| 品牌 |
梭子鱼 |
型号 |
防火墙 |
| VPN |
不支持VPN |
用户数限制 |
500用户 |
| 产品类型 |
中型企业级 |
OEM |
不可OEM |
| 质保 |
一年(年) |
| |
梭子鱼应用防火墙一.梭子鱼应用防火墙简介随着网络应用的发展,企业Web应用日益增多,同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题,导致企业Web被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入企业内部,如Web、Web邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。因此,传统的防火墙是无法进行Web应用防护的。防火墙工作在网络层,通过地址转换、访问控制及状态检测等功能,对企业网络进行保护。但对于应用最广泛的Web服务器,防火墙完全对外部网络开放http应用端口,这种方式对于Web应用没有任何的防护。防火墙无法防护上述应用层的攻击。梭子鱼应用防火墙技术白皮书5据最近的美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中有 52% 的公司的系统遭受过外部入侵,但事实上他们中有 98% 的公司都装有防火墙。而这些攻击为269家受访公司带来的经济损失——包括系统入侵、滥用 web 应用系统、网页置换、盗取私人信息及拒绝服务共计超过 1.41 亿美元。入侵检测系统作为防火墙的有利补充,加强了网络的安全防御能力。但是,入侵检测技术的作用存在一定的局限性。由于需要预先构造攻击特征库来匹配网络数据,对于未知攻击和或伪装成正常流量的攻击,入侵检测系统不能检测和防御。更重要的是,对于应用系统中某一漏洞的目标攻击,他们没有任何防御能力,因为这些攻击没有明显的特征可供判断。另外就是其技术实现的矛盾,如果需要防御更多的攻击,那么就需要很多的规则,但是随着规则的增多,系统出现的虚假报告(对于入侵防御系统来说,会产生中断正常连接的问题)率会上升,同时,系统的效率会降低。图1 Web攻击对网络防火墙及IDS是不可见的梭子鱼提供的强大的梭子鱼应用防火墙产品线,能够为 Web 服务器和 Web 应用提供全面的保护——既可防范已知的对 Web 应用系统及基础设施漏洞的梭子鱼应用防火墙技术白皮书6攻击,也可抵御更多的恶意及目标攻击。梭子鱼应用防火墙基于梭子鱼专利的NCOS体系,对HTTP请求进行终止、防护和加速。集中化GUI控制界面可以让系统的配置和管理变得十分简单。 特别是,梭子鱼应用防火墙完全符合WAFEC & OWASP提出的标准。并且是世界上唯一被ICSA在网络层和应用层上通过认证的产品。二.梭子鱼应用防火墙功能特性1.梭子鱼应用防火墙工作原理梭子鱼应用防火墙通过反向代理(Proxy)帮助企业建起防线! 基于会话的双向代理不仅能应用在网络层,同时还能应用在应用层(HTTP)上,确保内部服务器操作系统和TCP堆栈不直接暴露于Internet,保障Web应用的安全。图2 梭子鱼应用防火墙工作原理检查:恶意命令非法关键字隐藏字段窃取参数窃取HTTP修改办法最大长度例外非法URLsWSI身份验证XML Schema验证执行:目的应用逻辑网站隐身合法爬行合法参数值敏感信息保护合理的进程状态进程安全合法URLs梭子鱼应用防火墙用户&黑客企业Web应用梭子鱼应用防火墙技术白皮书72.梭子鱼应用防火墙三层防护机制图3梭子鱼应用防火墙三层防护机制1.终止:梭子鱼应用防火墙有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。 梭子鱼应用防火墙将对应用流量(向内和向外)进行全面的检查,并管理每一个会话。通过TCP握手切断任何基于TCP的DOS攻击。在终止会话的同时,梭子鱼应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权,检查所有的HTTP 内容,解释和建立规则。2.安全:一旦某个会话被梭子鱼应用防火墙终止并被控制,将会对向内或向外的流量进行多种检查,以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进行检查。3.加速:除了Web应用的安全性,数据中心还负责应用的可用性和响应时间。将加速功能 (TCP 池,缓存,GZIP压缩)和可用性功能(负载均衡,内容交换,健康检查)在一个单一的节点处结合起来会显著地简化数据中心的体系结构,以此来降低成本。梭子鱼应用防火墙技术白皮书8三.梭子鱼应用防火墙安装方式梭子鱼应用防火墙部署简便灵活,共有3种部署方式。1.单臂模式单臂模式是目前为止用于残品测试的最透明和最简单的方式,不会影响网络中的其他流量。在单臂模式下,只有HTTP和HTTPS流量会被指到控制器,控制器处于DMZ区。控制器检查这些流量,转发给服务器,记录所有违背安全策略的行为。单臂模式是一种让用户“进入”第7层安全应用的方便的方法。单臂模式梭子鱼应用防火墙技术白皮书92.桥模式桥模式是指在两台运行的设备中间插入控制器,但是对流量并不产生任何影响。在桥模式下,控制器阻断第7层的应用攻击,但是让其他的流量通过。桥模式是部署最为简便的方式。桥模式是透明的,所以不会干预任何网络中的设备。然而,某些功能在桥模式下是无法启用的,比如负载均衡,内容交换和网络防火墙。桥模式桥模式下不支持的功能:? 网络防火墙 (如 ACL,NAT, 路由等功能)? 负载均衡? TCP连接复用? OOB检测(带外健康检查)? 服务器群梭子鱼应用防火墙技术白皮书103.代理模式(双臂模式)代理模式为您的应用结构提供了最高程度的保护。然而,这种模式要求应用的IP地址在控制器的控制之下。这种模式通常在数据中心与系统相兼容并且已准备好作为代理设备的情况下使用。双臂模式主动/被动 安全性增强以上每一种模式可以运行在主动或者被动模式。在被动模式下,控制器不会执行策略。仅仅让流量通过,始终学习、报告和记录事务日志。对于理解应用的行为和提供有价值的信息来将控制器移入应用数据流是非常有用的。只有在主动模式下,控制器才会执行安全策略。梭子鱼应用防火墙技术白皮书11四.梭子鱼应用防火墙附加功能1.应用持续性? 备机梭子鱼应用防火墙拥有stateful failover功能。在主机失败的情况下(由于软件出错,网络连接出错等),备机能够安全、有效地进行接替。没有流量丢失。? 穿透功能梭子鱼应用防火墙包含可选的网络层fail open功能。 若设备的硬件、PSU或软件出错,设备会把自己从网络中移除,使所有流量都能到达后面的设备。任何设备黑的硬件问题都不会导致应用的失效。2.管理简便在部署完毕后,梭子鱼应用防火墙提供一个信息和控制的中心点来操作您的应用。数据中心能够观察到完整的应用健康程度。能够方便迅速地调整策略,不需停止任何服务。梭子鱼研发了一个管理模型和特别设计的GUI,用来促进当前技术人员运用梭子鱼的水平并拓展对于应用控制的能力。最重要的是,系统设计了向导功能和预设置功能,这将能够对新的应用的安全性和新的策略进行迅速的定义。? 运行情况报告 – 应用和系统健康运行情况报告发布实时完整的应用运行的健康数据。处理率、比特率、健康攻击都被实时监控并显示在运行情况报告面板里。诸如内存和CPU的利用情况、应用防火墙、网络防火墙和系统的日志等控制器信息都实时显示。? 虚拟功能 – 多个应用梭子鱼应用防火墙的虚拟功能是一个为数据中心所提供的强大的工具,这个数据中心处理着应用方面的管理。虚拟功能允许您定义多个独立的应用。每个被定义的应用都被当作一个单独梭子鱼应用防火墙技术白皮书12的实体进行处理。系统让管理员独立、清晰地管理多个应用服务。? 当前策略调整应用服务经常改变并被部署。因此,梭子鱼应用防火墙必须能够方便地调整策略。梭子鱼应用防火墙有两种方法来帮助管理员管理这种情况。梭子鱼动态应用调试和执行 (DAP) 能够实时地自动学习和执行策略。此功能使得管理员在不对梭子鱼产生任何影响的前提下部署应用的升级。一些安全人员更加喜欢一种操控性更强、手动进行的应用升级。实时策略向导能够协助您自定义策略,同时让您对于当前的策略拥有完全的掌控。此系统能够记录所有违背ACL的行为。根据这个日志,当然,您也可以随时重新创建策略。3.合规性由于当今Web攻击日益严重,加上与它们相关的攻击与日俱增,因此研发一种测试产品安全性的标准来全面保护应用显得至关重要。两个站在定义应用安全前线的组织机构是:· 开放Web应用安全项目 (OWASP),这是一个致力于寻找和攻克危险软件的组织。OWASP所规定的前十项要求提供了最低标准的应用安全。NetContinuum产品能够轻松解决前十项最普遍的WEB安全漏洞问题。请浏览OWASP官方网站:www.owasp.org.· Web应用安全联盟 (WASC)是一个包含专家、行业人员、和生产开源应用安全标准的组织代表的国际组织。联盟新的 “Web应用防火墙评测标准” (WAFEC)是一个为提供独立的、与厂家无关的WEB应用防火墙产品的评测标准。符合了这些标准意味着能够确保进入的数据都是安全的。自从标准出台以来,NetContinuum就着手开始满足WASC-WAFEC评测标准的工作。下表表明了NetContinuum如何满足这些标准,包括终止,安全,加速和会话控制等功能。要获得更多详细信息,请浏览www.webappsec.org和 NetContinuum的官方网站。梭子鱼应用防火墙技术白皮书13五.梭子鱼应用防火墙各型号功能一览表1.企业级型号对比 Model 360 Model 460 Model 660 性能* 后端服务支持数量 1-5 5-10 10-25 接入WEB流量(Mb/sec) 25 Mbps 50 Mbps 100 Mbps 硬件梭子鱼应用防火墙技术白皮书14机架底盘 1U Mini 1U Mini 1U Full Size 尺寸(in.) 16.8x1.7x14 16.8x1.7x14 16.8x1.7x22.6 尺寸(cm.) 42.7x4.3x35.6 42.7x4.3x35.6 42.7x4.3x57.4 重量(lbs. /kg.) 12 / 5.4 12 / 5.4 26 / 11.8 前面板网卡接口 2 x 10/100 2 x Gigabit 2 x Gigabit 后背网卡接口 1 x 10/100 1 x 10/100 1 x Gigabit 有效AC电源输入(安培) 1.2 1.4 1.8 内存校验 产品特性 安全加固的操作系统 HTTP协议验证 常规入侵攻击防护 表单域数据提交验证 网站外壳 应答控制 数据窃取保护 HTML代码格式化 协议健康检查 文件上传控制 硬件旁路 代理主机 日志,监控和报表 高可靠性 SSL卸载 负载均衡 硬件SSL加速2.行业级型号对比 NC500AG NC1100AG NC2000AG 性能* 直通流量(Mb/sec) 100 Mbps 500 Mbps 1 Gbps HTTP连接/秒 2,500 12,000 44,000 SSL连接/秒 2,000 9,000 16,000梭子鱼应用防火墙技术白皮书15硬件 机架底盘 1U Mini 2U Full Size 2U Full Size 尺寸(in.) 16.8x1.7x14 17.4x3.5x25.5 17.4x3.5x25.5 尺寸(cm.) 42.7x4.3x35.6 44.2x8.9x64.8 44.2x8.9x64.8 重量(lbs. /kg.) 12 / 5.4 39 / 17.7 39 / 17.7 网卡接口 2 x Gigabit 2 x Gigabit 2 x Gigabit 有效AC电源输入(安培) 1.4 4.1 5.4 冗余电源支持 内存校验 产品特性 安全加固的操作系统 WEB应用安全防护 访问控制特性 日志及监控特性 基于策略的管理 数据传输交换特性 连接池 SSL加速 缓存 数据压缩 负载均衡
点击图片查看原图
产品分类