

出來動(dòng)態(tài)和靜態(tài)內(nèi)容

提供加密通訊反向代理典型應(yīng)用保護(hù)和加速公共網(wǎng)站通過集成的緩存改善內(nèi)容傳達(dá)抵御DoS攻擊，同時(shí)為正常用戶提供服務(wù)高性能的SSLDataCenterFirewallUsersPublicInternetWebFarmDMZFirewallProxySGUserconnectsviaHTTP(S)用戶嘗試通過HTTP（S）連接Web網(wǎng)站.

ProxySG將被請求的內(nèi)容存下來，并將內(nèi)容提供給用戶如果請求的內(nèi)容不在緩存中，ProxySG從Web服務(wù)器獲取內(nèi)容

ProxySG在內(nèi)部緩存中檢查被請求的內(nèi)容.ProxySGimmediatelystoresrequestedcontentincacheanddeliversacceleratedcontenttouser.ProxySGchecksinternalcacheforrequestedcontent.Ifnotincache,ProxySGretrievescontentfromwebserver.反向代理典型應(yīng)用安全的企業(yè)Web郵件將Web服務(wù)器與互聯(lián)網(wǎng)隔離代理認(rèn)證增加了一個(gè)保護(hù)層即插即用的SSLAuthenticationServer(LDAP,NTLM,etc.)DataCenterFirewallUsersPublicInternetE-mailWebServerDMZFirewallProxySGUserconnectsviaHTTPS

ProxySGsecurelydeliversaccelerated

contenttoauthenticated,authorizeduser.

Authenticateduserchecked

againstpolicyinProxySG

ProxySGconnectsviaHTTP(S)用戶嘗試通過HTTPS連接Email的Web服務(wù)器.

ProxySG

安全地將內(nèi)容傳遞給通過認(rèn)證的用戶在SG中對通過認(rèn)證的用戶進(jìn)行策略檢查.

ProxySG

通過HTTP（S）連接認(rèn)證服務(wù)器.反向代理典型應(yīng)用掃描上傳文件的病毒與ProxyAV?簡便集成對上傳內(nèi)容進(jìn)行實(shí)時(shí)掃描保護(hù)Web系統(tǒng)，抵御有害代碼的攻擊AuthenticationServer(LDAP,NTLM,etc.)DataCenterFirewallPublicInternetDMZFirewallProxySGProxyAVICAP+授權(quán)用戶試圖上傳病毒感染的文件.ProxyAV

執(zhí)行實(shí)時(shí)病毒掃描.