《梭子鱼应用防火墙技术白皮书》由会员分享,可在线阅读,更多相关《梭子鱼应用防火墙技术白皮书(15页珍藏版)》请在金锄头文库上搜索。
1、梭子鱼应用防火墙技术白皮书1梭梭子子鱼鱼 应应用用防防火火墙墙技技术术白白皮皮书书梭子鱼应用防火墙技术白皮书2目录目录公司简介.2一博威特网络技术公司: .2二博威特网络技术(上海)有限公司: .2梭子鱼应用防火墙.3一梭子鱼应用防火墙简介.3二梭子鱼应用防火墙功能特性.51.梭子鱼应用防火墙工作原理 .52梭子鱼应用防火墙三层防护机制 .6三梭子鱼应用防火墙安装方式.71.单臂模式 .72.桥模式 .83.代理模式(双臂模式) .9四梭子鱼应用防火墙附加功能.101.应用持续性 .102.管理简便 .113.合规性 .12五梭子鱼应用防火墙各型号功能一览表.131.企业级.132.行业级.1
2、4梭子鱼应用防火墙技术白皮书3公司简介公司简介一博威特网络技术公司一博威特网络技术公司:博威特(Barracuda)网络技术公司成立于 2002 年,是提供企业级垃圾邮件解决方案的领导者。在全球屡获殊荣,包括Network Computing杂志的编辑选择奖,并于 2004和 2005 连续获得最佳表现奖。公司的旗舰产品梭子鱼垃圾邮件防火墙系列,为世界各地超过 50,000 用户提供电子邮件安全防护,包括大量国际知名用户如 Adaptec, Knight Ridder, Caltrans, CBS,乔治亚洲技术学院, IBM,美国国家宇航局, Pizza Hut, Union PacificR
3、ailroad,和美国财政部等。博威特网络技术公司始终努力进一步拓展产品线,增加梭子鱼 Web 安全网关系列,梭子鱼安全负载均衡机系列,梭子鱼邮件存储网关系列和梭子鱼应用防火墙系列。这些新品和垃圾邮件防火墙系列一同为各种规模的企业提供完整的应用网络安全整体解决方案。博威特专业技术服务团队能够提供强大的支援。企业级解决方案广泛适用于大型企业和中小型企业。综合了众多强大功能的梭子鱼产品,兼具易用性和稳定性,赢得了来自客户的广泛赞誉和媒体、评测机构如潮的好评。二博威特网络技术(上海)有限公司二博威特网络技术(上海)有限公司:博威特网络技术(上海)有限公司是美国 Barracuda Networks
4、Inc.在中国的全资子公司。自 2004 年进入中国市场以来,取得了高速发展,相继签署了青岛啤酒、TCL 集团、科龙电器、中芯国际、浪潮集团、江西省信息中心、广州电 信、海南移动、云南移动、江西联通、河南网通等大型项目,目前中国大型企业及行业用户选用最多的反垃圾邮件及应用网络安全设备品牌。梭子鱼应用防火墙技术白皮书4梭子鱼应用防火墙梭子鱼应用防火墙一梭子鱼应用防火墙简介一梭子鱼应用防火墙简介随着网络应用的发展,企业 Web 应用日益增多,同时也面临着 Web 滥用、病毒泛滥和黑客攻击等安全问题,导致企业 Web 被篡改、数据被窃取或丢失。根据 Gartner 的统计当前网络上 75%的攻击是针
5、对 Web 应用的。攻击者通过应用层协议进入企业内部,如 Web、Web 邮件、聊天工具和 P2P 等攻击企业网络。利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换 web 网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。因此,传统的防火墙是无法进行 Web 应用防护的。防火墙工作在网络层,通过地址转换、访问控制及状态检测等功能,对企业网络进行保护。但对于应用最广泛的 Web 服务器,防火墙完全对外部网络开放 http 应用端口,这种方式对于 Web 应用没有任何的防护。防火墙无法防护上述应用层的攻
6、击。梭子鱼应用防火墙技术白皮书5据最近的美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中有 52% 的公司的系统遭受过外部入侵,但事实上他们中有 98% 的公司都装有防火墙。而这些攻击为 269 家受访公司带来的经济损失包括系统入侵、滥用 web 应用系统、网页置换、盗取私人信息及拒绝服务共计超过 1.41 亿美元。入侵检测系统作为防火墙的有利补充,加强了网络的安全防御能力。但是,入侵检测技术的作用存在一定的局限性。由于需要预先构造攻击特征库来匹配网络数据,对于未知攻击和或伪装成正常流量的攻击,入侵检测系统不能检测和防御。更重要的是,对于应用系统中某一漏洞的
7、目标攻击,他们没有任何防御能力,因为这些攻击没有明显的特征可供判断。另外就是其技术实现的矛盾,如果需要防御更多的攻击,那么就需要很多的规则,但是随着规则的增多,系统出现的虚假报告(对于入侵防御系统来说,会产生中断正常连接的问题)率会上升,同时,系统的效率会降低。图 1 Web 攻击对网络防火墙及 IDS 是不可见的梭子鱼提供的强大的梭子鱼应用防火墙产品线,能够为 Web 服务器和 Web 应用提供全面的保护既可防范已知的对 Web 应用系统及基础设施漏梭子鱼应用防火墙技术白皮书6洞的攻击,也可抵御更多的恶意及目标攻击。梭子鱼应用防火墙基于梭子鱼专利的 NCOS 体系,对 HTTP 请求进行终止
8、、防护和加速。集中化 GUI 控制界面可以让系统的配置和管理变得十分简单。 特别是,梭子鱼应用防火墙完全符合WAFEC & OWASP 提出的标准。并且是世界上唯一被 ICSA 在网络层和应用层上通过认证的产品。二梭子鱼应用防火墙功能特性二梭子鱼应用防火墙功能特性1.1.梭子鱼应用防火墙工作原理梭子鱼应用防火墙工作原理梭子鱼应用防火墙通过反向代理(Proxy)帮助企业建起防线! 基于会话的双向代理不仅能应用在网络层,同时还能应用在应用层(HTTP)上,确保内部服务器操作系统和 TCP 堆栈不直接暴露于 Internet,保障 Web 应用的安全。检查检查:恶意命令非法关键字隐藏字段窃取参数窃取
9、HTTP修改办法最大长度例外非法URLsWSI身份验证XML Schema验证执行执行:目的应用逻辑网站隐身合法爬行合法参数值敏感信息保护合理的进程状态进程安全合法URLs图 2 梭子鱼应用防火墙工作原理梭子鱼应用防火墙用户&黑客企业 Web 应用梭子鱼应用防火墙技术白皮书72 2梭子鱼应用防火墙三层防护机制梭子鱼应用防火墙三层防护机制图 3 梭子鱼应用防火墙三层防护机制1.终止:终止:梭子鱼应用防火墙有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。 梭子鱼应用防火墙将对应用流量(向内和向外)进行全面的检查,并管理每一个会话。通过TCP 握手切断任何基于TCP 的 DOS 攻
10、击。在终止会话的同时,梭子鱼应用防火墙可以提供网络层的 NAT、PAT 、ACL 策略和 SSL 密码系统。系统对于 HTTP内容有着完全的访问权和控制权,检查所有的 HTTP 内容,解释和建立规则。2 2. .安全:安全:一旦某个会话被梭子鱼 应用防火墙终止并被控制, 将会对向内或向外的流量进行多种检查,以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对 URL、 参数和格式等进行检查。 3.3.加速:加速:除了 Web 应用的安全性,数据中心还负责应用的可用性和响应时间。将加速功能 (TCP 池,缓存,GZIP 压缩)和可用性功能(负载均衡,内容交换,健康检查)在一个单一的节点处结
11、合起来会显著地简化数据中心的体系结构,以此来降低成本。梭子鱼应用防火墙技术白皮书8三梭子鱼应用防火墙安装方式三梭子鱼应用防火墙安装方式梭子鱼应用防火墙部署简便灵活,共有3 种部署方式。1.1.单臂模式单臂模式单臂模式是目前为止用于产品测试的最透明和最简单的方式,不会影响网络中的其他流量。在单臂模式下,只有 HTTP 和 HTTPS 流量会被指到控制器,控制器处于 DMZ 区。控制器检查这些流量,转发给服务器,记录所有违背安全策略的行为。单臂模式是一种让用户“进入”第 7 层安全应用的方便的方法。单臂模式梭子鱼应用防火墙技术白皮书92.2.桥模式桥模式桥模式是指在两台运行的设备中间插入控制器,但
12、是对流量并不产生任何影响。在桥模式下,控制器阻断第7 层的应用攻击,但是让其他的流量通过。桥模式是部署最为简便的方式。桥模式是透明的,所以不会干预任何网络中的设备。然而,某些功能在桥模式下是无法启用的,比如负载均衡,内容交换和网络防火墙。桥模式桥模式下不支持的功能:桥模式下不支持的功能:网络防火墙 (如 ACL,NAT, 路由等功能) 负载均衡TCP 连接复用 OOB 检测(带外健康检查)服务器群梭子鱼应用防火墙技术白皮书103.3.代理模式(双臂模式)代理模式(双臂模式)代理模式为您的应用结构提供了最高程度的保护。然而,这种模式要求应用的 IP 地址在控制器的控制之下。这种模式通常在数据中心
13、与系统相兼容并且已准备好作为代理设备的情况下使用。双臂模式主动主动/被动被动 安全性增强安全性增强以上每一种模式可以运行在主动或者被动模式。在被动模式下,控制器不会执行策略。仅仅让流量通过,始终学习、报告和记录事务日志。对于理解应用的行为和提供有价值的信息来将控制器移入应用数据流是非常有用的。只有在主动模式下,控制器才会执行安全策略。 梭子鱼应用防火墙技术白皮书11四四梭子鱼应用防火墙附加功能梭子鱼应用防火墙附加功能1.1.应用持续性应用持续性备机梭子鱼应用防火墙拥有stateful failover 功能。在主机失败的情况下(由于软件出错,网络连接出错等) ,备机能够安全、有效地进行接替。没有流量丢失。穿透功能梭子鱼应用防火墙包含可选的网络层 fail open 功能。 若设备的硬件、 PSU 或软件出错, 设备会把自己从网络中移除,使所有流量都能到达后面的设备。任何设备黑 的硬件问题都不会导致应用的失效。2.2.管理简便管理简便在部署完毕后,梭子鱼应用防火墙提供一个信息和控制的中心点来操作您的应用。数据中心能够观察到完整的应用健康程度。能够方便迅速地调整策略,不需停止任何服务。 梭子鱼研发了一个管理模型和特别设计的GUI,用来促进当前技术人员运用 梭子鱼的水平并拓展对于应用控制的能力。最重要的是,系统设计了向导功能和预设置功能
