Citrix 应用防火墙介绍 (1).docx

1、挫败绕过网络防火墙和IPS设备的攻击Citrix Application Firewall可保护Web应用免遭日益增多的应用层攻击，如缓冲区溢出、SQL注入、跨站点脚本攻击等。除了业经验证的出色攻击防御特性 外，Citrix Application Firewall还能确保机密的企业信息和敏感的客户数据的安全性，保护身份资料免遭失窃。 性 能卓越的Web应用安全解决方案Citrix Application Firewall提供了业界性能最卓越的Web应用安全解决方案，可有效保护Web服务器的安全，改善应用响应时间，且不会降低数据吞吐率。其出色的性能 可满足任何企业或数据中心的需求。积极的安全模

2、式基于HTML的HTTP行业标准和最佳编码实践，Citrix Application Firewall的安全技术采用了积极的安全模式。任何背离积极安全模式的Web应用行为都将被当作潜在的威胁对待，并加以阻止。 通过 识别正确的应用行为，积极的安全模式不依赖攻击特征符或型样匹配技术就能检测并阻止攻击。Citrix Application Firewall是唯一经过验证的可对未发布攻击实施全天候防御的软件。适性化学习引擎除了可对Web威胁提供现成的保护 外，Citrix Application Firewall还可定制针对各种应用的安全策略，包括使用客户端Java脚本的策略。思杰的第三代适性化学习

3、引擎能自动识别应用行为，生成建议性可读策 略，这会帮助安全管理员更清楚地了解实际的应用行为，然后针对每个应用实施自定义安全策略和严格的接入控制。保护Web应用在目 前的互联网攻击中，有超过70%是利用了应用程序的漏洞，请详细了解一下屡获殊荣的Citrix Application Firewall吧。灵 活的部署选项Citrix Application Firewall可单独部署，也可与Citrix NetScaler Application Delivery Systems一起部署。Application Firewall集群提供了更高的可用型以及线性性能效益，以满足大型Web应用数据中心的要

4、求，并具备出色的active/active可用性。-高 性能的Web应用交付解决方案作为高性能的安全设备解决方案，Citrix Application Firewall阻止了所有已知和未知的针对Web应用和基础架构的攻击。Citrix Application Firewall采用了积极的安全模式，只允许执行那些正确的应用行为，而且不依赖攻击特征符。它分析了所有双向流量，包括SSL加密通信，阻止了16大 类Web应用漏洞攻击，同时不对应用作出任何更改。Citrix Application Firewall技术可以作为Citrix NetScaler的一个可选功能或作为一个单独的产品提供。单独的C

5、itrix Application Firewall可用于满足一系列性能需求的设备，并且能够与市面上的多种负载均衡的解决方案兼容。应对当今的安全挑战Web应 用容易受到来自Internet以及机构内部的功击与威胁，因为它们前端的数据库存储了敏感而且有价值的信息。自定义和分层Web应用很容易受到攻击，采 用固定特征符或补丁程序很难保护好这些应用。网络级安全基础架构如防火墙和入侵防御系统不能抵御应用层攻击，从而将Web应用和服务器暴露给了大量已知和 未知的攻击和威胁。Citrix Application Firewall通过为所有Web应用提供集中化的应用层安全性而全面应对了这一挑战。积 极的安全

6、模式的好处Citrix Application Firewall采用了积极的安全模式来确保执行正确的应用行为。这种安全模式不靠攻击特征符或型样匹配技术就能识别“好”的应用行为，并阻止任何背离了 正确应用活动的恶意行为。Citrix Application Firewall是唯一经过验证的可对未发布攻击实施全天候防御的软件。有 效的业务对象保护Citrix Application Firewall实时阻止了敏感应用内容的无意泄露，这种无意的内容泄露会导致身份信息盗用和欺诈行为。业务对象保护模块可保护像信用卡或借记卡号码这种 预见确定的对象以及其它管理上定义的数据对象的安全。通过检测错误泄露以及阻

7、止或重写内容，业务对象保护模块协助企业满足了政府制定的隐私法规以及行业法 规，如支付卡行业数据安全标准（PCI-DSS）。采用Citrix适性化学习引擎来自定义安全策略Citrix Application Firewall融合了第三代自适应学习引擎，这种引擎能识别各个方面的应用行为，即使Web应用允许执行，这些行为也有可能会受到积极的安全模式的阻 止。一旦检测到应用行为，Application Firewall就会生成建议性可读策略，这会帮助安全主管更清楚地了解实际的应用行为，然后针对每个应用实施自定义安全策略。业界领先 的性能与其它高性能Web服务器相比较，Citrix Applicatio

8、n Firewall的性能远远高过它们，通过卸载Web服务器的计算和存储密集型TCP连接管理，该软件有效地改善了应用性能和响应时间。 Application Firewall与服务器之间的通信只采用了少量持久TCP连接。基于硅元件开发的专用SSL硬件可检测出加密 信道中的恶意流量。通过减少服务器的此类操作，SSL加密和密钥生成卸载改善了总的应用性能。还有另外一个选择就是对Application Firewall到应用服务器的通信过程进行完全加密。集中保护所有Web应用的安全Application Firewall可利用每个应用的安全策略、控制、报告细节和记录数据的完全分离来保证企业整个Web应

9、用基础架构的安全。适应不断变化 的业务需求的灵活性Application Firewall支持灵活的、逐步的Web应用的保护部署。默认的Web应用保护配置抵御最常见的危险威胁的同时，增加了全面的保护，防止数据窃取和 4-7层拒绝服务攻击。高级Web应用保护配置增加了高级Web应用的会话层分析保护功能，此高级Web应用包括了对敏感数据的已验证访 问。而且保护范围扩展到Cookie、格式字段和会话专用URL等动态生成的元素。这种保护对于电子商务、在线金融服务和安全的外联网应用都是强制性的， 并且它还具备应用学习能力，针对行为可能会违背默认安全策略的某些应用帮助管理员创建安全策略的可管理例外。多种硬

10、件平台都采用了 Citrix Application Firewall，以满足包括小企业和大型数据中心在内的各大机构的不同的性能和可用性需求。同时还提供了满足FIPS-140-2三级标准的模块。Citrix Application Firewall 产品概述全面保护Web应用和Web服务器主要特性阻止16大类Web漏洞攻击 缓冲区溢出 CGI-BIN参数处理 表格/隐藏字段处理 强制浏览 信息块或会话中毒 被破坏的访问控制表或弱口令 跨站点脚本编写（XSS） 命令注入 SQL注入 引发敏感信息泄露的错误 不可靠的密码系统应用 服务器错误配置 后门和调试选项 网站涂改 已知的平台漏洞 零时差攻击

11、 全面保护Web服务器和Web 服务的安全 深度流量检测 双向流量分析 HTTP及HTML包头和攻击行为检测 HTML深层分析 语义提取 会话层及状态分析 协议中立HTML格式字段保护 要求字段返回 不允许任何添加字段 只读和隐藏字段执行 下拉列表与无线按钮字段一致性 格式字段的最大长度 Cookie中毒防御 确保Cookie不会更改强制浏览保护 合法的URL实施Web应用内容的完整 保护Web站点不被涂改 阻止Stop WordSSL完全卸载 在检测前解除流量加密 在上传前执行流量加密 可配置的后端加密设置 可采用FIPS 140-2三级平台 支持客户端证书 简化的管理和部署 用户接口 安全

12、的基于Web的GUI 基于SSH的CLI访问 网络管理 简单网络管理协议（SNMP） 基于Syslog的记录 主要优点提 供PCI-DSS v.1.1合规性保护信用卡和借记卡账号号码，帮助机构遵从支付卡行业数据安全标准保护敏感的客户信息让 Web基础架构的数据远离身份信息盗用、银行帐号以及信用卡帐号盗用。排除数据丢失风险，对此政府还制定了法规要求实施客户通知。保 护网络收入资源通过阻止第七层拒绝服务攻击来确保网站和Web Services的正常运行时间。Application Learning通过避免主动错误信息保证了保护过程的安全。通过阻止跨站点脚本（XSS）攻击来维持客户和供应商之间的信任关系。