WAF技术概述ppt课件.ppt

1、2008 博威特网络技术（上海）有限公司。版权所有，不得转载。梭子鱼Web应用防火墙我们使您的web应用更加安全NetContinuum 背景背景创立于1999年，总部 base 在加州的圣塔克莱拉（Santa Clara, CA）产品被全球 225+ 客户使用，横跨 24 个国家应用防火墙能够快速实现应用安全应用网关能够非常快速方便的部署应用Web Application FirewallSecure Application GatewayNetContinuumApplicationsDBMSNetwork FirewallUsers2008 博威特网络技术（上海）有限公司。版权所有，不得

2、转载。我们的客户2008 博威特网络技术（上海）有限公司。版权所有，不得转载。Bank2008 博威特网络技术（上海）有限公司。版权所有，不得转载。驱动力企业关键业务逐步转向企业关键业务逐步转向web模式模式 客户，员工，合作伙伴之间更多的互动客户，员工，合作伙伴之间更多的互动 工作系统的英特网化工作系统的英特网化 关键业务流程和数据在英特网上的暴露关键业务流程和数据在英特网上的暴露 协议和架构的标准化也带来更多的安全问题协议和架构的标准化也带来更多的安全问题风险评估与共识2008 博威特网络技术（上海）有限公司。版权所有，不得转载。分析新闻覆盖面的扩大行业标准的浮现接踵而来的产品评测CSI/

3、FBI 2005 Computer Crimes & Security SurveySource: Computer Security Institute当其他各种攻击日趋减少的同时，Web攻击日益猖獗应用和安全的鸿沟2008 博威特网络技术（上海）有限公司。版权所有，不得转载。 安全专家不了解安全专家不了解web应用的特点应用的特点“As an Application Developer, I can build great features and functions while meeting deadlines, but I dont know how to build securit

4、y into my web applications.”Web应用和安全的鸿沟“As a Network Security Professional, I dont know how my companys web applications are supposed to work so I deploy a protective solutionbut dont know if its protecting what its supposed to.” 应用开发者和应用开发者和QA 不不了解安全重点了解安全重点应用安全很复杂Operating SystemsOperating Systems

5、Operating SystemsNetwork Firewallhttp :/ ?submenu=update&uid =1+or+like%25admin%25;-%00 MicrosoftSQL ServerWeb ServersPresentation LayerDatabase ServersCustomer InfoBusiness DataTransaction InfoApp ServersBusiness LogicJ2EE/.NETLegacy AppsMicrosoftIISApacheLinux Solaris AIX Windows2008 博威特网络技术（上海）有限

6、公司。版权所有，不得转载。对已知漏洞的防护延迟2008 博威特网络技术（上海）有限公司。版权所有，不得转载。Database ServersCustomer InfoBusiness DataTransaction InfoNetworkOperatingSystemsDatabaseServersOperatingSystemsApplicationServersOperatingSystemsWebServersNetwork FirewallIDSIPS机密数据一成不变的低效的“消防演习”模式补丁总是不够及时而且容易出错基于指纹的防护措施对于“零日攻击”毫无办法无法保护客户自身代码200

7、8 博威特网络技术（上海）有限公司。版权所有，不得转载。Database ServersCustomer InfoBusiness DataTransaction Info机密数据Customized Web ApplicationsCustomized Packaged AppsInternal and 3rd Party Code75% 攻击覆盖于应用层(Gartner)No sigNaturesNo patchesNetworkOperatingSystemsDatabaseServersOperatingSystemsApplicationServersOperatingSystems

8、WebServersNetwork FirewallIDSIPS现有安全措施无能为力2008 博威特网络技术（上海）有限公司。版权所有，不得转载。防火墙数据中心局域网防火墙只能阻断网络层的攻击入侵监测系统80端口web流量仍然能够通过最终用户Web 应用SQL SlammerCode Red Nimda Forceful browsing Cross site scriptingOS command injectionUnicode attacksCookie password theftCookie poisoningWeb-based worms SQL injectionSite def

9、acing攻击应用防火墙：您的解决方案2008 博威特网络技术（上海）有限公司。版权所有，不得转载。需求 6.5: 开发安全的应用程序需求 6.6: 审核应用安全安全性选择 1: 专业公司进行代码审核选择 2: 部署应用防火墙厂商/咨询顾问的解决方案作为RFI/RFP模版解决您的实际问题2008 博威特网络技术（上海）有限公司。版权所有，不得转载。审计及合规审计及合规帮助企业通过安全审计 达到PCI (支付卡) 应用安全规范要求美国萨班法案(Sarbanes Oxley)及其他合规性要求 企业安全应用企业安全应用保护及控制web应用安全 快速部署客户化的web应用部署、保障及管理企业web门户

10、安全降低商业风险降低商业风险管理Internet上业务的风险开发完成后保护客户化应用安全保护FTP安全最高效率的架构最高效率的架构面向下一代的web数据中心的架构简化DMZ区，增加安全性及降低运营成本替代传统的负载均衡及内容交换系统哪里需要我们Business Critical ApplicationsNetContinuumWeb Security GatewayApplication D Application E Supply ChainApp Servers Inventory Servers2008 博威特网络技术（上海）有限公司。版权所有，不得转载。代理 安全的保护2008 博威特

11、网络技术（上海）有限公司。版权所有，不得转载。用户Web应用TCP进程代理(TCP Session Full Proxy)Net防火墙 NAT, ACL, PAT进程维护(Normalize Session)协议遵从(Protocol Compliance)SSL加密解密HTTP信头重写URL翻译网站隐藏, 防爬行, Web地址转换AAA应用防DoSSQL/命令注入DAP (Global and Session)URL ACLsForms及Cookie窃取REGEX保护TCP Pooling缓存, GZIP压缩SSL卸载, 重新加密应用及服务器健康检查内容交换(Content Switchin

12、g)负载均衡记录、监控、报告终止安全加速NetContinuum反向代理 完全的SSL终止和解密 策略检查之前标准化所有流量 d5opx;GE = Z -V5 ;u7JM4 mTerminate and decrypt SSL%2E%2E%2Fhome%2Fuser%2F%7Eroot%2Fetc%2Fpas%2Fhomepage%2Findex%2 Normalize./home/user/root/etc/p/homepage/index/pictures/thumbs.htmlApply Security Policy阻断通过加密和编码进行伪装的攻击阻断通过加密和编码进行伪装的攻击Net

13、Continuum：实现基础2008 博威特网络技术（上海）有限公司。版权所有，不得转载。 保护应用基础架构 隐藏 Cookie 安全 Web 地址转换 根据应用强化安全 动态应用建模 弹性安全策略 颗粒度极小，可高度自定义的Web 访问控制列表三步实现应用安全2008 博威特网络技术（上海）有限公司。版权所有，不得转载。An Architecture to Web Applications deploysecurecontrol端到端的应用安全2008 博威特网络技术（上海）有限公司。版权所有，不得转载。1终止所有流量，我们就可以管理它。tcpssl严格意义上来说，这是“反向代理”。2008

14、 博威特网络技术（上海）有限公司。版权所有，不得转载。部署2在边界对用户进行验证LDAPRADIUSClient CertificatesSource IPHTTP AuthCA SiteMinder2008 博威特网络技术（上海）有限公司。版权所有，不得转载。安全3标准化数据d5opx;GE = Z -V5 ;u7JM4 m?Decrypt SSL%2e%2e%2fpartners%2Fe%2ffinance%2frec%2fNormalize./partners/finance/rec/2008 博威特网络技术（上海）有限公司。版权所有，不得转载。安全4检查流量是否为恶意攻击2008 博威

15、特网络技术（上海）有限公司。版权所有，不得转载。安全梭子鱼web应用防火墙如何工作？2008 博威特网络技术（上海）有限公司。版权所有，不得转载。用户Web应用服务 检查:恶意命令非法关键字隐藏字段窃取参数窃取HTTP修改办法最大长度例外非法URLsWSI身份验证XML Schema验证执行:目的应用逻辑网站隐身合法爬行合法参数值敏感信息保护合理的进程状态进程安全合法URLs 对应用数据录入完整检查 完全掌握应有数据值类型 实时策略生成及执行 输入验证引擎侦测并阻断攻击SQL 注入跨站点脚本攻击命令攻击非法字符集排除关键字偷窃命令 参数访问控制列表强化对表单字段和其他应用参数的安全策略 报头访

16、问控制列表强化对标准和自定义HTTP报头的安全策略阻断隐藏在报头值中的攻击2008 博威特网络技术（上海）有限公司。版权所有，不得转载。输入验证Web Applications UsersCookie 加密保证会话的完整性 维护客户端会话完整性 保证用户信息的安全 Cookie 加密提供私密性 数字证书提供可靠性 对用户和应用完全透明2008 博威特网络技术（上海）有限公司。版权所有，不得转载。会话完整 全站点隐藏 隐藏资源信息，防止被偷窃 抵挡针对某个平台的脚本威胁 (nimda) 反爬行保护 防止黑客探测 拒绝数据捕获 阻断站点下载和数据偷窃 允许合法爬行程序 Web 地址转换 隐藏 We

17、b URL 允许内部系统安全的进行扩展2008 博威特网络技术（上海）有限公司。版权所有，不得转载。应用隐藏数据偷窃防护2008 博威特网络技术（上海）有限公司。版权所有，不得转载。应用防火墙用户Web应用/服务 BLOCKMASK XXXX-XXXX-XXXX-3456MASK XXX-XX-1234BLOCKMASKID# 123-XXXXEmployee IDID# 123-4567Social Security550-55-1234Credit Card4321-4567-7654-3456Drivers LicenseA123456Patient ID 134-AR-6275虚拟化部

18、署UsersNetContinuumApplication Security GatewayWhat Users See/finance/partners/ Addresses2008 博威特网络技术（上海）有限公司。版权所有，不得转载。控制虚拟化部署2008 博威特网络技术（上海）有限公司。版权所有，不得转载。外部Web应用及服务内部应用应用防火墙策略A 网站隐身Web地址转换 立即SSL Cookie保护 深度检查 安全交易记录策略B 网站隐身 立即SSL 登陆控制公司网站 策略C 网站隐身通过一个单独网关部署多个独立管理的应用，各应用采用不同的安全策略在不修改网络架构的情况下增加新的应用

19、为多元化的机构提供显著的运营优势 实时配置修改后台系统，而无需让系统下线6终止了流量，我们优化它。负载均衡缓存HTTP 压缩SSL 加速TCP 连接池2008 博威特网络技术（上海）有限公司。版权所有，不得转载。部署加快应用的响应时间NetContinuumCPU Util % 缓缓存存 压缩压缩 TCP连连接复用接复用 SSL卸卸载载和加速和加速 负载负载均衡均衡ApplicationResponse TimeBandwidth Consumption30 400% 响响应应速度的提升以及完善速度的提升以及完善应应用安全用安全Server Performance管理和应用流量框架分离建立在多

20、核处理器上的轻量级线程机制（寄存器，堆栈） 无系统 context switching隐藏系统或者TCP协议栈ICSA 认证授权的网络和应用安全2008 博威特网络技术（上海）有限公司。版权所有，不得转载。NCOS：高性能的保障Reverse Proxy - RedundantApplication & Backend ServersWeb Application Firewall192.168.9.1App1: 192.168.9.110PIF: 10.10.10.1Eth1: 192.168.9.1Eht2: 10.10.10.2ActiveInternetStandbyTraffic n

21、ormally flows through Active FirewallOn failure, traffic flows through Active Standby with full security stateApp1: 192.168.9.110PIF: 10.10.10.1Eth1: 192.168.9.3Eht2: 10.10.10.4www1: 10.10.10.10www2: 10.10.10.20www3: 10.10.10.302008 博威特网络技术（上海）有限公司。版权所有，不得转载。状态冗余行业领导的性能2008 博威特网络技术（上海）有限公司。版权所有，不得转载

22、。高效能及低延迟测试过程中安全及加速功能开启，充分证明设备性能!Performance MetricNC-1100 v5-1RR Proven through testingNC-2000 v5-1RR Proven through testingL2-L4Maximum Concurrent TCP Connections400,000 conns1,400,000 connsMaximum Throughput1 Gbps1 GbpsMaximum TCP Connections/sec6,000 cps23,000 cpsTCP Multiplexing Ratio7:110:1SSLM

23、aximum Concurrent SSL Connections100,000 conns100,000 connsMaximum SSL Throughput - Bulk Transfer of 1Mb File1 Gbps1 GbpsMaximum SSL Transaction Rate with No Session Re-Use4,000 tps8,000 tpsL7HTTPHTTP 1.1 Trans/sec - Security + Acceleration Features - Turned ON5,000 tps28,000 tpsLatency during HTTP

24、1.1 testing1 ms1 msL7HTTPSHTTPS 1.1 Trans/sec - Security + Acceleration Features - Turned ON4,000 tps10,000 tpsLatency during HTTPS 1.1 testing5 ms5 ms采用1K大小数据包 单URL延迟行业的领导者2008 博威特网络技术（上海）有限公司。版权所有，不得转载。“NetContinuum is poised to be the first traditional WAF vendor to stake a claim in the new Application Assurance Platform market.”Andy Jaquith, December 2005, declaring NetContinuum a “Market Leader”问题2008 博威特网络技术（上海）有限公司。版权所有，不得转载。