Citrix 应用防火墙介绍

挫败绕过网络防火墙和IPS设备的攻击

Citrix®ApplicationFirewall可保护Web应用免遭日益增多的应用层攻击，如缓冲区溢出、SQL注入、跨站点脚本攻击等。除了业经验证的出色攻击防御特性外，CitrixApplicationFirewall还能确保机密的企业信息和敏感的客户数据的安全性，保护身份资料免遭失窃。

性能卓越的Web应用安全解决方案

CitrixApplicationFirewall提供了业界性能最卓越的Web应用安全解决方案，可有效保护Web服务器的安全，改善应用响应时间，且不会降低数据吞吐率。其出色的性能可满足任何企业或数据中心的需求。

积极的安全模式

基于HTML的HTTP行业标准和最佳编码实践，CitrixApplicationFirewall的安全技术采用了积极的安全模式。任何背离积极安全模式的Web应用行为都将被当作潜在的威胁对待，并加以阻止。

通过识别正确的应用行为，积极的安全模式不依赖攻击特征符或型样匹配技术就能检测并阻止攻击。CitrixApplicationFirewall是唯一经过验证的可对未发布攻击实施全天候防御的软件。

适性化学习引擎

除了可对Web威胁提供现成的保护外，CitrixApplicationFirewall还可定制针对各种应用的安全策略，包括使用客户端Java脚本的策略。思杰的第三代适性化学习引擎能自动识别应用行为，生成建议性可读策略，这会帮助安全管理员更清楚地了解实际的应用行为，然后针对每个应用实施自定义安全策略和严格的接入控制。

保护Web应用

在目前的互联网攻击中，有超过70%是利用了应用程序的漏洞，请详细了解一下屡获殊荣的CitrixApplicationFirewall吧。

灵活的部署选项

CitrixApplicationFirewall可单独部署，也可与CitrixNetScalerApplicationDeliverySystems一起部署。

ApplicationFirewall集群提供了更高的可用型以及线性性能效益，以满足大型Web应用数据中心的要求，并具备出色的active/active可用性。

----------------------------------------------------------

高性能的Web应用交付解决方案

作为高性能的安全设备解决方案，CitrixApplicationFirewall™阻止了所有已知和未知的针对Web应用和基础架构的攻击。CitrixApplicationFirewall采用了积极的安全模式，只允许执行那些正确的应用行为，而且不依赖攻击特征符。它分析了所有双向流量，包括SSL加密通信，阻止了16大类Web应用漏洞攻击，同时不对应用作出任何更改。

CitrixApplicationFirewall技术可以作为CitrixNetScaler的一个可选功能或作为一个单独的产品提供。单独的CitrixApplicationFirewall可用于满足一系列性能需求的设备，并且能够与市面上的多种负载均衡的解决方案兼容。

应对当今的安全挑战

Web应用容易受到来自Internet以及机构内部的功击与威胁，因为它们前端的数据库存储了敏感而且有价值的信息。自定义和分层Web应用很容易受到攻击，采用固定特征符或补丁程序很难保护好这些应用。网络级安全基础架构如防火墙和入侵防御系统不能抵御应用层攻击，从而将Web应用和服务器暴露给了大量已知和未知的攻击和威胁。CitrixApplicationFirewall通过为所有Web应用提供集中化的应用层安全性而全面应对了这一挑战。

积极的安全模式的好处

CitrixApplicationFirewall采用了积极的安全模式来确保执行正确的应用行为。这种安全模式不靠攻击特征符或型样匹配技术就能识别“好”的应用行为，并阻止任何背离了正确应用活动的恶意行为。CitrixApplicationFirewall是唯一经过验证的可对未发布攻击实施全天候防御的软件。

有效的业务对象保护

CitrixApplicationFirewall实时阻止了敏感应用内容的无意泄露，这种无意的内容泄露会导致身份信息盗用和欺诈行为。业务对象保护模块可保护像信用卡或借记卡号码这种预见确定的对象以及其它管理上定义的数据对象的安全。通过检测错误泄露以及阻止或重写内容，业务对象保护模块协助企业满足了政府制定的隐私法规以及行业法规，如支付卡行业数据安全标准（PCI-DSS）。

采用Citrix适性化学习引擎来自定义安全策略

CitrixApplicationFirewall融合了第三代自适应学习引擎，这种引擎能识别各个方面的应用行为，即使Web应用允许执行，这些行为也有可能会受到积极的安全模式的阻止。一旦检测到应用行为，ApplicationFirewall就会生成建议性可读策略，这会帮助安全主管更清楚地了解实际的应用行为，然后针对每个应用实施自定义安全策略。

业界领先的性能

与其它高性能Web服务器相比较，CitrixApplicationFirewall的性能远远高过它们，通过卸载Web服务器的计算和存储密集型TCP连接管理，该软件有效地改善了应用性能和响应时间。ApplicationFirewall与服务器之间的通信只采用了少量持久TCP连接。

基于硅元件开发的专用SSL硬件可检测出加密信道中的恶意流量。通过减少服务器的此类操作，SSL加密和密钥生成卸载改善了总的应用性能。还有另外一个选择就是对ApplicationFirewall到应用服务器的通信过程进行完全加密。

集中保护所有Web应用的安全

ApplicationFirewall可利用每个应用的安全策略、控制、报告细节和记录数据的完全分离来保证企业整个Web应用基础架构的安全。

适应不断变化的业务需求的灵活性

ApplicationFirewall支持灵活的、逐步的Web应用的保护部署。默认的Web应用保护配置抵御最常见的危险威胁的同时，增加了全面的保护，防止数据窃取和4-7层拒绝服务攻击。

高级Web应用保护配置增加了高级Web应用的会话层分析保护功能，此高级Web应用包括了对敏感数据的已验证访问。而且保护范围扩展到Cookie、格式字段和会话专用URL等动态生成的元素。这种保护对于电子商务、在线金融服务和安全的外联网应用都是强制性的，并且它还具备应用学习能力，针对行为可能会违背默认安全策略的某些应用帮助管理员创建安全策略的可管理例外。

多种硬件平台都采用了CitrixApplicationFirewall，以满足包括小企业和大型数据中心在内的各大机构的不同的性能和可用性需求。同时还提供了满足FIPS-140-2三级标准的模块。

CitrixApplicationFirewall产品概述全面保护Web应用和Web服务器

主要特性

阻止16大类Web漏洞攻击

●缓冲区溢出

●CGI-BIN参数处理

●表格/隐藏字段处理

●强制浏览

●信息块或会话中毒

●被破坏的访问控制表或弱口令

●跨站点脚本编写（XSS）

●命令注入

●SQL注入

●引发敏感信息泄露的错误

●不可靠的密码系统应用

●服务器错误配置

●后门和调试选项

●网站涂改

●已知的平台漏洞

●零时差攻击

全面保护Web服务器和Web服务的安全

深度流量检测

●双向流量分析

●HTTP及HTML包头和攻击行为检测

●HTML深层分析

●语义提取

●会话层及状态分析

●协议中立

HTML格式字段保护

●要求字段返回

●不允许任何添加字段

●只读和隐藏字段执行

●下拉列表与无线按钮字段一致性

●格式－字段的最大长度Cookie中毒防御

●确保Cookie不会更改

强制浏览保护

●合法的URL实施

Web应用内容的完整

●保护Web站点不被涂改

●阻止StopWord

SSL完全卸载

●在检测前解除流量加密

●在上传前执行流量加密

●可配置的后端加密设置

●可采用FIPS140-2三级平台

●支持客户端证书

简化的管理和部署

用户接口

●安全的基于Web的GUI

●基于SSH的CLI访问网络管理

●简单网络管理协议（SNMP）

●基于Syslog的记录

主要优点

提供PCI-DSSv.1.1合规性

保护信用卡和借记卡账号号码，帮助机构遵从支付卡行业数据安全标准

保护敏感的客户信息