服务 服务对前端用户和后端Web服务器之间的数据流进行处理。服务定义了传输层的访问点,由前端的虚IP和端口构成,并与后面的真实服务器对应。 服务创建时使用默认的Web防火墙策略,根据用户的需求,可以在安全策略>策略管理中创建新的策略或修改策略。 Web站点配置
Web站点配置可以用来描述一个Web网站,可以对网站的某个URLs或form参数进行配置。 每个Web网站都可以配置URL参数,在相应的URL配置下还可以设置form参数,以提供安全防护。 配置和动作是有区别的,动作是当某个请求不符合配置采取的行为。配置和动作结合在一起决定了某个不匹配的访问如何处置。 例如,某个配置定义了URL中含有5个参数及其参数名,这意味着一个请求中含有4个或6个参数是不符合配置的。但不同的情况下有可能采取不同的配置,例如有时候为否定访问请求,有时候则只是记录有时则为忽略。 Web站点配置在服务创建的时候自动生成,如果参数“使用配置”被设置成“是”,那么URL配置和参数配置将被创建,访问服务的请求将依据配置进行判定。 服务监控 服务监控(有时也称健康检查)用于判定与梭子鱼Web应用防火墙相连的下游真实服务器的可用性。每一台服务器可以采用测试方法检测服务器的可用性。 信任主机 梭子鱼Web应用防火墙可以设置信任主机,来自该主机(IP)的所有请求都将是受信任的,予以响应。
Web Site Firewall Concepts 25
Web站点安全 协议检查 首先,梭子鱼Web应用防火墙将检测进来的是何种HTTP请求。HTTP/1 .0 和 HTTP/1 .1的请求将被许可,HTTP/0.9或更低的版本将被自动阻断。 请求限制 HTTP请求中的信头信息描述了数据的内容。但是信头中可能包含黑客注入的恶意代码,限制HTTP请求头信息可以阻止恶意程序通过(信头过大过长的请求将被丢弃),适当限制措施可以减轻缓冲区溢出、DoS攻击。 站点隐藏 大多数成功的Web攻击从探测网络漏洞开始,互联网上有很多的探测工具,能轻松地对应用程序、服务器、URLs等进行漏洞扫描。梭子鱼Web应用防火墙能帮助企业网站隐身,黑客将无法直接访问企业Web系统,无从进行探测。梭子鱼Web应用防火墙还隐藏URL的返回码、HTTP头、后端设备的IP。梭子鱼Web应用防火墙能完全中止对内和对外的TCP/IP会话,访问者将无法直接访问Web服务器、应用服务器、操作系统、或者补丁。甚至Web访问出错信息都将由梭子鱼Web应用防火墙回复,这样避免黑客根据Web系统的出错信息找到攻击线索。 Cookie安全 cookie是由Web服务生成的很小的简单文本文件。Cookie在客户端的浏览器上保留了Web应用的状态信息:如用户参数,购物篮选项;有时也可能记录了用户的敏感信息如注册登陆信息。如果cookie被暴露,用户信息很容易遭到攻击。 服务器向客户端浏览器发送cookie,(且不论这个小的数据包中存放的是什么信息),这个cookie能维持后续的无状态连接。由于cookie是简单的文本,容易被改变或者敏感信息被窃取,从而导致Cookie攻击。 26
Barracuda Web Site Firewall Administrator’s Guide
允许/阻断 规则 梭子鱼Web应用防火墙可以按URL设置细粒度的策略。可以设置某个URLs被许可或拒绝访问。可以在站点 > 允许/阻断 > URL ACLs 或安全策略 > 全局ACL中进行设置。
Concepts 27
Web Site Firewall
负载均衡 负载均衡是一种将流量均匀的分配到多台服务器上的网络设备,避免单台服务器负载过大,加快Web流量的交付。 梭子鱼Web应用防火墙也具备负载均衡的功能,它能检查进来的流量,并根据一定的算法将流量分配给适当的服务器,以保障服务器负载均衡。梭子鱼Web应用防火墙460及以上型号具有这个功能。 梭子鱼Web应用防火墙负载均衡功能: ·根据用户配置的流量分配方法将流量发送到适当的服务器上。 ·自动检测服务器的状态,健康的服务器才可以分配流量。 ·裁剪服务器不需要中断网络流量。 ·提供保持功能,在一段时间内或cookie期满内,始终维持由某台服务器响应某个客户端连接请求。某些Web应用可能需要这个功能,例如某个在线交易应用网站,当某个用户登陆到某台设备上选购产品时,必须具备保持功能,否则,如果用户的下一个请求分配到别的服务器上,那么购物篮中的物品将清零,导致整个网站无法正常使用。 ·服务中所有的服务器都当机时可以将流量导向特定的服务器。 28
Barracuda Web Site Firewall Administrator’s Guide
高可用性
梭子鱼Web应用防火墙360及以上型号均具备高可用性功能,两台梭子鱼部署时当主机出现故障时备机自动接管服务。两台设备必须部署在同一网络中,采用心跳模式检测主机健康与否。 注意 设置高可用性(集群),两台设备的软件版本需要一致。
Web Site Firewall Concepts 29