基于Radware的應(yīng)用安全防護(hù)的解決方案

防火墻一直是網(wǎng)絡(luò)及應(yīng)用安全的代名詞，在瞬息萬(wàn)變的信息時(shí)代，這個(gè)曾經(jīng)叱咤風(fēng)云的一代宗師，今天卻成為了信息安全的誤區(qū)，防火墻仍然安全嗎？眾所周知，今天的應(yīng)用逐漸向Web轉(zhuǎn)換，這意味著什么呢？

傳統(tǒng)的應(yīng)用，不同應(yīng)用具有不同的端口，防火墻為不同應(yīng)用開(kāi)放不同的端口，見(jiàn)左圖，今天的應(yīng)用向WEB轉(zhuǎn)換，不同的應(yīng)用全都承載在WWW端口上，防火墻只需開(kāi)放一個(gè)端口，即WWW（80）端口，見(jiàn)右圖。左邊的防火墻開(kāi)放了多個(gè)端口，而右邊的防火墻只開(kāi)放了一個(gè)端口（80），因此右邊的防火墻比左邊的更安全嗎？當(dāng)然不是，我們?cè)囅霃牧硪粋€(gè)角度出發(fā)，應(yīng)用向WWW轉(zhuǎn)換后，原來(lái)每一個(gè)應(yīng)用的報(bào)頭信息，今天全部成為WWW 應(yīng)用的凈負(fù)荷（PAYLOAD），防火墻若不具備深度包檢測(cè)的機(jī)制，應(yīng)用向WEB轉(zhuǎn)變將導(dǎo)致防火墻形同虛設(shè)，根據(jù)GARTNER 的預(yù)測(cè)，如果防火墻還只局限于狀態(tài)檢測(cè)而不具備深度包檢測(cè)的機(jī)制，將很快面臨淘汰的厄運(yùn)。

當(dāng)前，針對(duì)數(shù)據(jù)中心所發(fā)起的攻擊正在發(fā)生顯著的變化。攻擊者采用多種攻擊技術(shù)、多種攻擊形式和入侵途徑發(fā)動(dòng)攻擊，且經(jīng)常利用未知的漏洞，這給關(guān)鍵業(yè)務(wù)運(yùn)營(yíng)帶來(lái)了嚴(yán)重威脅。盡管許多組織機(jī)構(gòu)部署了單一的保護(hù)方案，如入侵防御系統(tǒng)（IPS）、網(wǎng)絡(luò)行為分析（NBA）、拒絕服務(wù)攻擊（DoS）保護(hù)和Web應(yīng)用防護(hù)等。但這種部署既增加了成本和復(fù)雜性，也使得網(wǎng)絡(luò)及服務(wù)無(wú)法防御混合攻擊，從而讓數(shù)據(jù)中心完全暴露于威脅之中。因此，各個(gè)組織機(jī)構(gòu)正在尋找一種能夠整合包含多種安全技術(shù)、同時(shí)可以擴(kuò)展，并且由同一廠商提供的安全解決方案。

Radware應(yīng)用安全防護(hù)解決方案

Radware（Nasdaq:RDWR）是一家領(lǐng)先的智能化解決方案供應(yīng)商，致力于確保在IP上快速、可靠而安全地交付網(wǎng)絡(luò)或基于Web的應(yīng)用程序。該公司已完成了其AppDirector產(chǎn)品與 BEA 的 WebLogic Server 9.0之間的互用性測(cè)試，目的是幫助企業(yè)客戶消除所有BEA服務(wù)器的停機(jī)時(shí)間，從而實(shí)現(xiàn)容錯(cuò)應(yīng)用的連續(xù)性。Radware 產(chǎn)品系列中包括為滿足IP應(yīng)用服務(wù)器、防火墻、cache 服務(wù)器和 WAN 鏈接而開(kāi)發(fā)和設(shè)計(jì)的產(chǎn)品。結(jié)合市場(chǎng)上豐富的功能設(shè)置，提供了完全可擴(kuò)展的解決方案。Radware IAS 設(shè)備優(yōu)化了所有公司、電子商務(wù)企業(yè)和全球主要 ISP 的網(wǎng)絡(luò)性能。并與主要的企業(yè)解決方案提供商合作，為客戶提供最先進(jìn)的技術(shù)和服務(wù)。

Radware應(yīng)用安全防護(hù)解決方案能夠充分滿足用戶對(duì)網(wǎng)絡(luò)威脅不斷變化而產(chǎn)生的安全需求，幫助用戶全面保護(hù)網(wǎng)絡(luò)及數(shù)據(jù)中心基礎(chǔ)設(shè)施免受日益增長(zhǎng)的混合威脅攻擊，使得應(yīng)用在數(shù)據(jù)中心中獲得更高的安全性。結(jié)合Radware多年來(lái)在應(yīng)用安全領(lǐng)域的經(jīng)驗(yàn)，以及對(duì)市場(chǎng)及用戶實(shí)際需求的了解，Radware應(yīng)用安全防護(hù)解決方案為用戶提供從網(wǎng)絡(luò)層到應(yīng)用層全面的安全防護(hù)，給予用戶核心應(yīng)用最佳的安全保障。

Radware應(yīng)用安全防護(hù)解決方案主要由Radware DefensePro和Radware AppWall實(shí)現(xiàn)。DefensePro集合不同的工具/模塊、管理與報(bào)告功能，各工具/模塊以同步工作的方式可為用戶提供網(wǎng)絡(luò)及應(yīng)用層面最佳檢測(cè)及最佳防范混合威脅的效果。AppWall通過(guò)對(duì)web應(yīng)用的規(guī)范化檢測(cè)，保障用戶核心應(yīng)用免受來(lái)自Web應(yīng)用層面的攻擊，如：癱瘓網(wǎng)頁(yè)服務(wù)、暴力破解網(wǎng)頁(yè)登入頁(yè)面、SQL Injection、聯(lián)機(jī)攔截、Cross Site Sripting等等。

方案拓?fù)鋱D

Radware DefensePro

Radware DefensePro是一款實(shí)時(shí)網(wǎng)絡(luò)攻擊預(yù)防設(shè)備，它能夠保護(hù)你的應(yīng)用基礎(chǔ)架構(gòu)免受網(wǎng)絡(luò)及應(yīng)用停機(jī)、應(yīng)用漏洞濫用、惡意軟件傳播、網(wǎng)絡(luò)異常、信息偷竊以及其他新出現(xiàn)的網(wǎng)絡(luò)攻擊的影響。

DefensePro包括一套安全性模塊 - DoS保護(hù)、NBA 網(wǎng)絡(luò)行為分析 和 IPS – 以便完全保護(hù)網(wǎng)絡(luò)免受已知的和新出現(xiàn)的網(wǎng)絡(luò)安全性威脅的影響。DefensePro 采用了多種檢測(cè)和預(yù)防引擎，其中包括特征碼檢測(cè)、協(xié)議和流量異常檢測(cè)、啟發(fā)式檢測(cè)以及行為分析。DefensePro 的密碼武器在于其受專(zhuān)利保護(hù)的、基于行為的實(shí)時(shí)特征碼技術(shù)，它能夠?qū)崟r(shí)檢測(cè)和減緩新出現(xiàn)的網(wǎng)絡(luò)攻擊，例如零分鐘攻擊、DoS/DDoS 攻擊、應(yīng)用濫用攻擊、網(wǎng)絡(luò)掃描和惡意軟件傳播。所有這些都不需要人工干預(yù)，而且也不會(huì)封鎖合法的用戶流量。

DefensePro采用基于按需擴(kuò)展交換機(jī) （OnDemand Switch） 的專(zhuān)用硬件平臺(tái)，Radware是第一家在其 IPS 型號(hào)系列中提供隨需應(yīng)變 IPS 可伸縮性的公司，其伸縮范圍從 100 Mbps 直至 12Gbps.設(shè)備最多可防御高達(dá)10MPPS的DOS攻擊量，并在防御攻擊的同時(shí)不影響應(yīng)用的正常訪問(wèn)?；谄潆S需應(yīng)變、"量入為出"的方法，當(dāng)你的網(wǎng)絡(luò)帶寬增加時(shí)，無(wú)需更換硬件即可升級(jí)，從而保證節(jié)省短期和長(zhǎng)期資本支出及運(yùn)營(yíng)支出，實(shí)現(xiàn)完整的投資保護(hù)。

DefensePro攻擊預(yù)防包括以下防護(hù)層次（如下圖）：

第一層：基于網(wǎng)絡(luò)的保護(hù) - 防御 DoS/DDoS 淹沒(méi)攻擊

第二層：基于服務(wù)器的保護(hù) – 防御服務(wù)器資源濫用和服務(wù)器破解

第三層：基于客戶端的保護(hù) - 檢測(cè)已經(jīng)受感染的客戶端并防止客戶端惡意軟件的傳播

第四層：基于狀態(tài)化的特征碼的保護(hù) - 預(yù)防已知的攻擊漏洞

DefensePro基于特征碼的和基于行為的安全性技術(shù)構(gòu)成了相互補(bǔ)充的解決方案，能夠包含特征碼以及基于行為的和自動(dòng)的特征碼生成技術(shù)，而且在設(shè)計(jì)上能夠有效地區(qū)分它們之間的檢測(cè)和預(yù)防責(zé)任，該產(chǎn)品為用戶提供網(wǎng)絡(luò)及應(yīng)用層面最佳檢測(cè)及最佳防范混合威脅的效果。

Radware AppWall

信息資產(chǎn)就和企業(yè)其它重要的資產(chǎn)一樣，對(duì)企業(yè)而言是非常具有價(jià)值的，應(yīng)該被妥善加以保護(hù)并可被審核。由于信息系統(tǒng)面臨著許多安全的威脅，因此對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)應(yīng)加以管理，以降低系統(tǒng)所提供信息的不及時(shí)性、不完整性與不正確性，并設(shè)置適當(dāng)控制及保存審核檔案記錄，以便及時(shí)發(fā)現(xiàn)并追蹤惡意行為，防范入侵與攻擊，進(jìn)而確保信息系統(tǒng)的安全。

在內(nèi)容層面的威脅最常遇到的困擾就是透過(guò)Web的方式進(jìn)行攻擊，癱瘓網(wǎng)頁(yè)服務(wù)、暴力破解網(wǎng)頁(yè)登入頁(yè)面、SQL Injection、聯(lián)機(jī)攔截、Cross Site Sripting等等，種類(lèi)繁多，防不勝防。由于網(wǎng)頁(yè)服務(wù)內(nèi)容本身豐富多變，單單透過(guò)特征辨識(shí)的方式無(wú)法完全根治內(nèi)容層面的攻擊，因此需要一種能自行設(shè)定調(diào)整學(xué)習(xí)的機(jī)制來(lái)辨識(shí)個(gè)別網(wǎng)頁(yè)（URL）的使用者行為，加以建檔分析。若有可疑的入侵行為時(shí)即可及時(shí)告警并加以阻絕。一般由于網(wǎng)頁(yè)開(kāi)發(fā)者會(huì)比較專(zhuān)注在網(wǎng)頁(yè)內(nèi)容及服務(wù)的主軸上，很容易因此而忽略了系統(tǒng)及服務(wù)器本身的問(wèn)題而未在開(kāi)發(fā)程序中加以防范，或是不知該如何防范，造成服務(wù)危機(jī)。藉由網(wǎng)頁(yè)應(yīng)用防火墻（AppWall）的輔助，將可幫助網(wǎng)頁(yè)開(kāi)發(fā)者專(zhuān)注在內(nèi)容的開(kāi)發(fā)上，且提供完善的網(wǎng)頁(yè)服務(wù)，保障服務(wù)安全無(wú)虞。

Radware AppWall具有以下功能：

有效防護(hù)數(shù)據(jù)的暴露與識(shí)別竊?。⊿QL Injection、XSS）

駭客利用正常查詢網(wǎng)站數(shù)據(jù)時(shí)，將攻擊數(shù)據(jù)庫(kù)的指令?yuàn)A藏于網(wǎng)站查詢命令中，駭客可以穿透防火墻，并繞過(guò)身分認(rèn)證機(jī)制，取得數(shù)據(jù)庫(kù)權(quán)限，入侵?jǐn)?shù)據(jù)系統(tǒng)后，進(jìn)而竊取數(shù)據(jù)或破壞數(shù)據(jù)庫(kù)。通過(guò)部署AppWall能夠及時(shí)防御該入侵行為，保護(hù)企業(yè)資源有效運(yùn)用。

防護(hù)客戶端安全性（Cookie Tampering、Injection）

AppWall 使用自我學(xué)習(xí)偵測(cè)技術(shù)會(huì)自動(dòng)記錄由服務(wù)器端所送出的Cookie信息，并持續(xù)的確認(rèn)是否符合上次所紀(jì)錄的信息相同，若發(fā)現(xiàn)與記錄的信息不同，則可產(chǎn)生相關(guān)動(dòng)作阻止入侵行為的發(fā)生。

非法授權(quán)人士的存取防御（Legitimate Privilege Abuse）

正常使用者可能會(huì)有非授權(quán)的行為進(jìn)行存取。例如：醫(yī)療系統(tǒng)的處理人員有權(quán)限可以登入醫(yī)療數(shù)據(jù)庫(kù)存取，卻可能會(huì)逾越自己的權(quán)限，進(jìn)行非法下載相關(guān)數(shù)據(jù)庫(kù)的數(shù)據(jù)供自己或別人使用。AppWall 使用其特有的ACL技術(shù)會(huì)自動(dòng)產(chǎn)生一個(gè)告警并執(zhí)行相關(guān)動(dòng)作。

強(qiáng)大的偵測(cè)機(jī)制

目前的Radware AppWall約可針對(duì)以下威脅提供防御：

SQL injection Cross-site scripting

Parameter tampering Hidden field manipulation

Session Manipulation Cookie poisoning

Stealth commanding Backdoor and debug options

Application buffer overflow attacks Brute force attacks

Data encoding Unauthorized navigation

Gateway circumvention Web server reconnaissance

SOAP and Web services manipulation

Radware AppWall使用自我學(xué)習(xí)偵測(cè)技術(shù)和特征碼檢測(cè)技術(shù)相結(jié)合，有效地防范了來(lái)自Web應(yīng)用層面的威脅，保障了用戶核心應(yīng)用的安全。

Radware 應(yīng)用安全防護(hù)解決方案優(yōu)勢(shì)

廣泛的安全性覆蓋：使用DefensePro和AppWall相結(jié)合，通過(guò)前瞻性的、基于行為的技術(shù)以及通過(guò)基于特征碼的安全性技術(shù)能夠?qū)崟r(shí)應(yīng)對(duì)已知的攻擊、零分鐘攻擊以及非基于漏洞的攻擊，確保從網(wǎng)絡(luò)層到應(yīng)用層的全面防護(hù)；

可伸縮性：通過(guò)與先進(jìn)的安全性技術(shù)及先進(jìn)的ODS硬件體系結(jié)構(gòu)，確保用戶應(yīng)用的高效、可靠，并大大減少了用戶的流量延遲；

更低的總體擁有成本 :借助Radware先進(jìn)的基于行為的安全防護(hù)方式，實(shí)時(shí)產(chǎn)生的攻擊特征碼，減少了用戶對(duì)人為因素的依賴，實(shí)現(xiàn)了用戶始終保持較低的總體擁有成本的理念；

準(zhǔn)確性：實(shí)時(shí)環(huán)境中，檢測(cè)和預(yù)防技術(shù)的高度準(zhǔn)確性，向用戶保證低比例的誤報(bào)檢測(cè)或錯(cuò)誤攔截。

全面的監(jiān)控和詳盡的安全報(bào)告：利用Radware Vision,可以在多臺(tái)Radware設(shè)備間建立一個(gè)無(wú)縫的管理環(huán)境，為用戶提供Radware設(shè)備的實(shí)時(shí)監(jiān)控和詳盡的報(bào)表功能，使用戶能方便的對(duì)數(shù)據(jù)中心的Radware設(shè)備進(jìn)行管理和監(jiān)控。