XXX公司梭子魚(yú)應(yīng)用防火墻解決方案

XXX公司梭子魚(yú)應(yīng)用防火墻解決方案 Confidential PagePAGE2 DATE2/19/2009BarracudaCorporationXXX公司梭子魚(yú)應(yīng)用防火墻解決方案目錄概要 2一. 什么是web應(yīng)用漏洞，這些漏洞會(huì)造成怎樣嚴(yán)重的后果 3二. 整個(gè)Web應(yīng)用的安全現(xiàn)狀 4客戶(hù)需求與分析 8一． 客戶(hù)背景 8二．XXX公司的相關(guān)需求 9XXX公司梭子魚(yú)應(yīng)用防火墻解決方案 10一．梭子魚(yú)Web應(yīng)用防火墻 10二． 網(wǎng)絡(luò)架構(gòu)和部署 10三． 梭子魚(yú)應(yīng)用防火墻特性 121.終止 122.安全 153.加速 19 概要非常感謝XXX公司能夠提供這次在機(jī)會(huì)，使梭子魚(yú)應(yīng)用防火墻能夠在其信息中心進(jìn)行全面的測(cè)試。梭子魚(yú)應(yīng)用防火墻是一款架設(shè)在web應(yīng)用服務(wù)前端的安全網(wǎng)關(guān)，通過(guò)簡(jiǎn)單的，快速的部署，能夠滿(mǎn)足對(duì)大型企業(yè)等客戶(hù)來(lái)說(shuō)至關(guān)重要的安全要求。梭子魚(yú)應(yīng)用防火墻不僅能在ISO七層阻斷已知和未知的攻擊，同時(shí)還提供了安全的事務(wù)日志，告訴SSL加密/解密以及安全應(yīng)用訪問(wèn)。簡(jiǎn)單通俗地說(shuō)，梭子魚(yú)為web應(yīng)用提供了傳統(tǒng)防火墻和VPN的安全機(jī)制。這樣，可以使您網(wǎng)絡(luò)在最小改動(dòng)的情況下，增強(qiáng)對(duì)web站點(diǎn)和應(yīng)用的可靠性。梭子魚(yú)使web應(yīng)用安全變得易如反掌。所以，我們相信通過(guò)使用梭子魚(yú)應(yīng)用防火墻，能夠成功地幫助XXX公司實(shí)現(xiàn)對(duì)web安全應(yīng)用的關(guān)鍵需求。您需要了解的相關(guān)信息什么是web應(yīng)用漏洞，這些漏洞會(huì)造成怎樣嚴(yán)重的后果Web應(yīng)用由于其開(kāi)發(fā)的特點(diǎn)－經(jīng)常更改，不徹底的開(kāi)發(fā)編寫(xiě)，沒(méi)有經(jīng)過(guò)嚴(yán)格的測(cè)試，導(dǎo)致web應(yīng)用出現(xiàn)了很多的漏洞，這些漏洞甚至將整個(gè)企業(yè)暴露給了外界。相關(guān)組織不得不定期的檢查是否存在web應(yīng)用漏洞，簡(jiǎn)單地測(cè)試來(lái)總結(jié)一些對(duì)策，保護(hù)web應(yīng)用不受攻擊。下面列舉一些最為典型的攻擊類(lèi)型，這些攻擊將會(huì)導(dǎo)致非常嚴(yán)重的安全事件：緩存溢出—差勁的應(yīng)用編碼會(huì)嘗試將應(yīng)用數(shù)據(jù)存儲(chǔ)于緩存中，而不是正常的分配，這將最終導(dǎo)致一個(gè)攻擊，借此，惡意代碼將溢出到另外一個(gè)緩存中來(lái)執(zhí)行惡意代碼。跨站點(diǎn)腳本攻擊—攻擊類(lèi)型的代碼數(shù)據(jù)被插入到另外一個(gè)可信任區(qū)域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來(lái)執(zhí)行攻擊服務(wù)拒絕攻擊—這種攻擊會(huì)導(dǎo)致服務(wù)沒(méi)有能力為正常業(yè)務(wù)提供服務(wù)異常錯(cuò)誤處理—錯(cuò)誤發(fā)生時(shí)，向用戶(hù)提交錯(cuò)誤提示是很正常的事情，但是如果提交的錯(cuò)誤提示中包含了太多的內(nèi)容，就有可能會(huì)被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。有問(wèn)題的或者不存在的sessionID—當(dāng)sessionID沒(méi)有被正常使用時(shí)，攻擊者可以破壞Web會(huì)話(huà)，并且實(shí)施多個(gè)攻擊（通過(guò)冒用其他的可信任的憑證），借此來(lái)繞開(kāi)認(rèn)證機(jī)制。命令注入—-如果沒(méi)有成功的阻止帶有語(yǔ)法含義的輸入內(nèi)容，有可能導(dǎo)致對(duì)數(shù)據(jù)庫(kù)信息的非法訪問(wèn)。比如在Web表單中輸入的內(nèi)容（SQL語(yǔ)句），應(yīng)該保持簡(jiǎn)單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。脆弱的認(rèn)證—利用脆弱的認(rèn)證機(jī)制或者未加密的數(shù)據(jù)來(lái)獲得訪問(wèn)，破壞和控制數(shù)據(jù)是一個(gè)非常嚴(yán)重的問(wèn)題。通過(guò)正確的開(kāi)發(fā)Web應(yīng)用可以輕而易舉的避免此問(wèn)題。未受保護(hù)的參數(shù)傳遞—利用統(tǒng)一資源標(biāo)識(shí)符（URL）和隱藏的HTML標(biāo)記可以傳遞參數(shù)給瀏覽器，瀏覽器在將HTML傳回給服務(wù)器之前，是不會(huì)修改這些參數(shù)的。不安全的存儲(chǔ)－對(duì)于Web應(yīng)用程序來(lái)說(shuō)，妥善的保存密碼，用戶(hù)名，以及其它與身份驗(yàn)證有關(guān)的信息是非常重要的工作。對(duì)這些信息進(jìn)行加密是非常有效的方式，但是一些企業(yè)會(huì)采用那些未經(jīng)實(shí)踐驗(yàn)證的加密解決方案，其中就可能存在漏洞。非法輸入--在數(shù)據(jù)被輸入程序前忽略對(duì)數(shù)據(jù)合法性的檢驗(yàn)，是一個(gè)常見(jiàn)的編程漏洞。隨著我們對(duì)Web應(yīng)用程序脆弱性的調(diào)查，非法輸入的問(wèn)題已經(jīng)成為了大多數(shù)Web應(yīng)用程序安全漏洞的一個(gè)主要特點(diǎn)。整個(gè)Web應(yīng)用的安全現(xiàn)狀目前中國(guó)互聯(lián)網(wǎng)發(fā)展態(tài)勢(shì)良好。來(lái)自中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心的數(shù)據(jù)表明，截至2007年年底，國(guó)內(nèi)網(wǎng)民數(shù)已達(dá)到2.1億；中國(guó)域名總數(shù)是1193萬(wàn)個(gè)，年增長(zhǎng)率達(dá)到190.4%；中國(guó)網(wǎng)站數(shù)量已有150萬(wàn)；中國(guó)網(wǎng)頁(yè)總數(shù)已經(jīng)有84.7億個(gè)，年增長(zhǎng)率達(dá)到89.4%。2008年年初，投行MorganStanley預(yù)測(cè)，未來(lái)幾個(gè)月中國(guó)網(wǎng)民數(shù)將超過(guò)美國(guó)，成為全球第一。欣喜之余，我們發(fā)現(xiàn)：Web應(yīng)用越來(lái)越為豐富的同時(shí)，Web服務(wù)器以其強(qiáng)大的計(jì)算能力、處理性能及蘊(yùn)含的較高價(jià)值逐漸成為主要攻擊目標(biāo)。SQL注入、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等安全事件，頻繁發(fā)生。來(lái)自網(wǎng)絡(luò)世界（NetworkWorld）的報(bào)導(dǎo)，2008年5月13日，在中國(guó)大陸、香港及臺(tái)灣地區(qū)有數(shù)萬(wàn)個(gè)網(wǎng)站遭遇新一輪SQL注入攻擊，并引發(fā)大規(guī)模掛馬。在過(guò)去的4個(gè)月中，之前已有3次大規(guī)模攻擊，受害者包括某知名防病毒軟件廠商網(wǎng)站、歐洲某政府網(wǎng)站和某國(guó)際機(jī)構(gòu)網(wǎng)站在內(nèi)的多家互聯(lián)網(wǎng)網(wǎng)站，感染頁(yè)面數(shù)最多超過(guò)10，000頁(yè)面/天。2007年，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱(chēng)CNCERT/CC）監(jiān)測(cè)到中國(guó)大陸被篡改網(wǎng)站總數(shù)累積達(dá)61228個(gè)，比去年增加了1.5倍。其中，中國(guó)大陸政府網(wǎng)站被篡改各月累計(jì)達(dá)4234個(gè)。Google最新數(shù)據(jù)①表明，過(guò)去10個(gè)月中，Google通過(guò)對(duì)互聯(lián)網(wǎng)上幾十億URL進(jìn)行抓取分析，發(fā)現(xiàn)有300多萬(wàn)個(gè)惡意URL。其中，中國(guó)的惡意站點(diǎn)占到了總數(shù)的67%。我國(guó)近期網(wǎng)站被篡改情況2008年1月至10月，我國(guó)網(wǎng)站被篡改數(shù)量的月度情況統(tǒng)計(jì)如下圖所示：由上圖可見(jiàn)，相對(duì)于香港和臺(tái)灣，大陸的網(wǎng)站安全現(xiàn)狀不容樂(lè)觀，每月都有大量的網(wǎng)站被篡改，網(wǎng)站安全隱患出處可見(jiàn)。[注：該數(shù)據(jù)來(lái)自CNNIC2008年10月中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告]。公司在有限的時(shí)間和預(yù)算壓力下，開(kāi)發(fā)出的Web應(yīng)用缺乏對(duì)安全的考慮開(kāi)發(fā)人員，執(zhí)行人員和測(cè)試人員都沒(méi)有接受過(guò)專(zhuān)業(yè)的安全培訓(xùn)；他們大都關(guān)注于Web應(yīng)用是否符合實(shí)際的需求。公司同時(shí)需要耗費(fèi)其他資源來(lái)防止和限制對(duì)應(yīng)用的錯(cuò)誤使用。.相關(guān)的行業(yè)標(biāo)準(zhǔn)正推動(dòng)Web應(yīng)用安全MasterCard和Visa信用卡提出了所有存儲(chǔ)，處理或者傳輸持卡人數(shù)據(jù)的成員機(jī)構(gòu)，商業(yè)機(jī)構(gòu)，服務(wù)提供商都必須符合PaymentCardIndustry(PCI)DataSecurityStandard。PCI標(biāo)準(zhǔn)強(qiáng)制所有涉及到持卡人數(shù)據(jù)環(huán)境的Web軟件和應(yīng)用都必須基于安全的編碼方針，并且必須符合OpenWebApplicationSecurityProject(OWASP)的協(xié)議。隨著在其他行業(yè)中，軟件安全需求意識(shí)的提高，這些指導(dǎo)方針對(duì)那些不安全的Web應(yīng)用提出了挑戰(zhàn)。越來(lái)越多的安全組織的加入標(biāo)識(shí)著我們將會(huì)有更多的選擇和培訓(xùn)的機(jī)會(huì)。當(dāng)前，軟件安全已經(jīng)在各大安全會(huì)議上成為了一個(gè)重要的話(huà)題，包括RSAConference2006,theBlackHatconventions,以及thenewSoftwareSecuritySummit.。軟件安全專(zhuān)家變得越來(lái)越普遍，更多地出現(xiàn)在包括OWASP，WebApplicationSecurityConsortium(WASC)以及BuildSecurityIn.這些組織中以及一些書(shū)本中。另外，更多的工具和產(chǎn)品的出現(xiàn)都給市場(chǎng)帶了新的生氣。客戶(hù)需求與分析客戶(hù)背景企業(yè)，公司或者組織需要將Web應(yīng)用安全作為一部分，包括在他們的安全管理部署之中。據(jù)統(tǒng)計(jì)，90％的外部訪問(wèn)應(yīng)用，如今，還是直接面向web服務(wù)器，其中的三分之二具有可以被攻擊的漏洞，能夠是黑客輕易的控制和破壞服務(wù)器和服務(wù)。因?yàn)閃eb應(yīng)用是可以使用瀏覽器進(jìn)行外部訪問(wèn)的服務(wù)，攻擊者可以輕而易舉的繞開(kāi)邊界安全設(shè)備，通常這些設(shè)備對(duì)80和443的端口都沒(méi)有做任何限制。因此我們推薦XXX公司使用梭子魚(yú)應(yīng)用防火墻來(lái)實(shí)現(xiàn)對(duì)Web應(yīng)用漏洞的檢測(cè)和防護(hù)。XXX公司是由上海精文投資有限公司、上海文化廣播影視集團(tuán)、上海文廣新聞傳媒集團(tuán)、上海東方明珠（集團(tuán)）股份有限公司、上海信息投資股份有限公司、文匯新民聯(lián)合報(bào)業(yè)集團(tuán)、解放日?qǐng)?bào)報(bào)業(yè)集團(tuán)、上海教育電視臺(tái)、勞動(dòng)報(bào)社、青年報(bào)社聯(lián)合組建的有新聞特色的大型綜合性網(wǎng)站。XXX公司于2000年5月28日開(kāi)通。目前，東方網(wǎng)旗下主管報(bào)社1家（《城市導(dǎo)報(bào)》），控股和參股公司14家（包括東方網(wǎng)點(diǎn)、東方數(shù)字社區(qū)、東方怡動(dòng)、東方網(wǎng)誠(chéng)、東方誠(chéng)心等）。配合XXX公司如此的一個(gè)大型的綜合性網(wǎng)站，其后臺(tái)的web應(yīng)用服務(wù)器集群也是非常龐大的，達(dá)到30～40臺(tái)之多。合作伙伴，客戶(hù)，用戶(hù)都是通過(guò)其網(wǎng)站來(lái)登錄訪問(wèn)東方網(wǎng)提供的網(wǎng)絡(luò)電視，網(wǎng)路電臺(tái)，以及聊天室等等的其他服務(wù)。同時(shí)，東方網(wǎng)擁有3個(gè)語(yǔ)種、80個(gè)主體頻道；200多萬(wàn)日均用戶(hù)、2000多萬(wàn)日均頁(yè)讀數(shù)（PV）；有1000余項(xiàng)網(wǎng)絡(luò)技術(shù)應(yīng)用；為上海1000多家單位以及中國(guó)上海政府網(wǎng)站、世博會(huì)官方網(wǎng)站等重大項(xiàng)目提供網(wǎng)絡(luò)平臺(tái)服務(wù)?？上攵幱谧钔鈱拥膚eb應(yīng)用的安全是至關(guān)重要的，通過(guò)保護(hù)web應(yīng)用的安全能夠有效的屏蔽內(nèi)部網(wǎng)路和后臺(tái)數(shù)據(jù)，使其對(duì)外不可見(jiàn)，防止因?yàn)橛捎趙eb應(yīng)用被攻擊導(dǎo)致后臺(tái)服務(wù)的宕機(jī)，重要數(shù)據(jù)的破壞和泄漏。另外，由于web應(yīng)用的開(kāi)發(fā)工作是在多年前完成的，如果需要防護(hù)web層面的應(yīng)用攻擊，那么就必須花費(fèi)大量的時(shí)間，精力和人力來(lái)對(duì)原本的代碼進(jìn)行大規(guī)模的優(yōu)化，不管在管理層面上還是執(zhí)行層面上來(lái)說(shuō)，都不是一個(gè)最佳的解決方案。以上內(nèi)容更具不同用戶(hù)編寫(xiě)二．XXX公司的相關(guān)需求對(duì)包括SQL注入，命令注入，緩存溢出，跨站點(diǎn)腳本攻擊等數(shù)十種已知的web應(yīng)用攻擊進(jìn)行有效的防護(hù)，不影響正常的web應(yīng)用流量以及其他的應(yīng)用流量對(duì)未知的web應(yīng)用攻擊能夠有效地防護(hù)，并伴隨智能學(xué)習(xí)能力實(shí)現(xiàn)雙向過(guò)濾能力實(shí)現(xiàn)站點(diǎn)的虛擬化，實(shí)現(xiàn)后臺(tái)真實(shí)服務(wù)器和真實(shí)域名對(duì)外界的非可見(jiàn)性SSLoffloading功能，加速SSL流量連接復(fù)用功能，實(shí)現(xiàn)TCP連接池應(yīng)用防火墻熱備功能，避免單點(diǎn)故障，實(shí)現(xiàn)statefulfailover多種認(rèn)證機(jī)制的支持，包括LDAP,AAA,RADIUS,ADetc多種部署方式，簡(jiǎn)單管理，提供圖形化界面符合PCI-DSS，OWASP，WASC協(xié)議標(biāo)準(zhǔn)無(wú)需改動(dòng)現(xiàn)有的web應(yīng)用代碼XXX公司梭子魚(yú)應(yīng)用防火墻解決方案一．梭子魚(yú)Web應(yīng)用防火墻梭子魚(yú)應(yīng)用防火墻產(chǎn)品是一款集成化的產(chǎn)品，它能夠在完全的獲取和管理Web應(yīng)用過(guò)程中進(jìn)與出的每一個(gè)事務(wù)。同時(shí)它也是一款高性能，雙向HTTP代理設(shè)備，允許系統(tǒng)管理員針對(duì)每一個(gè)應(yīng)用的每一個(gè)會(huì)話(huà)指定精確的安全，內(nèi)容和流量的規(guī)則。梭子魚(yú)提供企業(yè)級(jí)的應(yīng)用防火墻?；谒笞郁~(yú)私有的操作系統(tǒng)，應(yīng)用防火墻通過(guò)終止，安全，加速web應(yīng)用會(huì)話(huà)流量，提供給數(shù)據(jù)中心一個(gè)非常有價(jià)值的解決方案，來(lái)控制至關(guān)重要的web應(yīng)用。梭子魚(yú)產(chǎn)品的拓?fù)浜凸芾硎欠浅：?jiǎn)單的。最重要的是，梭子魚(yú)應(yīng)用防火墻是完全遵循WASC和OWASP組織的協(xié)議來(lái)開(kāi)發(fā)的。根據(jù)東XXX公司目前網(wǎng)絡(luò)拓?fù)錉顩r，因?yàn)橐呀?jīng)包含了F5的負(fù)載均衡設(shè)備對(duì)后臺(tái)的web服務(wù)器進(jìn)行流量負(fù)載，梭子魚(yú)推薦使用NC－2000AF配合原先的F5負(fù)載均衡設(shè)備，實(shí)現(xiàn)安全，負(fù)載，加速。使整個(gè)站點(diǎn)從性能和安全上提升一個(gè)新的臺(tái)階。（根據(jù)用戶(hù)情況而定）網(wǎng)絡(luò)架構(gòu)和部署雙臂代理模式（視項(xiàng)目而定）雙臂代理模式是web應(yīng)用防火墻部署種的最佳模式。這個(gè)模式也是拓?fù)溥^(guò)程中推薦的模式，能夠提供最佳的安全性能。在此模式中，所有的數(shù)據(jù)端口都將被開(kāi)啟；端口eth1是對(duì)外的，直接面向因特網(wǎng)的端口；端口eth2將會(huì)和內(nèi)部的設(shè)備（交換機(jī)等）進(jìn)行連接，是面向內(nèi)部的。管理端口可以被分配到另一個(gè)網(wǎng)段，我們推薦將管理數(shù)據(jù)和實(shí)際的流量分離，避免因?yàn)閷?shí)際流量和管理數(shù)據(jù)的沖突。以下為示例拓?fù)鋱D：網(wǎng)絡(luò)實(shí)現(xiàn)：前端端口和后端端口位于不同的網(wǎng)段，所有外部客戶(hù)將會(huì)和應(yīng)用虛擬IP地址進(jìn)行連接，此虛擬ip將會(huì)和前端端口（eth1）進(jìn)行綁定客戶(hù)的連接將會(huì)在設(shè)備上終止，進(jìn)行安全檢查和過(guò)濾合法的流量將會(huì)由后端端口（eth2）建立新的連接到負(fù)載均衡設(shè)備負(fù)載均衡進(jìn)行流量的負(fù)載雙臂代理模式可以開(kāi)啟所有的安全功能Note：此種部署模式，會(huì)暫時(shí)性的造成應(yīng)用的不可訪問(wèn)性?？梢愿鶕?jù)實(shí)際需求，在部署過(guò)程中，局部分層次的進(jìn)行。梭子魚(yú)應(yīng)用防火墻特性1.終止TCP會(huì)話(huà)終止

Web應(yīng)用防火墻進(jìn)行TCP握手的優(yōu)勢(shì)（終止）：在發(fā)往真實(shí)服務(wù)器之前，完全控制會(huì)話(huà)，并實(shí)行安全策略實(shí)現(xiàn)應(yīng)用加速功能卸載諸如SSL之類(lèi)的運(yùn)算狀態(tài)網(wǎng)絡(luò)防火墻擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢(shì):實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)防火墻的ACL，NAT，PAT等規(guī)則的設(shè)定保護(hù)內(nèi)部網(wǎng)絡(luò)免受2～4層的網(wǎng)絡(luò)攻擊：PreventSYNfloodPreventtoomanyhalf-openconnectionsPreventsportscanningandnetworkreconnaissanceSSL終止SSL終止的優(yōu)勢(shì)：卸載高強(qiáng)度計(jì)算的SSL加密，使應(yīng)用服務(wù)器CPU占用率大大降低自定義的局部網(wǎng)站加密，無(wú)需改動(dòng)任何代碼在進(jìn)行內(nèi)部網(wǎng)絡(luò)之前，解密SSL加密數(shù)據(jù)HTTP協(xié)議合規(guī)化HTTP合規(guī)化的優(yōu)勢(shì)在于：強(qiáng)制符合標(biāo)準(zhǔn)化協(xié)議自動(dòng)解碼，并識(shí)別和阻斷被編碼的數(shù)據(jù)HTTP包頭重寫(xiě)HTTP包頭重寫(xiě)可以：防止信息泄漏和掃描提供更得心應(yīng)手得流量管理提供獨(dú)一無(wú)二得應(yīng)用層功能URL轉(zhuǎn)換URL轉(zhuǎn)換的優(yōu)勢(shì)：提供應(yīng)用層偽裝針對(duì)客戶(hù)只暴露一個(gè)簡(jiǎn)單的名稱(chēng)結(jié)構(gòu)URL速率控制URL速率控制能夠幫助您實(shí)現(xiàn)：后端應(yīng)用服務(wù)器收到指定速率的請(qǐng)求防止應(yīng)用服務(wù)器過(guò)載提供一個(gè)控制應(yīng)用的事務(wù)中心2.安全應(yīng)用偽裝應(yīng)用偽裝能保護(hù)使您的應(yīng)用和外界完全屏蔽：隱藏所有服務(wù)器，操作系統(tǒng)，應(yīng)用服務(wù)，web服務(wù)的結(jié)構(gòu)防止wormsandbots對(duì)應(yīng)用進(jìn)行掃描認(rèn)證與授權(quán)拒絕/同意被認(rèn)證授權(quán)的用戶(hù)在URL級(jí)別設(shè)置訪問(wèn)控制列表能為安全審計(jì)提供詳細(xì)的日志和報(bào)表表格保護(hù)表格保護(hù)能夠：防止因?yàn)?/p>