ction 15
图 1.2: 梭子鱼Web应用防火墙的结构Introdu
梭子鱼Web应用防火墙的功能 梭子鱼Web应用防火墙提供下列功能: ·Web防火墙 ·负载均衡 ·Web站点隐藏 ·策略设置向导 ·安全策略 ·被动模式监控 ·分应用自定义策略设置 ·SSL编码 ·证书管理 ·性能 ·高可用性 ·动态更新 ·日志和报表
·高可操作性 Web防火墙 梭子鱼Web应用防火墙通过对Web流量进行深度检测对Web应用进行深度防护,提供了全面的入侵防御能力,它能在所有网络层执行安全检查或安全策略。 在应用层,梭子鱼Web应用防火墙能在攻击到达Web服务器之前进行阻断,防止恶意的请求或内置非法程序的请求访问目标应用。梭子鱼Web站点能重组、规格化、解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到header、表单 和URL中的脚本将被阻止。Web应用防火墙还能进行web地址翻译、请求限制、URL格式定义及cookie安全。 梭子鱼Web应用防火墙能阻止一系列的攻击,无论是已知的或未知的,包括“零日攻击”。能够阻止那些最常见的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL 16 Barracuda Web Site Firewall Administrator’s Guide
17 注入。 Web应用防火墙支持细粒度配置,例如:CGI脚本中事件ID、帐户号、日期、密码等可以包含很多的参数,合法的密码参数可以包括特殊字符例如(!),但是这个符号在很多情况下会在恶意脚本中使用。Web应用应用防火墙可以在其他地方拒绝这个符号而单独允许在密码中存在。 负载均衡 梭子鱼Web应用防火墙可以作为独立的负载均衡设备或者和其他负载均衡设备配合使用,梭子鱼可以安装在一组服务器的前端并根据算法将流量分配到服务器中。 Introduction
梭子鱼Web应用防火墙具备下列负载均衡功能: ·依照用户配置的流量分配算法将流量发送到响应的服务器上。 ·服务器健康检查功能。 ·裁剪服务器时不需要中断网络 ·支持保持功能。 ·当所有的web服务器出现故障时,可以将HTTP的请求重定向到指定的服务器。 Web站点隐藏 成功的Web攻击往往由探测网络漏洞开始,在网络上很容易找到漏洞扫描工具对一个网站的应用程序、服务器、URL等进行扫描。梭子鱼Web应用防火墙提供站点隐藏功能,黑客将无法查看web的源信息,梭子鱼Web应用防火墙URL返回码,HTTP头信息以及终端服务器的IP。梭子鱼Web应用防火墙能完全的中止所有的Inbound或outbound会话,因此用户无法直接连接到Web服务器上,无法直接访问服务器、操作系统或补丁程序。此外如果将web应用防火墙部署在Web站点之前,访问出错信息也将由Web应用防火墙提供,后端服务器的出错信息不会直接返回给用户。这样,一些高明的黑客就无法通过出错信息发动攻击了。 策略设置向导(推荐使用) 策略设置向导使用户能够很方便的设置允许或拒绝某种访问。在防火墙的日志中,所有的请求和响应如果因为默认而被阻断,可以通过策略向导很方便的进行修改,而不需要人工的查找配置修改的地方。这极大的简化了设备的监控与管理。 安全策略 梭子鱼Web应用防火墙提供默认的安全策略对Web网站或应用进行严格的保护。除了默认的策略外,用户还可以创建客户化的策略。每个策略下分为若干子策略: ·HTTP协议合规性 ·SQL注入阻断 ·操作系统命令注入防护 ·跨站点脚本攻击防护 ·表单/cookie篡改防护 · DoS攻击防护 ·Web站点隐藏 18 Barracuda Web Site Firewall Administrator’s Guide
请求限制 限制HTTP请求Head大小避免恶意代码通过,超过规定大小的请求将被丢弃。正确配置请求限制还能减轻Dos攻击、缓冲区攻击。 Cookie安全 采用HttpOnly Cookie技术,HttpOnly是Cookie的一个属性值,在ie6.0以上可以支持,设置这个属性值后黑客无法劫持Cookie,这将在很大程度上避免跨站点脚本的攻击。将Cookie超时设置短一些能最大程度避免cookie被窃取。 URL/参数策略组合 URL策略组合通过核对URL合法性配置保护服务器免受攻击,参数策略组合通过核对流量中是否含有非法参数保护服务器免受攻击。 数据窃取防护 数据窃取防护能保护个人或企业重要的信息如社会保险号、信用卡号或其他的涉及个人隐私或企业重要信息的数据外泄。 URL 标准化 梭子鱼Web应用防火墙将所有的流量转换成标准的或规范的格式,以便进行规则比对。在HTTP数据而言,将数据编码成Unicode或UTF或十六进制。否则,黑客使用某种奇特的编码将使得规则对比无法成功。 全局ACL 定义对web站点或web服务器的访问控制。 动作策略 动作策略定义了对某种Web攻击采取什么类型的防护行为。 被动模式监控 架设web应用防火墙可能意外的现象,应用某个不当的规则可能影响当前应用的正常使用,因此不少管理员都在犹豫要不要使用最高安全等级的过滤策略。保守监控功能可以帮助用户解决这个担忧,利用这个功能用户可以在不影响使用的前提下进行策略配置。 梭子鱼Web应用防火墙在被动模式下可以用来观察某条规则的影响,管理员根据监控的情况分析这条规则是合适的还是会产生副作用的。
uction 19 Introd