梭子鱼WEB应用防火墙WAF通用项目方案.docx
《梭子鱼WEB应用防火墙WAF通用项目方案.docx》由会员分享,可在线阅读,更多相关《梭子鱼WEB应用防火墙WAF通用项目方案.docx(13页珍藏版)》请在咨信网上搜索。
1、WEB应用安全项目建议书梭子鱼WEB应用防火墙通用方案文档修订记录标题WEB应用安全项目建议书-梭子鱼WEB应用防火墙通用方案文档类型产品文档 设计方案 实施文档 配置文档测试文档其他当前版本V1。0文档作者梭子鱼(中国)文档审阅创建日期2012/5/14文档名称WEB应用安全项目建议书-梭子鱼WEB应用防火墙通用方案更新者更新内容及版本更新时间潘渊文档建立2012/5/14文档说明此文档是由梭子鱼公司(中国)于2012年制定的内部文档.本文档仅就Barracuda Networks内部与相关合作伙伴和Barracuda Networks最终用户使用。版权说明本文档中出现的任何文字叙述、文档格
2、式、插图、照片、方法、代码等内容,除由特别注明,版权均属于Barracuda Networks所有,受到有关产权及版权法保护。任何个人、机构未经Barracuda Networks书面授权许可,不得以任何方式复制或引用本文档的任何片断。目录第一章前言4第二章WEB应用安全分析41。WEB应用漏洞定义42。攻击导致的后果53。企业组织所面临的安全挑战54.传统安全产品的缺陷6第三章梭子鱼WEB应用防火墙的技术优势71。梭子鱼应用防火墙工作原理72.梭子鱼应用防火墙三层防护机制8第四章XXX有限公司WEB应用安全需求分析及项目方案171。客户背景172。XXX公司的相关需求175。网络架构和部署1
3、86。梭子鱼型号的选择19第五章梭子鱼WEB应用防火墙产品国际评测211。奖项证明21第六章梭子鱼WAF客户情况22第一章 前言梭子鱼应用防火墙产品是一款集成化的产品,它能够在完全的获取和管理Web应用过程中进与出的每一个事务。同时它也是一款高性能,双向HTTP代理设备,允许系统管理员针对每一个应用的每一个会话指定精确的安全,内容和流量的规则。梭子鱼提供企业级的应用防火墙。基于梭子鱼私有的操作系统,应用防火墙通过终止,安全,加速web应用会话流量,提供给数据中心一个非常有价值的解决方案,来控制至关重要的web应用.梭子鱼产品的拓扑和管理是非常简单的。最重要的是,梭子鱼应用防火墙是完全遵循WAS
4、C和OWASP组织的协议来开发的。第二章 WEB应用安全分析1. WEB应用漏洞定义Web应用由于其具备以下以下特点,经常更改,不彻底的开发编写,没有经过严格的测试;导致web应用出现了大量的漏洞,这些漏洞甚至将整个企业服务器或网络暴露给了外界。企业不得不定期的检查服务器设备是否存在web应用漏洞,简单地测试,总结一些对策,以保护web应用不受攻击。下面列举一些最为典型的攻击类型,这些攻击将会导致非常严重的安全事件: 缓存溢出 差劲的应用编码会尝试将应用数据存储于缓存中,而不是正常的分配,这将最终导致一个攻击,借此,恶意代码将溢出到另外一个缓存中来执行恶意代码. 跨站点脚本攻击 攻击类型的代码
5、数据被插入到另外一个可信任区域的数据中,最终导致使用可信任的身份来执行攻击 服务拒绝攻击 - 这种攻击会导致服务没有能力为正常业务提供服务 异常错误处理 错误发生时,向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。 有问题的或者不存在的session ID - 当session ID没有被正常使用时,攻击者可以破坏Web会话,并且实施多个攻击(通过冒用其他的可信任的凭证),借此来绕开认证机制. 命令注入 - 如果没有成功的阻止带有语法含义的输入内容,有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容(SQL语
6、句),应该保持简单,并且不应该还有可被执行的代码内容. 脆弱的认证 利用脆弱的认证机制或者未加密的数据来获得访问,破坏和控制数据是一个非常严重的问题.通过正确的开发Web应用可以轻而易举的避免此问题. 未受保护的参数传递 利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器,浏览器在将HTML传回给服务器之前,是不会修改这些参数的。 不安全的存储 对于Web应用程序来说,妥善的保存密码,用户名,以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式,但是一些企业会采用那些未经实践验证的加密解决方案,其中就可能存在漏洞。 非法输入 在数据被输入程序前忽略
7、对数据合法性的检验,是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查,非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。2. 攻击导致的后果各类关系国计民生的重要信息系统,如政府网站、媒体网站、或商用网站都可能遭受到SQL注入攻击、网页篡改,或是网页挂马。2008年北京奥运会将成为各方关注焦点,包括攻击者在内。来自Websense安全实验室的研究预测,围绕今年北京奥运,将极有可能针对奥运相关网站爆发大规模的DDoS攻击以及利用奥运网站媒体平台进行网页挂马。 一旦攻击得逞,必将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。网页篡改还有可能被用于恶意商业竞争,比
8、如通过篡改某知名媒体网站网页,发布对竞争对手不利的虚假信息。 网页挂马相对比较隐蔽,其攻击目标是各类网站的最终用户。首先攻击者在服务器端插入恶意代码。用户访问恶意页面时,网页中植入的恶意代码触发客户端的漏洞从而自动下载并执行恶意程序,最终攻击者盗取客户端的敏感信息(如各类帐号密码),甚而可能用户主机沦为攻击者的肉鸡.这种情况下,Web服务器成为了传播网页木马的“傀儡帮凶,严重影响到网站的公信度。 遭受分布式拒绝服务攻击(DDoS)之下的门户网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败。其服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,公司的信誉也会蒙受损失,
9、而这种危害又常常是长期性的。 3. 企业组织所面临的安全挑战1. 公司在有限的时间和预算压力下,开发出的Web应用缺乏对安全的整体考虑开发人员,执行人员和测试人员都没有接受过专业的安全培训;他们大都关注于Web应用是否符合实际的需求。公司同时需要耗费其他资源来防止和限制对应用的错误使用。2. 相关的行业标准对Web应用安全起到了指导性的作用(1)MasterCard和Visa信用卡提出了所有存储,处理或者传输持卡人数据的成员机构,商业机构,服务提供商都必须符合Payment Card Industry (PCI) Data Security Standard。PCI标准强制所有涉及到持卡人数据
10、环境的Web软件和应用都必须基于安全的编码方针,并且必须符合Open Web Application Security Project (OWASP)的协议。(2)随着在其他行业中,软件安全需求意识的提高,这些指导方针对那些不安全的Web应用提出了挑战。4. 传统安全产品的缺陷传统网络防火墙和IPS是最常见的安全类产品,从工作机制和工作原理上,WEB应用防火墙和网络防火墙,IPS都是不同的产品,关注的安全点不同,造就了不同的工作模式和应用场景,通过下面的描述,可以很好的区分这3款产品的不同之处.与传统网络防火墙相比:这是工作在不同层面两类产品!第一代网络防火墙作为访问控制设备,主要工作在OSI
11、模型三、四层,基于IP报文进行检测。其产品设计无需理解HTTP会话,也就无法理解Web应用程序语言如HTML、SQL。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析.针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,如能根据TCP会话异常性及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中,但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。与IPS相比:这是防护技术和防护对象不同
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 梭子鱼 WEB 应用 防火墙 WAF 通用 项目 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。