概述:
隨著企業在 Web 應用的日益增多,客戶機密數據也更容易泄漏給網絡黑客或遭受身份竊賊的攻擊。現在,許多身份盜竊事件的發生源于 web 應用的各種漏洞,因而這些應用受到惡意用戶的攻擊。基于瀏覽器的應用系統隧道穿透了一個企業的安全防線,使用戶得以訪問企業內部系統。對于大多數企來說,Web應用本身已經成為了安全邊緣,那么唯一可 確保這些應用系統安全的方法就是使用“應用防火墻”。
但是,只有將應用防火墻按應用需求量身定制時,才可有效的發揮作用,否則將不可避免的會發生阻隔了合法用戶或客戶,卻放進了黑客的情況。
F5 的 TrafficShield 是一款新型應用防火墻,可保護應用系統免受黑客及其它的惡意攻擊。該設備精細的安全策略可以保護 web 應用系統及用戶機密,使其免受針對應用安全的隨機及目標攻擊。借助突破性的技術,TrafficShield 能夠完全滿足這些安全策略,從而適用于每一應用所需的安全狀況。
挑戰:
|
今天,商業交易的各個部分都正在向 Web 中轉移,但每增加一個新的基于 web 的應用系統,都會導致之前處于保護狀態下的后端系統直接連接到互聯網上了。隨之而來的結果是,將公司的關鍵數據置于外界攻擊之下。 |
解決方案:
F5 TrafficShield 是一款獨具特色的應用防火墻,能夠為 web 服務器和 web 應用提供全面的保護——既可防范已知的對 web 應用系統及基礎設施漏洞的攻擊,也可抵御更多的惡意及目標攻擊。與從不同之處在于,TrafficShield 可阻止市場中其它解決方案無法抵御的攻擊。例如,兩種普通的黑客技術就可直接通過目前的安全解決方案侵入系統——雖然這些解決方案宣稱是實現了“應用安全”或“內容識別”阻隔:
☆ 黑客以用戶的身份進入,然后修改他們的 ID 或篡改權限,以通過認證。
市場中幾乎每種解決方案都無法檢測到這種最為復雜的形式(動態參數篡改)。
☆ 黑客更改 Web 應用的 URL或將其設置為書簽,以便進入受到限制的訪問區域。
通常,僅需將 URL 從 .../webapp/user 更改為 ...webapp/admin 即可。更常見的情況是,錯綜復雜的路徑、或者路徑被應用系統隱藏起來。但是,對應用了如指掌的用戶一般能夠猜出或檢測到去向。
只有 TrafficShield 能夠保護系統免受針對這些漏洞的攻擊,因為它是第一款對用戶與防火墻的交互具有全面了解的交互安全解決方案。這意味著,它不僅對合法的活動實施精細地控制,并且對于任意特定時刻的用戶環境(或狀態)也具有深入的了解。
不僅如此,TrafficShield 的精確安全策略基于其專用的模型(稱為應用流程模型),這種模型可將 Web 頁面內容的自動分析與基于真實流量分析的反復調整完美結合。
應用流量模型
實施安全策略的最佳方式是,為用戶與應用系統間的交互設定一個詳細模型(或策略)。一旦您已定義合法活動,那么,其它活動就會被視為非法活動而被禁止訪問。這樣,用戶活動的精確模型對于安全策略的實施便至關重要。否則,安全策略容易放入攻擊或阻止用戶的合法訪問。
F5 的應用流程模型是對合法用戶與 web 應用間交互的邏輯表述。在呈現在用戶面前的每一個 web 頁面中,該模型描述了由客戶端網頁源代碼發出的 HTTP 請求及合法的跳轉頁面之間的結構。構建模型或策略可通過僅采用幾種關鍵因素(以便降低復雜性),或利用非常詳盡的描述(以便提高精細度),或根據所需的應用安全狀態在二者之間加以選擇。策略可包括以下所有或一些屬性:
△ RFC 標準和請求長度限制
△ 已知對象類型
△ 已知對象名稱
△ 已知參數名稱
△ 已知參數值限制
△ 對象請求的流程(或順序)
應用流量模型是應用模型技術上的一個突破,因為之前只是在掃描用戶流量的基礎上創建用戶請求的模型。F5 公司的應用流量模型可自動“搜尋”整個應用系統,映射用戶與網站間的互動流程或全部模式。除跟蹤流量模式以外,可映射應用系統的能力遠比之前為用戶互動制定模型的方法更為精確。這種模型具有以下三點優勢:
△ 脫機策略審核與分析
由于安全策略為應用的脫機模型或規劃,因此可采用模板或“假設 (what if)”分析對其進行審核、導出,從而逐步提高安全性。這種策略為應用的可讀規劃,而非僅僅為一套規則或常規表達式。
△ 靈活性
借助提供的工具,客戶能夠立即開始保護其應用,隨著他們在已創建的策略中贏得自信,安全粒度也將逐步得以增強。
△ 精細控制
僅 TrafficShield 能夠在每個頁面(還包括每個對象,每個對象的每個參數,每個對象參數中的每個合法值)轉換時創建一個完整的邏輯結構。
采用這種模型構建的安全策略支持 TrafficShield 根據 web 應用設計來驗證用戶與 web 應用間的互動,并支持其阻擋所有別于這種設計的流量。
換言之,應用流程模型將問題由應用安全轉變為協議執行,而此功能過去一直都是由防火墻來完成的。
應用流程模型是如何生成的
要生成一個精確的模型及限制流量的安全策略,TrafficShield 可利用一切可用信息,包括頁面源代碼及與其相關的流量,對應用系統的表示層自動進行非常詳細的審計。這要求對大量的信息進行精確的記錄并設定模型。
TrafficShield之所以能利用一項創新的方法實現這一目的,主要通過以下兩個步驟:
☆ 自動分析應用網頁內容
TrafficShield 利用脫機工具構建將要保護的應用的初始配置文件。這些工具包括,直接訪問應用服務器元數據的接口以及可映射指定用戶活動的完善的搜索工具。Web 頁面內容,包括如 JavaScript 等動態程序代碼進行分析,也使得 TrafficShield “學會”應用邏輯,包括用戶與 web 應用之間的所有詳細互動。
☆ 循環策略調整
TrafficShield 獲得了 Web 頁面內容的“快照”,并持續在實際流量中檢查用戶如何與 web 應用進行互動。對這個過程加以劃分,以便自動調整至“可信賴”或預先記錄的流量,或基于正常生產流量進行調整。TrafficShield 前瞻性地建議根據這些流量調整當前策略。
TrafficShield 的“循環分析和調整”機制的優勢之一是能夠最大程度地減少阻擋合法用戶流量的可能性。.從應用的現有安全狀況開始,TrafficShield 可在安全管理員確保限制因素不會影響正常的用戶活動時,逐漸引入限制因素。管理員可在 TrafficShield 處于“學習”模式時,對其警報進行監控,并在完全確定無誤報情況時,才將其切換到“阻隔”模式。
一個普遍存在的問題是,TrafficShield 如何處理 web 應用的更新。TrafficShield 策略生成器:
☆ 持續監控 web 站點內容,以便自動檢測變化
☆ 分析變化情況,并將其轉化為一系列策略更新建議
☆ 應用推薦的自動應用更新,或支持管理員對其手動管理
請注意,TrafficShield 可前瞻性地建議進行策略修改。管理員無需手動配置所有參數及策略流程。
此外,TrafficShield 的創新型多層檢查機制使其僅阻止不符合應用系統安全策略的請求。目前應用單層檢測的解決方案都是屏蔽全部IP地址或泛泛的阻止對象訪問。但是,TrafficShield 可確保 web 安全和可用性,即便在這些資源面臨攻擊時也十分奏效。
全面抵御外部攻擊
為了向企業 web 基礎設施提供完善的保護,TrafficShield 將強大的應用層過濾與一流的網絡與加密技術融為一體,形成一套完善的 web 安全解決方案。
TrafficShield 特性
防御隨機攻擊的消極安全攻擊過濾器
☆ 初級黑客
☆ 已知的蠕蟲和漏洞
☆ 對受限對象與文件類型的請求
☆ 其它已知的攻擊方法
防御目標攻擊的積極安全保護
☆ 無效輸入處理
☆ 中斷訪問控制(強制瀏覽)
☆ 緩沖區溢出
☆ 跨網站指令碼攻擊
☆ SQL 代碼/操作系統注入
☆ Cookie 中毒
☆ HTTP 請求走私
清除內容
☆ 防御 web 服務器上的身份盜用
☆ 確保清除 web 頁面上的用戶信息
☆ 配置清除一切可識別身份的信息,如:
☆ 社會保險號碼
☆ 信用卡號碼
☆ 帳號
☆ 病歷數據
☆ 電話號碼
網絡安全服務
☆ SSL 加速器
☆ IP/端口過濾
☆ 反向代理
☆ 密匙管理和故障切換處理
☆ SSL 終止和 Web 服務器重新加密
隱藏
☆ 防止操作系統和 Web 服務器的探測
☆ 隱藏用戶的所有 HTTP 錯誤信息
☆ 從用戶頁面中清除應用錯誤信息
☆ 防止泄漏服務器代碼
僅 TrafficShield 能夠將所有這些功能集成至一個易于管理的設備中,從而確保 web 應用完善的安全性。
部署方式
在企業或大型政府環境中部署 TrafficShield 時,需將部署過程的安全性作為更廣泛的風險業務中的一部分加以管理。某些應用系統需要即時嚴格的策略執行,而其它的系統需要的是更為快速的部署。
TrafficShield 能夠根據客戶需求部署于各種安全級別下。TrafficShield 的標準實施時間不超過一天,卻能夠抵御大多數普通的應用攻擊。先進的策略定制支持用戶全面滿足其所需策略,提供市場上最周密的保護。TrafficShield 還可在多種不同安全等級上進行配置,并具有為安全管理員提供靈活性的能力,以確保立即實現企業范圍內的保護,卻絲毫不會降低大多數敏感型應用的安全性。
企業級系統架構
TrafficShield 的多層系統架構是基于硬件安全防護設計的,用以滿足企業對基礎設施安全的所有需求,包括:
☆ 可忽略的延遲(少于 1 毫秒)及高吞吐率
☆ 可升級的架構——可添加額外的部件,用于處理更大的流量
☆ 高可用性——部件可配置為支持耦合服務器對(在線服務器與備用服務器)間的熱狀態故障切換這意味著,當偶然發生服務器故障時,所有的會話數據都將得到保留,并切換到用戶不可見的備用設備上。
☆ 零故障配置,易于部署和維持——TrafficShield 由可優化的預配置設備組成,可有效地滿足配置、部署及維護事宜
☆ 集中與安全管理
☆ 易于與企業安全信息管理或管理框架系統集成
TrafficShield 業務優勢
將 web 攻擊拒之門外
TrafficShield 解決方案最主要的優勢是可幫助公司網絡應用系統抵御網絡攻擊。隨著更多的系統向網絡開放,越來越多的敏感的客戶數據暴露在攻擊面前,而目前的安全系統是無法抵御這種攻擊的。一旦被黑客闖入,則將造成無可估量的損失,并滋生高額的保險費用與相應的法律責任。
身份盜竊及其它法規標準
目前,諸如Basel Accords, HIPAA, California’s SB 1386 及其它的國家或跨國規定的出臺,使得制定客戶私人數據保護策略勢在必行。現在,黑客主要通過網絡應用系統竊取客戶資料。企業每年因應用層攻擊造成的損失高達數億美元。F5的TrafficShield產品企業保護客戶敏感信息的必備設備。
縮短上市時間
除防御攻擊外,TrafficShield可切實提高對新應用系統的開發周期。現在,新應用的部署受到應用安全掃描工具“掃描與修復 (scan-and-fix)”開發周期的影響。寫出代碼后,在眾多產品中抽出一款對其進行掃描,然后,再返回給開發人員修正代碼。這個過程不僅浪費時間與金錢,效率也不高,因為掃描器也只能找到幾個有限的漏洞而已。借助如 TrafficShield 等出色的產品,開發團隊就可以迅速的開發出新的應用系統與功能,因為他們的程序代碼有了強大的安全外圍做后盾。
即插即保護
TrafficShield 解決方案為用戶設備提供即插即保護的承諾。TrafficShield 是一款網絡設備,安裝在企業的 web 基礎架構中非常簡便。安裝后,設備會自動學習機制并迅速、準確的為其保護的系統制定特定的安全策略。將策略管理與配置簡化到最低點,TrafficShield 可自動生成建議配置或策略,無需等待手動配置。
輕松地計算出投資回報率
可輕松的計算出使用 TrafficShield 應用層安全解決方案的利潤回報率。TrafficShield 將大幅削減企業的安全執行、攻擊損失與賠償響應的開支。具體情況如下:
減少攻擊事故
除攻擊本身的損失(資金被盜、收入損失)外,企業還要響應賠付與攻擊造成的相關費用,以及支付攻擊修復費用。而且,此種響應不僅限于IT部門,還牽涉到公共關系、訴訟甚至是法規成本。
無需重寫代碼
如果沒有對應用系統做出精確的保護,則程序開發者必需盡可多的消除程序中的安全漏洞,應用掃描器僅能探測出部分漏洞,因此,必須頻繁進行嚴格的代碼審查和改寫。一旦應用了TrafficShield,程序開發者可全心投入到對新系統與功能的快速部署中去了。
無需反復修復
由于知道系統經常會遭到直接攻擊,因此 IT 經理們不得不經常查詢網站或公告,以立即安裝最新補丁。如上所述,一個安全的應用防火墻可實現僅允許應用系統中的合法活動,以降低對打補丁的依賴性。
無誤報
如果阻隔客戶的合法訪問,則很容易造成客戶流失。沒有精確的安全模型(如,應用流程模型)來定義合法活動,企業則不得不面對客戶與黑客的雙重壓力,即:放松安全協議則易放入黑客,加強安全協議則易將合法用戶阻隔在外。
