WAF技术概述课件

1、WAF技术概述,梭子鱼Web应用防火墙,我们使您的web应用更加安全,WAF技术概述,NetContinuum 背景,创立于1999年，总部 base 在加州的圣塔克莱拉（Santa Clara, CA） 产品被全球 225+ 客户使用，横跨 24 个国家 应用防火墙能够快速实现应用安全 应用网关能够非常快速方便的部署应用,Web Application Firewall,Secure Application Gateway,NetContinuum,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,WAF技术概述,我们的客户,2008 博威特网络技术（上海）有限公司。版权所有，

2、不得转载。,Bank,WAF技术概述,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,驱动力,企业关键业务逐步转向web模式,客户，员工，合作伙伴之间更多的互动 工作系统的英特网化 关键业务流程和数据在英特网上的暴露 协议和架构的标准化也带来更多的安全问题,WAF技术概述,风险评估与共识,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,分析新闻覆盖面的扩大,行业标准的浮现,接踵而来的产品评测,CSI/FBI 2005 Computer Crimes GE= ZV5;u 7JM4 m,Terminate and decrypt SSL,%2E%2E%2Fhome%

3、2Fuser %2F%7Eroot%2Fetc%2Fpas %2Fhomepage%2Findex%2,Normalize,./home/user /root/etc/p /homepage/index/pictures/thumbs.html,Apply Security Policy,阻断通过加密和编码进行伪装的攻击,NetContinuum：实现基础,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,WAF技术概述,保护应用基础架构 隐藏 Cookie 安全 Web 地址转换 根据应用强化安全 动态应用建模 弹性安全策略 颗粒度极小，可高度自定义的Web 访问控制列表,三步

4、实现应用安全,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,WAF技术概述,An Architecture to Web Applications,deploy,secure,control,端到端的应用安全,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,WAF技术概述,1,终止所有流量，我们就可以管理它。,tcp,ssl,严格意义上来说，这是“反向代理”。,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,部署,WAF技术概述,2,在边界对用户进行验证,LDAP,RADIUS,Client Certificates,Source IP,HTT

5、P Auth,CA SiteMinder,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,安全,WAF技术概述,3,标准化数据,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,安全,WAF技术概述,4,检查流量是否为恶意攻击,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,安全,WAF技术概述,梭子鱼web应用防火墙如何工作？,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,用户,对应用数据录入完整检查 完全掌握应有数据值类型 实时策略生成及执行,WAF技术概述,输入验证引擎侦测并阻断攻击 SQL 注入 跨站点脚本攻击 命令攻击

6、非法字符集 排除关键字 偷窃命令 参数访问控制列表 强化对表单字段和其他应用参数的安全策略 报头访问控制列表 强化对标准和自定义HTTP报头的安全策略 阻断隐藏在报头值中的攻击,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,输入验证,WAF技术概述,Cookie 加密保证会话的完整性 维护客户端会话完整性 保证用户信息的安全 Cookie 加密提供私密性 数字证书提供可靠性 对用户和应用完全透明,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,会话完整,WAF技术概述,全站点隐藏 隐藏资源信息，防止被偷窃 抵挡针对某个平台的脚本威胁 (nimda) 反爬行保护

7、 防止黑客探测 拒绝数据捕获 阻断站点下载和数据偷窃 允许合法爬行程序 Web 地址转换 隐藏 Web URL 允许内部系统安全的进行扩展,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,应用隐藏,WAF技术概述,数据偷窃防护,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,应用防火墙,用户,BLOCK,MASK XXXX-XXXX-XXXX-3456,MASK XXX-XX-1234,BLOCK,MASK ID# 123-XXXX,Employee ID ID# 123-4567,Social Security 550-55-1234,Credit Card

8、4321-4567-7654-3456,Drivers License A123456,Patient ID 134-AR-627,WAF技术概述,5,虚拟化部署,What Users See /finance /partners /login,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,控制,WAF技术概述,虚拟化部署,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,外部Web应用及服务,内部应用,应用防火墙,策略A 网站隐身 Web地址转换 立即SSL Cookie保护 深度检查 安全交易记录,策略B 网站隐身 立即SSL 登陆控制,公司网站,策略C 网

9、站隐身,通过一个单独网关部署多个独立管理的应用，各应用采用不同的安全策略在不修改网络架构的情况下增加新的应用 为多元化的机构提供显著的运营优势 实时配置修改后台系统，而无需让系统下线,WAF技术概述,6,终止了流量，我们优化它。,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,部署,WAF技术概述,加快应用的响应时间,NetContinuum,CPU Util %,缓存 压缩 TCP连接复用 SSL卸载和加速 负载均衡,Application Response Time,Bandwidth Consumption,30 400% 响应速度的提升以及完善应用安全,Server P

10、erformance,WAF技术概述,管理和应用流量框架分离 建立在多核处理器上的轻量级线程机制（寄存器，堆栈） 无系统 context switching 隐藏系统或者TCP协议栈 ICSA 认证授权的网络和应用安全,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,NCOS：高性能的保障,WAF技术概述,Reverse Proxy - Redundant,Application & Backend Servers,Web Application Firewall,,App1: 10 PIF: Eth1: 192

11、.168.9.1 Eht2: ,Active,Internet,Standby,Traffic normally flows through Active Firewall,On failure, traffic flows through Active Standby with full security state,App1: 10 PIF: Eth1: Eht2: ,www1: 0,www2: 0,www3: 0,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,状态冗余,WAF技术概述,行业领导的性能,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,高效能及低延迟 测试过程中安全及加速功能开启，充分证明设备性能!,采用1K大小数据包 单URL延迟,WAF技术概述,行业的领导者,2008 博威特网络技术（上海）有限公司。版权所有，不得转载。,“NetContinuum is poised to be the first traditional WAF ve