Citrix 應(yīng)用防火墻介紹

挫敗繞過網(wǎng)絡(luò)防火墻和IPS設(shè)備的攻擊

Citrix?ApplicationFirewall可保護(hù)Web應(yīng)用免遭日益增多的應(yīng)用層攻擊，如緩沖區(qū)溢出、SQL注入、跨站點(diǎn)腳本攻擊等。除了業(yè)經(jīng)驗(yàn)證的出色攻擊防御特性外，CitrixApplicationFirewall還能確保機(jī)密的企業(yè)信息和敏感的客戶數(shù)據(jù)的安全性，保護(hù)身份資料免遭失竊。

性能卓越的Web應(yīng)用安全解決方案

CitrixApplicationFirewall提供了業(yè)界性能最卓越的Web應(yīng)用安全解決方案，可有效保護(hù)Web服務(wù)器的安全，改善應(yīng)用響應(yīng)時(shí)間，且不會(huì)降低數(shù)據(jù)吞吐率。其出色的性能可滿足任何企業(yè)或數(shù)據(jù)中心的需求。

積極的安全模式

基于HTML的HTTP行業(yè)標(biāo)準(zhǔn)和最佳編碼實(shí)踐，CitrixApplicationFirewall的安全技術(shù)采用了積極的安全模式。任何背離積極安全模式的Web應(yīng)用行為都將被當(dāng)作潛在的威脅對(duì)待，并加以阻止。

通過識(shí)別正確的應(yīng)用行為，積極的安全模式不依賴攻擊特征符或型樣匹配技術(shù)就能檢測(cè)并阻止攻擊。CitrixApplicationFirewall是唯一經(jīng)過驗(yàn)證的可對(duì)未發(fā)布攻擊實(shí)施全天候防御的軟件。

適性化學(xué)習(xí)引擎

除了可對(duì)Web威脅提供現(xiàn)成的保護(hù)外，CitrixApplicationFirewall還可定制針對(duì)各種應(yīng)用的安全策略，包括使用客戶端Java腳本的策略。思杰的第三代適性化學(xué)習(xí)引擎能自動(dòng)識(shí)別應(yīng)用行為，生成建議性可讀策略，這會(huì)幫助安全管理員更清楚地了解實(shí)際的應(yīng)用行為，然后針對(duì)每個(gè)應(yīng)用實(shí)施自定義安全策略和嚴(yán)格的接入控制。

保護(hù)Web應(yīng)用

在目前的互聯(lián)網(wǎng)攻擊中，有超過70%是利用了應(yīng)用程序的漏洞，請(qǐng)?jiān)敿?xì)了解一下屢獲殊榮的CitrixApplicationFirewall吧。

靈活的部署選項(xiàng)

CitrixApplicationFirewall可單獨(dú)部署，也可與CitrixNetScalerApplicationDeliverySystems一起部署。

ApplicationFirewall集群提供了更高的可用型以及線性性能效益，以滿足大型Web應(yīng)用數(shù)據(jù)中心的要求，并具備出色的active/active可用性。

----------------------------------------------------------

高性能的Web應(yīng)用交付解決方案

作為高性能的安全設(shè)備解決方案，CitrixApplicationFirewall?阻止了所有已知和未知的針對(duì)Web應(yīng)用和基礎(chǔ)架構(gòu)的攻擊。CitrixApplicationFirewall采用了積極的安全模式，只允許執(zhí)行那些正確的應(yīng)用行為，而且不依賴攻擊特征符。它分析了所有雙向流量，包括SSL加密通信，阻止了16大類Web應(yīng)用漏洞攻擊，同時(shí)不對(duì)應(yīng)用作出任何更改。

CitrixApplicationFirewall技術(shù)可以作為CitrixNetScaler的一個(gè)可選功能或作為一個(gè)單獨(dú)的產(chǎn)品提供。單獨(dú)的CitrixApplicationFirewall可用于滿足一系列性能需求的設(shè)備，并且能夠與市面上的多種負(fù)載均衡的解決方案兼容。

應(yīng)對(duì)當(dāng)今的安全挑戰(zhàn)

Web應(yīng)用容易受到來自Internet以及機(jī)構(gòu)內(nèi)部的功擊與威脅，因?yàn)樗鼈兦岸说臄?shù)據(jù)庫存儲(chǔ)了敏感而且有價(jià)值的信息。自定義和分層Web應(yīng)用很容易受到攻擊，采用固定特征符或補(bǔ)丁程序很難保護(hù)好這些應(yīng)用。網(wǎng)絡(luò)級(jí)安全基礎(chǔ)架構(gòu)如防火墻和入侵防御系統(tǒng)不能抵御應(yīng)用層攻擊，從而將Web應(yīng)用和服務(wù)器暴露給了大量已知和未知的攻擊和威脅。CitrixApplicationFirewall通過為所有Web應(yīng)用提供集中化的應(yīng)用層安全性而全面應(yīng)對(duì)了這一挑戰(zhàn)。

積極的安全模式的好處

CitrixApplicationFirewall采用了積極的安全模式來確保執(zhí)行正確的應(yīng)用行為。這種安全模式不靠攻擊特征符或型樣匹配技術(shù)就能識(shí)別“好”的應(yīng)用行為，并阻止任何背離了正確應(yīng)用活動(dòng)的惡意行為。CitrixApplicationFirewall是唯一經(jīng)過驗(yàn)證的可對(duì)未發(fā)布攻擊實(shí)施全天候防御的軟件。

有效的業(yè)務(wù)對(duì)象保護(hù)

CitrixApplicationFirewall實(shí)時(shí)阻止了敏感應(yīng)用內(nèi)容的無意泄露，這種無意的內(nèi)容泄露會(huì)導(dǎo)致身份信息盜用和欺詐行為。業(yè)務(wù)對(duì)象保護(hù)模塊可保護(hù)像信用卡或借記卡號(hào)碼這種預(yù)見確定的對(duì)象以及其它管理上定義的數(shù)據(jù)對(duì)象的安全。通過檢測(cè)錯(cuò)誤泄露以及阻止或重寫內(nèi)容，業(yè)務(wù)對(duì)象保護(hù)模塊協(xié)助企業(yè)滿足了政府制定的隱私法規(guī)以及行業(yè)法規(guī)，如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）。

采用Citrix適性化學(xué)習(xí)引擎來自定義安全策略

CitrixApplicationFirewall融合了第三代自適應(yīng)學(xué)習(xí)引擎，這種引擎能識(shí)別各個(gè)方面的應(yīng)用行為，即使Web應(yīng)用允許執(zhí)行，這些行為也有可能會(huì)受到積極的安全模式的阻止。一旦檢測(cè)到應(yīng)用行為，ApplicationFirewall就會(huì)生成建議性可讀策略，這會(huì)幫助安全主管更清楚地了解實(shí)際的應(yīng)用行為，然后針對(duì)每個(gè)應(yīng)用實(shí)施自定義安全策略。

業(yè)界領(lǐng)先的性能

與其它高性能Web服務(wù)器相比較，CitrixApplicationFirewall的性能遠(yuǎn)遠(yuǎn)高過它們，通過卸載Web服務(wù)器的計(jì)算和存儲(chǔ)密集型TCP連接管理，該軟件有效地改善了應(yīng)用性能和響應(yīng)時(shí)間。ApplicationFirewall與服務(wù)器之間的通信只采用了少量持久TCP連接。

基于硅元件開發(fā)的專用SSL硬件可檢測(cè)出加密信道中的惡意流量。通過減少服務(wù)器的此類操作，SSL加密和密鑰生成卸載改善了總的應(yīng)用性能。還有另外一個(gè)選擇就是對(duì)ApplicationFirewall到應(yīng)用服務(wù)器的通信過程進(jìn)行完全加密。

集中保護(hù)所有Web應(yīng)用的安全

ApplicationFirewall可利用每個(gè)應(yīng)用的安全策略、控制、報(bào)告細(xì)節(jié)和記錄數(shù)據(jù)的完全分離來保證企業(yè)整個(gè)Web應(yīng)用基礎(chǔ)架構(gòu)的安全。

適應(yīng)不斷變化的業(yè)務(wù)需求的靈活性

ApplicationFirewall支持靈活的、逐步的Web應(yīng)用的保護(hù)部署。默認(rèn)的Web應(yīng)用保護(hù)配置抵御最常見的危險(xiǎn)威脅的同時(shí)，增加了全面的保護(hù)，防止數(shù)據(jù)竊取和4-7層拒絕服務(wù)攻擊。

高級(jí)Web應(yīng)用保護(hù)配置增加了高級(jí)Web應(yīng)用的會(huì)話層分析保護(hù)功能，此高級(jí)Web應(yīng)用包括了對(duì)敏感數(shù)據(jù)的已驗(yàn)證訪問。而且保護(hù)范圍擴(kuò)展到Cookie、格式字段和會(huì)話專用URL等動(dòng)態(tài)生成的元素。這種保護(hù)對(duì)于電子商務(wù)、在線金融服務(wù)和安全的外聯(lián)網(wǎng)應(yīng)用都是強(qiáng)制性的，并且它還具備應(yīng)用學(xué)習(xí)能力，針對(duì)行為可能會(huì)違背默認(rèn)安全策略的某些應(yīng)用幫助管理員創(chuàng)建安全策略的可管理例外。

多種硬件平臺(tái)都采用了CitrixApplicationFirewall，以滿足包括小企業(yè)和大型數(shù)據(jù)中心在內(nèi)的各大機(jī)構(gòu)的不同的性能和可用性需求。同時(shí)還提供了滿足FIPS-140-2三級(jí)標(biāo)準(zhǔn)的模塊。

CitrixApplicationFirewall產(chǎn)品概述全面保護(hù)Web應(yīng)用和Web服務(wù)器

主要特性

阻止16大類Web漏洞攻擊

●緩沖區(qū)溢出

●CGI-BIN參數(shù)處理

●表格/隱藏字段處理

●強(qiáng)制瀏覽

●信息塊或會(huì)話中毒

●被破壞的訪問控制表或弱口令

●跨站點(diǎn)腳本編寫（XSS）

●命令注入

●SQL注入

●引發(fā)敏感信息泄露的錯(cuò)誤

●不可靠的密碼系統(tǒng)應(yīng)用

●服務(wù)器錯(cuò)誤配置

●后門和調(diào)試選項(xiàng)

●網(wǎng)站涂改

●已知的平臺(tái)漏洞

●零時(shí)差攻擊

全面保護(hù)Web服務(wù)器和Web服務(wù)的安全

深度流量檢測(cè)

●雙向流量分析

●HTTP及HTML包頭和攻擊行為檢測(cè)

●HTML深層分析

●語義提取

●會(huì)話層及狀態(tài)分析

●協(xié)議中立

HTML格式字段保護(hù)

●要求字段返回

●不允許任何添加字段

●只讀和隱藏字段執(zhí)行

●下拉列表與無線按鈕字段一致性

●格式－字段的最大長度Cookie中毒防御

●確保Cookie不會(huì)更改

強(qiáng)制瀏覽保護(hù)

●合法的URL實(shí)施

Web應(yīng)用內(nèi)容的完整

●保護(hù)Web站點(diǎn)不被涂改

●阻止StopWord

SSL完全卸載

●在檢測(cè)前解除流量加密

●在上傳前執(zhí)行流量加密

●可配置的后端加密設(shè)置

●可采用FIPS140-2三級(jí)平臺(tái)

●支持客戶端證書

簡(jiǎn)化的管理和部署

用戶接口

●安全的基于Web的GUI

●基于SSH的CLI訪問網(wǎng)絡(luò)管理

●簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）

●基于Syslog的記錄

主要優(yōu)點(diǎn)

提供PCI-DSSv.1.1合規(guī)性

保護(hù)信用卡和借記卡賬號(hào)號(hào)碼，幫助機(jī)構(gòu)遵從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)

保護(hù)敏感的客戶信息