| 1. 产品简介 |
传统的防火墙及入侵检测产品简单地通过WEB应用的HTTP,
HTTPS或FTP流量,梭子鱼应用防火墙产品保护你的网站免于协议或者应用漏洞的攻击,保护您的网站免于未经授权的进入、数据窃取、拒绝服务攻击、网页篡改。
梭子鱼应用防火墙包括WEB应用防火墙产品系列及应用安全网关系列,WEB应用防火墙保护企业WEB应用及WEB服务免受各类恶意攻击;应用安全网关提高各类应用的性能及可扩展性。统而言之,梭子鱼应用防火墙为企业的WEB应用提供各类的交付、安全、加速功能,通过一个实时的、易于使用的、启发式的WEB界面管理企业的WEB应用。 |
 |
|
| 2. 全面网站保护 |
 |
梭子鱼应用防火墙,包括WEB应用防火墙及应用安全网关,提供网站应用各类的安全防护,如SQL注入攻击(SQL
injections)、跨站脚本攻击(cross-site scripting
attacks)、进程窃取(session tampering)及缓存溢出( buffer
overflows)等各类。.
几乎所有的应用都易于被以上各类攻击方式攻击,因为大多数应用程序开发人员并没有开发过程中严格执行各类安全编程规范。梭子鱼应用防火墙设计的理念就是抵御各类攻击和威胁行为:
• 跨站脚本攻击/Cross Site Scripting (XSS)
• SQL注入攻击/SQL injection flaws
• OS命令注入攻击/OS command injections
• 网站侦测攻击/Site reconnaissance
• 进程劫持攻击/Session hijacking
• 应用拒绝服务攻击、Application denial of service
• 恶意爬行攻击/Malicious probes/crawlers
• Cookie/进程窃取攻击/ Cookie/session tampering
• 路径模式发掘攻击/Path traversal
• 头信息窃取攻击/Header tampering
• 信息泄漏攻击/Information leakage |
对复杂问题的简单解决方案
在线的WEB应用经常被专业黑客攻击,他们攻击这些应用而截取数据及获取利益。被攻击将严重损害公司信誉及造成大量客户丢失,对企业经营造成不可挽回的损失。
更为重要的是,目前进行电子商务(在线交易)的公司面临日益严格的行业法律法规要求,美国的信用卡行业数据规范(PCI
DSS)要求所有的处理在线信用卡交易的企业及WEB应用必须经过复杂及高成本的客户应用程序代码检查,符合PCI
DSS的另一个方法是简单安装一个WEB应用防火墙。
在线WEB及企业应用的威胁的与日俱增,加上行业PCI DSS规范的要求,造就对技术先进,成本效益高的在线WEB应用防火墙的大量需求。
既成为国际邮件安全及WEB过滤市场领导者后,梭子鱼厂商不断跨越技术壁垒,为市场提供最优秀的应用防火墙解决方案。 |
| |
|
| 3. 符合WEB安全规范 |
|
 |
信用卡安全规范要求
国际信用卡安全规范要求主要组织为6个主要分类,要实现完全符合,企业必须满足12项要求:
• 建立一个安全的网络 要求1及2
• 安装及维护一个防火墙设置,保护信用卡用户信息
• 不允许使用供应商缺省的系统密码或其他缺省安全参数
• 保护信用卡持卡人的数据:要求3及4
• 保护存储的信用卡用户数据
• 在公共网络上以加密的方式传输信用卡用户数据
• 建立及维护一个威胁防范系统:要求5及6
• 采用定期升级的杀病毒软件
• 开发及维护安全的系统及应用
• 实施高度安全的登陆控制:要求7、8及9
• 对需要获取信用卡用户数据的业务做接触限制
• 每一个登陆的计算机用户赋予唯一ID
• 不允许物理上接触信用卡数据
• 经常性地监控及测试网络: 要求10及11
• 查询及监控所有网络资源及信用卡用户数据
• 经常测试安全系统及流程
• 建立及维护信息安全政策:要求12
• 建立公司内部的信息安全政策
Source: PCI Security Standards version 1.1 -
http://www.PCISecurityStandards.org. |
梭子鱼如何符合信用卡安全规范
梭子鱼应用防火墙,包括WEB应用防火墙及应用安全网关,设计目标是简单及成本效率高的解决方案,达到PCI
DSS规范要求。
|
| 要求 |
梭子鱼应用防火墙 |
| 1–安装防火墙 |
达到网络防火墙及应用防火墙要求 |
| 3–保护数据 |
代理WEB流量,隔离Web服务器而不允许黑客直接接触 |
| 4–加密 |
如果应用或者服务不提供SSL加密,应用防火墙提供SSL加密 |
| 6–保护应用威胁 |
阻断已知的或者零时攻击,同时阻断客户开发的、已有的、第三方的应用的前10个WEB应用攻击 |
| 7–限制接触 |
提供基于角色的安全政策管理 |
| 8–赋予独特的IDs |
集成外部认证系统,如LDAP等,赋予单一ID |
| 10–跟踪及监控登陆 |
提供应用层登陆,并与AAA系统整合 |
|
PCI
DSS规范最重要方面是保护应用威胁攻击,包括代码安全准则如开放WEB安全项目(OWASP).应用防火墙能完全防护以下安全威胁:
|
| 要求 |
梭子鱼应用防火墙 |
| 6.5.1 未经授权的输入(如隐藏字段造假) |
与合法应用行为及使用方式验证接收及外发的进程内容 |
| 6.5.2 破坏登陆控制 (如恶意使用用户ID) |
认证用户通过集成的LDAP、Radius,Cas
SiteMinder及RSA Access Manager登陆界面登陆 |
| 6.5.3 破坏认证及进程管理 (如cookie欺骗,进程劫持) |
自动加密进程cookie及赋予单独进程ID给用户进程 |
| 6.5.4 跨站脚本攻击 (XSS) |
检查及确认对任何恶意代码的用户输入及进站请求进行检查,检查后提交给后端服务器 |
| 6.5.5 内存溢出攻击 |
检查及防护通过头信息及录入字段超过内存容量的攻击行为 |
| 6.5.6 注入攻击(如SQL注入) |
验证所有的WEB请求及程序请求的合法性 |
| 6.5.7 不当错误处理 |
隐藏网站应用,使黑客无法通过错误测试了解系统漏洞 |
| 6.5.8 不安全存储 |
过滤及截取外发流量,保护敏感信息传输如密码,信用卡号码,账户信息等专有信息 |
| 6.5.9 应用层拒绝服务攻击 (DoS) |
监控及控制从单一用户对同一URL的请求数量 |
| 6.5.10 不安全的设置管理 |
代理所有接收及外发WEB流量,隔离任何的设置漏洞 |
|
|
| |
| 4. 产品型号 |
|
|
企业级系列产品: |
| 型号对比 |
Model 360 |
Model 460 |
Model 660 |
| |
|
性能* |
|
|
|
| 后端服务支持数量 |
1-5 |
5-10 |
10-25 |
|
接入WEB流量(Mb/sec) |
25 Mbps |
50 Mbps |
100 Mbps |
|
|
|
硬件 |
|
|
|
|
机架底盘 |
1U Mini |
1U Mini |
1U Full Size |
|
尺寸(in.) |
16.8x1.7x14 |
16.8x1.7x14 |
16.8x1.7x22.6 |
|
尺寸(cm.) |
42.7x4.3x35.6 |
42.7x4.3x35.6 |
42.7x4.3x57.4 |
|
重量(lbs. /kg.) |
12 / 5.4 |
12 / 5.4 |
26 / 11.8 |
|
前面板网卡接口 |
2 x 10/100 |
2 x Gigabit |
2 x Gigabit |
| 后背网卡接口 |
1 x 10/100 |
1 x 10/100 |
1 x Gigabit |
|
有效AC电源输入(安培) |
1.2 |
1.4 |
1.8 |
|
内存校验 |
|
|
 |
|
|
|
产品特性 |
|
|
|
|
安全加固的操作系统 |
|
|
|
| HTTP协议验证 |
|
|
|
| 常规入侵攻击防护 |
|
|
|
| 表单域数据提交验证 |
|
|
|
| 网站外壳 |
|
|
|
| 应答控制 |
|
|
|
| 数据窃取保护 |
|
|
|
|
HTML代码格式化 |
|
|
|
|
协议健康检查 |
|
|
|
|
文件上传控制 |
|
|
|
| 硬件旁路 |
|
|
|
|
代理主机 |
|
|
|
| 日志,监控和报表 |
|
|
|
| 高可靠性 |
|
|
|
| SSL卸载 |
|
|
|
|
负载均衡 |
|
|
|
| 硬件SSL加速 |
|
|
|
| |
|
|
行业级系列产品: |
| 型号对比 |
NC500AG |
NC1100AG |
NC2000AG |
|
|
|
性能* |
|
|
|
|
直通流量(Mb/sec) |
100 Mbps |
500 Mbps |
1 Gbps |
| HTTP连接/秒 |
2,500 |
12,000 |
44,000 |
| SSL连接/秒 |
2,000 |
9,000 |
16,000 |
|
|
|
硬件 |
|
|
|
|
机架底盘 |
1U Mini |
2U Full Size |
2U Full Size |
|
尺寸(in.) |
16.8x1.7x14 |
17.4x3.5x25.5 |
17.4x3.5x25.5 |
|
尺寸(cm.) |
42.7x4.3x35.6 |
44.2x8.9x64.8 |
44.2x8.9x64.8 |
|
重量(lbs. /kg.) |
12 / 5.4 |
39 / 17.7 |
39 / 17.7 |
|
网卡接口 |
2 x Gigabit |
2 x Gigabit |
2 x Gigabit |
|
有效AC电源输入(安培) |
1.4 |
4.1 |
5.4 |
| 冗余电源支持 |
|
|
|
|
内存校验 |
|
|
|
|
|
|
产品特性 |
|
|
|
|
安全加固的操作系统 |
|
|
|
| WEB应用安全防护 |
|
|
|
| 访问控制特性 |
|
|
|
| 日志及监控特性 |
|
|
|
| 基于策略的管理 |
|
|
|
| |
| 数据传输交换特性 |
|
|
|
|
连接池 |
|
|
|
|
SSL加速 |
|
|
|
|
缓存 |
|
|
|
| 数据压缩 |
|
|
|
|
负载均衡 |
|
|
|
| |
|
|
| |
| 5. 产品部署 |
|
| |
| 标准部署方式 |
| |
梭子鱼应用防火墙设计理念是简单及插入任何既有的数据中心环境,快速保护及加速WEB应用。梭子鱼应用防火墙提供多种灵活部署方式,包括桥接模式及路由模式。
|
| |
| 桥接模式 |
| |
|
桥接模式是对大多数已经有WEB流量的客户推荐的安装模式,保障简单快速地安装,不需要对前端及后端服务器修改任何IP地址。网桥是透明的,所以没有用户流量会被停止。 |
| |
| 路由模式 |
| |
|
路由模式为WEB应用提供最大限度地防护,应用防火墙对所有WEB流量起到一个完全反向代理(Reverse
Proxy)作用。做为一个反向代理,路由模式只允许预先设置,符合安全规范的流量通过;更重要的是反向代理控制所有与后端服务器通讯的通路,所以仅有被反向代理转发的流量才能抵达后端服务器。这是最灵活的部署模式,该模式允许采用应用防火墙基于内容的流量管理模式。 |
| |
| 多重网络环境 |
| |
梭子鱼应用防火墙可以部署支持多层应用及不同子网段既支持网桥模式也支持路由模式。
|
| |
| 容错 WEB应用环境 |
| |
|
一些机构可能仅需要单台应用防火墙,在网桥模式下,应用防火墙网卡放过可信的应用通讯。在严格的安全要求环境中,应用防火墙可以集群安装,这样一台down机情况下,用户业务将不间断进行。 |
| |
|
| 6.屡获殊荣 |
|
| 屡获殊荣的行业领导方案 |
| |
梭子鱼应用防火墙产品是梭子鱼全球收购Netcontinuum产品基础上发展起来,Netcontinuum产品在全球范围内被一致认为是市场的领导者:
Gartner公司防火墙领导象限 |
 |
 |
| |
| Forrester公司应用防火墙领导象限 |
 |
 |
 |
| |
 |
Yankee公司2005年就把NC应用防火墙列为市场领导者
“NetContinuum is poised to be the first
traditional WAF vendor to stake a claim
in the new Application Assurance
Platform market.”
Andy Jaquith, December 2005, declaring
NetContinuum a
“Market Leader” |
|
| |
|
