分应用自定义策略设置 一台梭子鱼Web应用网关支持对多个应用的防护,不同的应用可以配置成不同的安全策略。比如,B2B的网站需要配置Web防护,加密、认证已经详细的访问记录。而一个HR站点可能只需要机密和中等程度的日志。梭子鱼支持对多个应用客户化单独配置功能。 SSL 加密 安全套接字层 (SSL)能提供一个加密的(公钥私钥配对)可靠的连接。许多商业网站采用SSL传输以保障数据安全,不过SSL的加密通常费时费力。 梭子鱼Web应用防火墙能简便的对整个Web站点SSL加密,用户不需要更改后台程序或服务器,梭子鱼能终止访问的HTTPS会话并将其解码,对后端返回的流量又能自动加密成HTTPS的流量。 梭子鱼Web应用防火墙支持两种SSL长度:40位压缩和128位压缩(长度越长,越难以破解,加密的安全性越高)。梭子鱼还同时支持SSL和传输层加密协议(TLS)。 梭子鱼Web应用防火墙能卸载服务器上的所有SSL进程,释放进程资源,优化服务器的系统资源。没有SSL进程所导致的瓶颈,现有的服务器将能更好地处理现有的Web流量,而用户则能体验到更快的响应,同时数据传输也更安全从而避免数据被监听。 证书管理 梭子鱼Web应用防火墙允许用户上传PKI进行加解密。包括签名和从证书颁发机构购买的证书。 用户也可以用梭子鱼Web应用防火墙生成并使用自己签名的证书。 性能Performance 梭子鱼应用防火墙最大可以处理每秒1000000个TCP并发连接和4000个SSL会话。大幅降低了终端服务器的开销,也明显抵消了因为提高安全而增加的性能开销。 数据端口支持10/100-Mb或者1Gb。您可以将梭子鱼Web应用防火墙串联部署,设备前面板的一个端口接上游设备,另一个端口接后端的真实服务器组。在单臂模式下,只连接一个端口作为数据通讯端口。 20 Barracuda Web Site Firewall Administrator’s Guide
梭子鱼Web应用防火墙具备负载均衡功能,具有流量管理能力。它能将多个服务器整合成一个冗余系统,能侦测服务的状态并自动裁剪服务器。从而提高系统的安全性。 高可靠性 两台梭子鱼Web应用防火墙可以配制成容错的集群。正常情况下,每台梭子鱼处理自己的会话,同时作为另外一台伙伴机的冗余备份设备。如果一台梭子鱼发生故障或处于单用户模式,则这台设备上活动的服务将自动的转移到伙伴网关设备上。活动的梭子鱼维护着会话的状态信息,因此在故障发生时会话不会中断。 多数情况下,梭子鱼的管理员不必将设备离线而直接在线进行配置——增加、修改或删除服务器都不会影响现有的设备。 动态更新 完成梭子鱼的安装后,您需要订阅梭子鱼动态更新和立即替换服务,(请您注意检查订购状态),这样您的梭子鱼才能从梭子鱼中心接收到最新的攻击或安全规则库。否则您将无法更新和升级。 日志和报表 梭子鱼Web应用防火墙记录了重要事件的日志信息,梭子鱼记录的日志信息非常全面,支持多种搜索方式,这些日志信息可以帮助用户搜索并分析可以流量,进而优化安全策略。 梭子鱼Web应用防火墙的报表功能十分强大,在日志的基础上可以生成各种报表,还提供报表模板,大大方便了管理员的数据分析,增强了系统的易用性。 高可操作性 梭子鱼Web应用防火墙采用图形(GUI)管理和配置界面,直观且支持多任务,跟用户平时的使用习惯一致,可用性高。 Web安全技术及某些配置可能比较复杂,因此我们将产品的界面设计得特别容易使用和管理,一般而言,对于新用户而言,默认配置能够为其足够的安全防护;而老用户则可以用它进行客户化的策略配置。 21 Barracuda Web Site Firewall Administrator’s Guide
第二章 Web应用防火墙概述
本章概述梭子鱼Web应用防火墙,包括: ·基本术语 ·服务 ·信任主机7 ·Web站点安全 ·负载均衡 ·高可用性
Web Site Firewall Concepts 22
基本术语 下表列举了梭子鱼Web应用防火墙中使用术语,正确理解这些术语将有助于管理梭子鱼Web应用防火墙。 表 2.1: 基本术语 术语 ACL
描述 网络访问控制列表ACL定义了IP防火墙规则,该规则定 义一个数据包通讯方式,如果一个数据包匹配该规则, 则允许其通讯。
证书
证书是一段加密的数据声明,表明用户是受信任的。证书包括公钥和多种证明信息。证书可以在梭子鱼上创建和存储,也可以从第三方获取后存储在梭子鱼上。
cookie中毒 HTTP是一个开放的协议,这意味着它与连接状态和会话的内容
无关。Cookie是一个小文件存储在内存或硬盘中,用于维护一个Web应用的状态。Cookie中通常包含了会话ID信息(session ID),包括用户的认证信息如用户ID和密码。Cookie中毒就是劫持并篡改cookie中的数据,通常伪造成另外一个用户的在线身份。 跨站点脚本攻 跨站点脚本攻击是最常见最典型的Web应用攻击类型,黑客或
者说恶意的Web访问者将恶意代码注入到某个页面中供其他的访问者浏览以发起攻击,攻击的对象一般是第三方,也可能是访问者或本网站· 恶意浏览 恶意浏览试图访问那些网站中未提供访问链接接的文件或目录,
或超越授权访问网站中的文件或目录。如
http://someapp.com/guests/welcome.html是可以正常访问的文件,但恶意浏览却试图访问
http://someapp.com/members/welcome.html 但是网站并没有发布这个文件。 负载均衡 私钥
负载均衡根据流量分配的办法将流量分配到一组服务器上。梭子鱼Web应用防火墙基于用户配置负载均衡。
私钥是密钥的一部分,公钥和私钥成对出现,公开的密钥叫公钥,仅个人用户知道的成为私钥,私钥可以在梭子鱼上存储或创建。
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
SQL注入
Web Site Firewall Concepts 23
术语 服务
描述 服务是用户访问web站点的入口,服务需要设置VIP并建立某种对真实服务器的访问方法(如负载均衡、SSL加密、认证、缓存等)
由第三方组织颁布的证书成为签名证书。
签名证书
SSL 安全套接字,一种加密的通讯协定,用以数据传输的安全。 Syslog 记录了对网络访问的时间及事件。
TCP 会话劫持 TCP会话劫持假冒TCP会话中一端的IP地址, (HTTP采
用TCP传输方式),从而监听或注入恶意的数据流。 受信任证书 受信任证书由CA发行,意味着在SSL通讯中该证书将通过认证
。 虚拟IP (VIP) 虚IP由用户在梭子鱼Web应用防火墙上创建,虚IP和真实服
务器的IP绑定,外部用户访问虚IP就可以访问真实服务器上的Web应用。 Web日志 Web日志记录了对Web访问的情况,包括Web应用防火墙对该
访问许可或禁止的情况。它和Web防火墙的日志是有区别的,Web防火墙记录的是对Web防火墙访问管理的事件信息。. Web蠕虫 Web蠕虫是一种针对Web网站的恶意程序,改程序自动复制,
攻击Web应用的80或443端口。
24
Barracuda Web Site Firewall Administrator’s Guide