1、Radware AppWall 产品描述1、产品综述1.1 有效防护黑客入侵的 WEB 应用防火墙近几年国内重大的安全事件,不再是过去操作系统漏洞或网络攻击威胁,而是逐渐转向企业网络对外的 Web 站点,例如:网络在线交易网站、企业的电子商务网站与企业内部的ERP、CRM 系统等,均是 Web 系统服务(SQL Injection)的问题。信息资产就和企业其它重要的资产一样,对企业而言是非常具有价值的,应该被妥善加以保护并可被审核。由于信息系 统面临着许多安全的威胁,因此对信息系统安全风险应加以管理,以降低系统所提供信息的不及时性、不完整性与不正确性,并 设置适当控制及保存审核档案记录,以便及
2、时发现并追踪恶 意行为,防范入侵与攻击, 进而确保信息系统的安全。由于信息系统应用的范围与其所提供的网络服务的特性,有可能引起非经合法授权“ 骇客”的不当存取与恶意破坏;诸如:密码猜测、数据篡改与网络攻击等不当行为,进而影响企业信息资产,并 导致所服务客户的不信任感。如何加强内部信息资产安全性, 则是企业 IT 部门人员必须考虑的课题。在内容层面的威胁最常遇到的困扰就是透过 Web 的方式进行攻击,瘫痪网页服务、暴力破解网页登入页面、SQL Injection、联机拦截、Cross Site Sripting 等等,种类繁多,防不胜防。由于网页服务内容本身丰富多变,单单透过特征辨识的方式无法完
3、全根治内容层面的攻击,因此需要一种能自行设定调整学习的机制来辨识个别网页(URL)的使用者行为,加以建档分析。若有可疑的入侵行为时即可及时告警并加以阻绝。一般由于网页开发者会比较专注在网页内容及服务的主轴上,很容易因此而忽略了系统及服务器本身的问题而未在开发程序中加以防范,或是不知该如何防范,造成服务危机。藉由网 页应用防火墙(AppWall)的辅助,将可帮助网页开发者专注在内容的开发上,且提供完善的网页服务,保障服务安全无虞。AppWall 能帮助用户有效防范黑客透过 Web 的方式的基于内容层面的攻击。AppWall 可自行设定调整学习机制来辨别个别网页(URL)的使用者行为,加以建档分析
4、。若有可疑入侵行 为则告警并加以阻断。AppWall 能帮助用户有效防护数据的暴露与识别窃取(SQL Injection、XSS),为用户提供非法授权人士的存取防御(Legitimate Privilege Abuse),并为用户实现客户端安全性(Cookie Tampering、Injection)防护。1.2 硬件平台AppWall 部署在 Radware 下一代硬件平台 OnDemand Switch 新型应用交付控制器硬件平台上,为用户提供了突破性的效能表现和卓越的高可扩展性,有效应对因流量激增带来的网络和业务需求。OnDemand Switch 专门为需要电信级高可靠性设备的企业和运
5、营商而设计,以帮助用户积极应对动态的、不断 变化的复杂网络环境和应用需求。2、AppWall 主要特性和 优势2.1 有效防护数据的暴露与识别窃取骇客利用正常查询网站数据时,将攻击数据库的指令夹藏于网站查询命令中,骇客可以穿透防火墙,并绕过身分认证机制,取得数据库权限,入侵数据系统后,进而窃取数据或破坏数据库。通过部署 AppWall 能够及时防御该入侵行为,保 护 企业资源有效运用。2.2 防护客户端安全性在浏览器端 Cookie 的存取并没有做特别的限制,只要浏览器端开启了 Cookie 的功能,任何网站都可以修改 Cookies 的值。如果一个网站 选择 直接将使用者的 ID 直接存放在
6、某些 Cookies中,而且直接以此 ID 来做权限上的限制,那么有可能使用者可以在通 过服务器的身份认证之后把存放在 Cookies 里的 ID 改成别人的 ID 以获得别 人的权限。也可能有些网 页可以由此读取其它网页所产生的 Cookie 进而窃取使用者的密码资料。AppWall 使用自我学习侦测技术会自动记录由服务器端所送出的 Cookie 信息,并持续的确认是否符合上次所纪录的信息相同,若发现与记录的信息不同,则可产生相关动作阻止入侵行为的发生。 2.3 强大的侦测机制目前的 Radware AppWall 约可针对以下威胁提供防御: SQL injection Cross-site
7、 scripting Parameter tampering Hidden field manipulation Session Manipulation Cookie poisoning Stealth commanding Backdoor and debug options Application buffer overflow attacks Brute force attacks Data encoding Unauthorized navigation Gateway circumvention Web server reconnaissance SOAP and Web serv
8、ices manipulation2.4 非法授权人士的存取防御正常使用者可能会有非授权的行为进行存取。例如:医疗系统的处理人员有权限可以登入医疗数据库存取,却可能会逾越自己的权限, 进行非法下载相关数据库的数据供自己或别人使用。AppWall 使用其特有的 ACL 技术会自动产生一个告警并执行相关动作。3、产品型号和技术规格3.1 平台亮点 4个千兆以太网端口(铜线或光纤) 2个冗余管理端口,可为带外高可靠性管理接口提供增强的安全性 LCD 面板,可显示关键统计数据 USB 接口,可用于软件安装和恢复 多电源配置,包括冗余的双 AC/DC 电源3.2 技术规格特性 AppWall硬件平台 OnDemand Switch 1 XLCPU 2*AMD Opteron dual-core 2.2 GHz额定吞吐 1Gbps内存 6GB端口 4 个千兆口( 电口或光口)背板速率 N/A物理尺寸 1U(单电源):高 44mm宽 424mm长 600mm重量:9.5kg2U(双电源):高 88mm宽 424mm长 600mm重量:10.9kg标准 19 EIA 机架或单独放置电源 自动调节电压AC:100-250V, 50-60HzDC:-42 - -72V运行环境 温度 0-40 摄氏度湿度 5% 到 95%(非冷凝)
