基于Radware的應用安全防護的解決方案

防火墻一直是網(wǎng)絡及應用安全的代名詞，在瞬息萬變的信息時代，這個曾經(jīng)叱咤風云的一代宗師，今天卻成為了信息安全的誤區(qū)，防火墻仍然安全嗎？眾所周知，今天的應用逐漸向Web轉換，這意味著什么呢？

傳統(tǒng)的應用，不同應用具有不同的端口，防火墻為不同應用開放不同的端口，見左圖，今天的應用向WEB轉換，不同的應用全都承載在WWW端口上，防火墻只需開放一個端口，即WWW（80）端口，見右圖。左邊的防火墻開放了多個端口，而右邊的防火墻只開放了一個端口（80），因此右邊的防火墻比左邊的更安全嗎？當然不是，我們試想從另一個角度出發(fā)，應用向WWW轉換后，原來每一個應用的報頭信息，今天全部成為WWW 應用的凈負荷（PAYLOAD），防火墻若不具備深度包檢測的機制，應用向WEB轉變將導致防火墻形同虛設，根據(jù)GARTNER 的預測，如果防火墻還只局限于狀態(tài)檢測而不具備深度包檢測的機制，將很快面臨淘汰的厄運。

當前，針對數(shù)據(jù)中心所發(fā)起的攻擊正在發(fā)生顯著的變化。攻擊者采用多種攻擊技術、多種攻擊形式和入侵途徑發(fā)動攻擊，且經(jīng)常利用未知的漏洞，這給關鍵業(yè)務運營帶來了嚴重威脅。盡管許多組織機構部署了單一的保護方案，如入侵防御系統(tǒng)（IPS）、網(wǎng)絡行為分析（NBA）、拒絕服務攻擊（DoS）保護和Web應用防護等。但這種部署既增加了成本和復雜性，也使得網(wǎng)絡及服務無法防御混合攻擊，從而讓數(shù)據(jù)中心完全暴露于威脅之中。因此，各個組織機構正在尋找一種能夠整合包含多種安全技術、同時可以擴展，并且由同一廠商提供的安全解決方案。

Radware應用安全防護解決方案

Radware（Nasdaq:RDWR）是一家領先的智能化解決方案供應商，致力于確保在IP上快速、可靠而安全地交付網(wǎng)絡或基于Web的應用程序。該公司已完成了其AppDirector產(chǎn)品與 BEA 的 WebLogic Server 9.0之間的互用性測試，目的是幫助企業(yè)客戶消除所有BEA服務器的停機時間，從而實現(xiàn)容錯應用的連續(xù)性。Radware 產(chǎn)品系列中包括為滿足IP應用服務器、防火墻、cache 服務器和 WAN 鏈接而開發(fā)和設計的產(chǎn)品。結合市場上豐富的功能設置，提供了完全可擴展的解決方案。Radware IAS 設備優(yōu)化了所有公司、電子商務企業(yè)和全球主要 ISP 的網(wǎng)絡性能。并與主要的企業(yè)解決方案提供商合作，為客戶提供最先進的技術和服務。

Radware應用安全防護解決方案能夠充分滿足用戶對網(wǎng)絡威脅不斷變化而產(chǎn)生的安全需求，幫助用戶全面保護網(wǎng)絡及數(shù)據(jù)中心基礎設施免受日益增長的混合威脅攻擊，使得應用在數(shù)據(jù)中心中獲得更高的安全性。結合Radware多年來在應用安全領域的經(jīng)驗，以及對市場及用戶實際需求的了解，Radware應用安全防護解決方案為用戶提供從網(wǎng)絡層到應用層全面的安全防護，給予用戶核心應用最佳的安全保障。

Radware應用安全防護解決方案主要由Radware DefensePro和Radware AppWall實現(xiàn)。DefensePro集合不同的工具/模塊、管理與報告功能，各工具/模塊以同步工作的方式可為用戶提供網(wǎng)絡及應用層面最佳檢測及最佳防范混合威脅的效果。AppWall通過對web應用的規(guī)范化檢測，保障用戶核心應用免受來自Web應用層面的攻擊，如：癱瘓網(wǎng)頁服務、暴力破解網(wǎng)頁登入頁面、SQL Injection、聯(lián)機攔截、Cross Site Sripting等等。

方案拓撲圖

Radware DefensePro

Radware DefensePro是一款實時網(wǎng)絡攻擊預防設備，它能夠保護你的應用基礎架構免受網(wǎng)絡及應用停機、應用漏洞濫用、惡意軟件傳播、網(wǎng)絡異常、信息偷竊以及其他新出現(xiàn)的網(wǎng)絡攻擊的影響。

DefensePro包括一套安全性模塊 - DoS保護、NBA 網(wǎng)絡行為分析 和 IPS – 以便完全保護網(wǎng)絡免受已知的和新出現(xiàn)的網(wǎng)絡安全性威脅的影響。DefensePro 采用了多種檢測和預防引擎，其中包括特征碼檢測、協(xié)議和流量異常檢測、啟發(fā)式檢測以及行為分析。DefensePro 的密碼武器在于其受專利保護的、基于行為的實時特征碼技術，它能夠實時檢測和減緩新出現(xiàn)的網(wǎng)絡攻擊，例如零分鐘攻擊、DoS/DDoS 攻擊、應用濫用攻擊、網(wǎng)絡掃描和惡意軟件傳播。所有這些都不需要人工干預，而且也不會封鎖合法的用戶流量。

DefensePro采用基于按需擴展交換機 （OnDemand Switch） 的專用硬件平臺，Radware是第一家在其 IPS 型號系列中提供隨需應變 IPS 可伸縮性的公司，其伸縮范圍從 100 Mbps 直至 12Gbps.設備最多可防御高達10MPPS的DOS攻擊量，并在防御攻擊的同時不影響應用的正常訪問?；谄潆S需應變、"量入為出"的方法，當你的網(wǎng)絡帶寬增加時，無需更換硬件即可升級，從而保證節(jié)省短期和長期資本支出及運營支出，實現(xiàn)完整的投資保護。

DefensePro攻擊預防包括以下防護層次（如下圖）：

第一層：基于網(wǎng)絡的保護 - 防御 DoS/DDoS 淹沒攻擊

第二層：基于服務器的保護 – 防御服務器資源濫用和服務器破解

第三層：基于客戶端的保護 - 檢測已經(jīng)受感染的客戶端并防止客戶端惡意軟件的傳播

第四層：基于狀態(tài)化的特征碼的保護 - 預防已知的攻擊漏洞

DefensePro基于特征碼的和基于行為的安全性技術構成了相互補充的解決方案，能夠包含特征碼以及基于行為的和自動的特征碼生成技術，而且在設計上能夠有效地區(qū)分它們之間的檢測和預防責任，該產(chǎn)品為用戶提供網(wǎng)絡及應用層面最佳檢測及最佳防范混合威脅的效果。

Radware AppWall

信息資產(chǎn)就和企業(yè)其它重要的資產(chǎn)一樣，對企業(yè)而言是非常具有價值的，應該被妥善加以保護并可被審核。由于信息系統(tǒng)面臨著許多安全的威脅，因此對信息系統(tǒng)安全風險應加以管理，以降低系統(tǒng)所提供信息的不及時性、不完整性與不正確性，并設置適當控制及保存審核檔案記錄，以便及時發(fā)現(xiàn)并追蹤惡意行為，防范入侵與攻擊，進而確保信息系統(tǒng)的安全。

在內容層面的威脅最常遇到的困擾就是透過Web的方式進行攻擊，癱瘓網(wǎng)頁服務、暴力破解網(wǎng)頁登入頁面、SQL Injection、聯(lián)機攔截、Cross Site Sripting等等，種類繁多，防不勝防。由于網(wǎng)頁服務內容本身豐富多變，單單透過特征辨識的方式無法完全根治內容層面的攻擊，因此需要一種能自行設定調整學習的機制來辨識個別網(wǎng)頁（URL）的使用者行為，加以建檔分析。若有可疑的入侵行為時即可及時告警并加以阻絕。一般由于網(wǎng)頁開發(fā)者會比較專注在網(wǎng)頁內容及服務的主軸上，很容易因此而忽略了系統(tǒng)及服務器本身的問題而未在開發(fā)程序中加以防范，或是不知該如何防范，造成服務危機。藉由網(wǎng)頁應用防火墻（AppWall）的輔助，將可幫助網(wǎng)頁開發(fā)者專注在內容的開發(fā)上，且提供完善的網(wǎng)頁服務，保障服務安全無虞。

Radware AppWall具有以下功能：

有效防護數(shù)據(jù)的暴露與識別竊取（SQL Injection、XSS）

駭客利用正常查詢網(wǎng)站數(shù)據(jù)時，將攻擊數(shù)據(jù)庫的指令夾藏于網(wǎng)站查詢命令中，駭客可以穿透防火墻，并繞過身分認證機制，取得數(shù)據(jù)庫權限，入侵數(shù)據(jù)系統(tǒng)后，進而竊取數(shù)據(jù)或破壞數(shù)據(jù)庫。通過部署AppWall能夠及時防御該入侵行為，保護企業(yè)資源有效運用。

防護客戶端安全性（Cookie Tampering、Injection）

AppWall 使用自我學習偵測技術會自動記錄由服務器端所送出的Cookie信息，并持續(xù)的確認是否符合上次所紀錄的信息相同，若發(fā)現(xiàn)與記錄的信息不同，則可產(chǎn)生相關動作阻止入侵行為的發(fā)生。

非法授權人士的存取防御（Legitimate Privilege Abuse）

正常使用者可能會有非授權的行為進行存取。例如：醫(yī)療系統(tǒng)的處理人員有權限可以登入醫(yī)療數(shù)據(jù)庫存取，卻可能會逾越自己的權限，進行非法下載相關數(shù)據(jù)庫的數(shù)據(jù)供自己或別人使用。AppWall 使用其特有的ACL技術會自動產(chǎn)生一個告警并執(zhí)行相關動作。

強大的偵測機制

目前的Radware AppWall約可針對以下威脅提供防御：

SQL injection Cross-site scripting

Parameter tampering Hidden field manipulation

Session Manipulation Cookie poisoning

Stealth commanding Backdoor and debug options

Application buffer overflow attacks Brute force attacks

Data encoding Unauthorized navigation

Gateway circumvention Web server reconnaissance

SOAP and Web services manipulation

Radware AppWall使用自我學習偵測技術和特征碼檢測技術相結合，有效地防范了來自Web應用層面的威脅，保障了用戶核心應用的安全。

Radware 應用安全防護解決方案優(yōu)勢

廣泛的安全性覆蓋：使用DefensePro和AppWall相結合，通過前瞻性的、基于行為的技術以及通過基于特征碼的安全性技術能夠實時應對已知的攻擊、零分鐘攻擊以及非基于漏洞的攻擊，確保從網(wǎng)絡層到應用層的全面防護；

可伸縮性：通過與先進的安全性技術及先進的ODS硬件體系結構，確保用戶應用的高效、可靠，并大大減少了用戶的流量延遲；

更低的總體擁有成本 :借助Radware先進的基于行為的安全防護方式，實時產(chǎn)生的攻擊特征碼，減少了用戶對人為因素的依賴，實現(xiàn)了用戶始終保持較低的總體擁有成本的理念；

準確性：實時環(huán)境中，檢測和預防技術的高度準確性，向用戶保證低比例的誤報檢測或錯誤攔截。

全面的監(jiān)控和詳盡的安全報告：利用Radware Vision,可以在多臺Radware設備間建立一個無縫的管理環(huán)境，為用戶提供Radware設備的實時監(jiān)控和詳盡的報表功能，使用戶能方便的對數(shù)據(jù)中心的Radware設備進行管理和監(jiān)控。