梭子鱼介绍课件

梭子鱼Web应用防火墙——Web应用交付融合解决方案概要需求分析梭子鱼Web应用防火墙功能与应用市场竞争与分析案例分享近年来热点事件国内网站被攻击事件2008年10月，三鹿网站被改名为三聚氰胺网站2008年，清华大学网站被攻击，以校长名义发通告2008年，中国大学生制作的反CNN网站被黑2009年2月，云南晋宁县政府网站被改为“躲猫猫”网站。2009年2月，法国驻华大使馆网站被黑。国外网站被攻击事件2008年6月，奥巴马竞选网站被攻击2008年7月，美国某网站数百万客户资料被泄露2008年4月韩国拍卖类网站Auction.co.kr被黑客以CSRF攻击方式盗取1千8百万条记录统计数据来源CRCERC国家计算机网络应急中心——2010年报

IDG新闻——2009年1月NetworkWorld——2009年4月ComputerWorld——2009年4月攻击造成的危害2010年中国大陆34854个网站被黑客攻击2008年数据为

656件；共被窃取285万笔资料，超过2004-2007的总和外部占75%內部占20%(Partner占32%)94%以”Web攻击（HTTP协议）”方式入侵。其中79%使用SQL

注入，64%使用多种攻击手段配合35%受害者为商业或企业用户，7%为政府单位及军方如果部署专业应用防火墙，就能防范这类攻击的发生思考我们的安全意识误区误区一我的网站基本不受攻击，从来没发生过攻击行为，相当安全。很多网站都以为很安全，但当攻击一旦发生，后果不堪设想。误区二我的网络中已经有网络防火墙、IPS等安全设备，不可能遭到Web攻击。所有的网络都包含这些基本的安全设备，但是攻击还是发生了。结论三：Web防护迫在眉睫！结论二：不可见不等于不存在！结论一：威胁无处不在，攻击如影随形！国内WAF行业相关政策规定影响行业相关法规相关条例概述门户网站、新闻网站、电子商务网站互联网安全保护技术措施规定（公安部令第82号）

要求必须能够防范网站、网页被篡改银行、运营商互联网安全保护技术措施规定（公安部令第82号）规定必须记录并留存用户登陆和退出时间、主叫号码、账号、互联网地址或域名概要需求分析梭子鱼Web应用防火墙功能与应用市场竞争与分析案例分享9IPaddressTCPportHTTPheaderCookieURLFormdataDoS攻击报文泛滥PingofdeathTCP会话劫持PacketfragmentationWeb应用根本原因:攻击嵌入到正常业务流中，而这些业务流恰恰是防火墙允许通过的！端口80/443流量允许通过为什么传统防火墙不给力？工作层次由于当今网络技术纷繁复杂，因此相应的攻击手法也层出不穷。但是“万变不离其宗”，所有的技术都是基于标准的OSI7层模型。因此，只要能够清晰地将攻击行为进行层次划分、精准定位，就能做到“对症下药”，防范于未然。7.应用层（各种服务器） HTTP协议攻击 Web应用防火墙、IPS6.表示层5.会话层4.传输层（路由器） TCP攻击（网络DDoS）

网络防火墙3.网络层（路由器） IP攻击（源地址欺骗）

网络防火墙2.数据链路层（交换机） MAC地址欺骗

网络防火墙1.物理层（各种电缆、网线）梭子鱼WAF产品理念：安全防护+流量优化Web应用防火墙通常工作在反向代理的模式下。能够进行TCP代理、NAT、SSL卸载、流量标准化等相关处理；同时，Web应用防火墙能够对HTTP请求和响应进行双向的扫描和过滤。

防护可以分为被动防护和主动防护。不同的防护模式考虑的角度不同，单一的防护模式无法对应用进行全面的防护，因此，完善的防护体系是被动与主动的有机结合。服务器由外至内流量扫描：7层攻击由内至外流量扫描：数据窃取梭子鱼WAF基于先进的反向代理模式，提供负载均衡及应用加速功能被动防护：什么是危险的？

被动防护（黑名单防护）通常使用的更多。识别出一种危险的模式并且配置自己的系统阻断它。这个操作简单而有趣，却不十分安全。它依赖于人们对于危险的认识，如果问题存在，却没有被意识到（这种情况很常见），就会为攻击者留下可趁之机。

被动防护的核心是特征库，其防护质量完全依赖特征库的全面性和及时性。特征库过于庞大时，可能导致性能的下降；此外，特征库是已知攻击，无法防护未知攻击（零日攻击），最小的时间差也能导致攻击的成功入侵。

防护内容：已知的SQL注入、XSS（跨站脚本）、命令注入等攻击被动防护的典型代表：IPS、IDS主动防护：什么是安全的？

主动防护模式（白名单模式）是一种制定策略的更好方式,非常适于配置防火墙策略。在Web应用安全领域中，主动防护模式的核心就是为用户提供一个根据自身应用特性、完全自定义、颗粒度超细的策略配置模型。主动防护也存在缺点，其最大的缺点就是需要花费时间进行策略的精心配置，但是防护效果佳。

目前Web应用防火墙通常都具有所谓的“学习功能”或“动态建模”，两者异名同理。学习功能属于主动防护，其工作原理就是在于Web服务器的通信过程中学习网站的参数，形成策略。优点在于能够与网站的变动保持一致，因为学习行为能够根据设定的时间间隔反复进行。流量优化

流量优化功能并非锦上添花，而是保证业务持续可靠的强劲后盾。优秀的应用防火墙产品必须具备流量优化功能。由于应用防火墙大部分工作处在第7层，因此需要更多的资源和时间进行数据包的分析和处理，这将加大延迟，为了弥补为了达到安全性而牺牲的延迟，必须使用流优化功能对增大的延迟进行有效弥补，甚至直接提升客户端的访问速度。负载均衡（各种算法和会话保持机制）TCP连接复用（提升服务器性能）SSL卸载（提升服务器性能）应用加速（缓存和压缩）应用交付（应用层负载均衡）梭子鱼流量优化15会话控制TCP会话终止SSL终止HTTP协议恢复与遵从FTP协议遵从HTTP头文重写URL地址翻译URL速率控制安全保障应用程序伪装AAA体系白名单Forms防护Cookie防护数据窃取防护动态学习引擎SQL&OSCMD注入攻击防护XSS攻击防护客户自定义黑名单应用保障缓存GZIP压缩TCP连接校验SSL前段卸载及后端卸载Layer7内容交换负载均很服务器&应用程序健康检查，Failover机制用户Web应用程序终止安全加速集中控制BarracudaNetworksConfidential16部署非代理技术WAF产品=将服务器操作系统和TCP协议栈等直接曝露与Internet.

部署代理技术WAF产品:Web地址翻译–非代理技术无法重置地址信息服务器伪装

–非代理技术无法提供伪装SSL–非代理技术的SSL速度缓慢Cookie安全

–非代理技术无法防护用户ID窃取L7速率控制–非代理技术无法防护DOS攻击鉴权和认证–非代理技术不具备AAA体系防数据泄漏–非代理技术无法对由内至外的数据提供掩护响应报头加速–非代理技术无法提供加速功能代理技术

与非代理技术:安全技术的本质差异站点信息隐藏—使黑客无从下手OWASPTOP10攻击防护（SQL注入,CSRF,XSS等)Cookies/URL/Parameter防篡改病毒过滤，XML防火墙，会话跟踪，地址过滤PROBLEMEasytodiscoveragoldmineofcluesaboutappenvironmentWebApplications黑客WhiskerscanningServers:MicrosoftIIS4.0Windows2000SP2FrontPage/623VulnerableURL:cgi-bin/code.php3VulnerableURL:cgi-bin/admin.php3

对外部访问隐身Web服务器类型应用服务器类型操作系统版本号版本更新程度已知安全漏洞IP地址工作站信息WhiskerscanningServers:COULDNOTDETERMINEServerreturnednodataVulnerableURL:

Nonefound强大的Web应用防护体系梭子鱼WAF设备1818对Web服务器安全防护WebApplications页面数据验证

协议验证字符串过滤

输入大小验证

可选项验证

参数类型验证

用户验证1919对加密数据流的安全防护WebApplications

策略应用前首先进行解密操作

通过梭子鱼WAF产品进行SSL卸载操作，不再依赖于服务器

释放服务器资源用以处理其它应用BarracudaNetworksConfidentialHTTPSHTTP2020对服务器返回数据的防护WebApplications深度包检测机制：对服务器外送的内容进行检测并阻止

信用卡信息

社会保障卡信息

用户信息BarracudaNetworksConfidential外部Web应用及服务内部应用策略A

网站隐身Web地址转换

即时SSLCookie保护

深度检查

安全交易记录策略B

网站隐身

即时SSL

登陆控制公司网站

策略C

网站隐身通过一个单独网关部署多个独立管理的应用，各应用采用不同的安全策略。在不修改网络架构的情况下增加新的应用。为应用多元化的组织机构提供显著的运营优势

实时配置修改后台系统，而无需让系统下线细致的分应用配置梭子鱼WAF设备22梭子鱼WAF产品为您带来的利益保护WEB网站/应用安全网络增量与网络提速提供可视的日志和审计报告法规遵从OWASP防护病毒扫描数据窃取伪装XML防火墙服务器应用加速设备

IDP,IPS登入控制缓存设备负载均衡设备梭子鱼WAF设备SSL卸载审计规划缓存压缩负载均衡客户工程师概要需求分析梭子鱼Web应用防火墙功能与应用市场竞争与分析案例分享竞争分析网络防火墙工作在OSI模型三、四层，基于IP报文进行检测，基本不识别应用层数据。IPS/IDS典型被动防护模式，高度依赖特征库，只能防护已知攻击。网页防篡改系统Web应用防火墙基于事后恢复的原理，攻击实质已经发生。应用层DDoS，CC攻击，Cookie窃取，XSS攻击，零日攻击，双重编码攻击，SQL注入主流厂家竞争分析代表厂商梭子鱼F5,CRITIX对比分析基于代理技术，梭子鱼应用防火墙前身是行业领先NetContinuum。梭子鱼在收购NetContinuum后，秉承了其强大的应用层防护和应用优化功能。基于代理技术，在其原本的应用交付的基础上加入应用层防护功能。IMPERVA基于代理技术，在应用防护的基础上，加入了数据库安全。其不足之处在于应用优化的功能不如其他厂家优秀。类型国外厂商国外厂商国外厂商绿盟基于非代理技术，在IPS的基础上加入了主动防护功能，实现了应用防护的目的。产品侧重于网页防篡改功能。国内厂商27梭子鱼的优势品牌优势：梭子鱼专注于安全领域，全球超过70000套WAF设备的部署使用优势：硬件类产品，部署方便快捷服务优势：EU和IR服务包，梭子鱼能更加持久的为用户提供服务，国内成立技术支持中心总和成本优势且可控Barracuda