在SOX、HIPAA、GLBA 和 CA SB-1386等网络安全标准推行的年代,一次成功的攻击将会给您的商务网站带来多大的损失?合法的保护敏感的数据需要解决以下几个问题:保护Web资源的关键资源有哪些方法?保护这些有价值的应用程序资源需要多大的投资?如何知道我们已经得到防护,特别是应用程序本身只能提供有限的安全记录时?我们如何对客户化的应用程序进行防护?
Web现在成了内外部访问及应用程序的标准的用户界面,比起为每个应用编写肥客户端程序,Web方式大大节省投资,因此,Web应用在IT界被迅速的推广。
起初设计Web应用程序使用Web浏览的目的是共享或访问静态的信息,而并不注重安全设计。由相对安全的肥客户端过渡到相对不安全的浏览器—瘦客户端带来了两个挑战:应用程序安全性的降低以及如提升安全需要花费更高的成本。很多暴露在web前端的应用在开发时甚至都没有考虑到被攻击的情况。.
在这种背景下,一种新的技术,Web应用产生了。它能有效的降低网站安全的实施成本。而应用防火墙则是这一新兴产品的领导产品。
老方法行不通
早期,在DMZ区部署静态的是标准的安全模型,Web建立在企业防火墙之外以便于访问者能自由的访问Web站点,但却不能随意访问企业的内部网络和系统。现在,通过Web来访问Web应用系统不仅仅是企业内部的用户,更是直接暴露在Internet上以便于Internet用户访问,传统的DMZ区的概念已经不适用于现在的安全需求。
今天,关于Web应用安全的最佳方法发展为保护少数关键Web事务应用程序。所谓的最佳方法可以用一句话概括——修补代码。Web应用的安全完全依赖开发者对程序不断的更新。
但是,除非开发者能够在之前发现并及时的修补了程序的漏洞,否则web系统总是处于黑客的威胁之下。当程序数量较少时,补丁模式维护应用程序安全是可行的;但如果一个应用中有数十数百个应用程序,修补代码的工作成本将极其高昂,这种安全维护模型几乎是行不通的。然而,Web应用防火墙能够预防未知的应用程序漏洞,从而减少维护成本提高可用性。
减少不安全造成的损失
鉴于程序的复杂性,特别是那些程序数量巨大的系统,Web应用程序的开发者不能或无力识别并对所有的程序漏洞进行修补。而绝大多数企业,无论是内部使用还是外部用户访问,运行程序运行时,往往有许多安全漏洞。因为不安全代码造成的损失的案例媒体几乎每天都在报道,除了这些公开的消息,还有很多没有报道的攻击。除此之外,甚至还有更多的攻击没有检测到---而其中可能有非常重要的信息被黑客获取。
通过阻断那些黑客用来访问应用程序的方法,应用防火墙能防止黑客闯入那些易受攻击的程序,而不需要更改应用程序的代码!这样:
◆减少客户数据、商业机密、员工信息、财务信息及其他敏感数据泄露的可能性。
◆减少因泄露信息而产生法律诉讼的可能性。
◆减少因安全问题造成公司股价下跌、形象受损、客户信誉降低的可能性。
◆更早的遵从有关法规对企业网络安全的规定如: (SOX, GLB, HIPAA, CA SB -386)
阻止黑客用来攻击的方法避免将需要对程序立即修补,并最大程序阻止攻击减少损失。
加快应用的使用
当前,一个新的web应用需要经过漏洞检测工具测试之后才能使用。而通常这样的检测总能发现应用程序中的许多漏洞,但更为重要的是这可能造成客户的流失。如果没有应用防火墙,你必须对程序中的每一个漏洞进行修补,然后反复测试,直到确信没有漏洞,应用程序才推向市场;这可能导致错失商机。而如果部署了应用防火墙,您可以立即在测试,如果发现漏洞被应用防火墙保护,你可以先行发布应用,而不必担心被攻击,然后您可以从容安排漏洞的修复计划,并在后期的版本中修正这些漏洞。这意味着您能够更早的发布应用,一边这些应用更早的产生经济效益。
试想,投资50万元开发了一个web应用,早3个月投入使用会为您带来多大的经济效应?
便于维护
如果一个应用产生的经济价值,它将会升级并固化成产品。应用防火墙对应用程序升级和产品化有两个重要的作用:
首先,很明显,应用防火墙可以防止对系统的攻击。其次,如果您正在遭受攻击或者您通过审计与评估,发现您的系统存在漏洞,您可能需要将应用系统离线,直到漏洞得到修复,补丁得到测试并应用。但是如果有应用防火墙保护您的漏洞,您可以在修补系统的同时继续运行应用系统。例如:根据法律,德国金融行业的用户对于补丁需要经过7天的测试。这样才能避免应用程序在补丁期被黑。只有应用防火墙才能即遵从法规又能不中断应用。
再比如一个老的应用程序,如果当初开发维护它的团队已经不在了,如果在后来的审计或测试中发现了一个严重的漏洞,那么修复这个漏洞的成本可能高到无法承受。但如果有应用防火墙的防护,我们仍然可以继续在线使用这个看起来修复无望的应用程序。
优化运营
补丁管理
软件平台的提供商(如, DBMS, App Server, packaged applications) 需要不断的为他们的产品提供安全补丁,有时候这些补丁非常重要需要立即升级,否则将遭受巨大的破环造成重大损失,应用防火墙能保护这些应用直到漏洞得以修复。这样,您不用7*24小时的担惊受怕,可以从容的设定补丁升级计划例如使用windows的计划管理器。
日志合并和管理
应用防火墙能记录所有web流量的数据:合法的或阻断的攻击记录。这些日志按序排列,含有时间戳和数据标记。这使得这些数据非常安全。其好处是您有了一个整合在一起的应用使用日志,这样查询日志时不必到每台中查询日志。您因此可能每天可能解决2-3小时的工作时间。更何况,低安全级别的日志其精确性值得您信任吗?
隐蔽内部结构,易于发布应用
应用防火墙通过Web地址转换将内部的目录转换为外部的访问地址,而不需要暴露或重新配置内部的。内部的地址被转换为无关联的外部名称后,恶意的访问者将难以知道自己访问路径和攻击目标。这样您能更快的发布应用。
安全策略的有效管理
新的服务其加入到web应用中将自动继承体系中的安全策略,而新web应用的安全策略则可以复制粘贴别的应用的安全策略,然后进行适当的修改就行了,提高了安全策略的管理效率。
管理
梭子鱼web应用防火墙具备SSL加解密的功能。
初始化SSL
梭子鱼应用防火墙能够加密应用,设置方法很简单,启用一下初始化SSL的功能,这个功能将对应用进行SSL加密。这样,你就不必在应用中进行修改使其支持SSL,也不必通过给服务器增加硬件来解决,同时也不会造成服务响应变慢。
证书授权&证书合并
梭子鱼web应用防火墙能发布和管理SSL证书。您可以给梭子鱼购买一个公共证书,用于面向Internet发布,而内部的系统则无须单独购买。您可以将证书颁布给您的商业伙伴以便他们能使用SSL访问某个授权的应用。
梭子鱼Web应用防火墙的特性
以上的描述是梭子鱼应用防火墙的一般特性,此外,其高端型号的产品NetContinuum 还具备特别的性能。
基于ASIC架构
梭子鱼应用防火墙的高端系列——NetContinuum 是目前市场上唯一基于ASIC的应用防火墙,极高的配置将带来:
◆性能极大的增强,能够支撑更大的流量,提高了可用性,确保系统稳定,集成SSL加速。
◆另一种方式是将软件安装在Wintel架构下商业中,但这会带来性能的下降,而系统本身也将出现更多的漏洞。
◆将分散在多台服务器的安全管理集中在一台设备,极大的方便了管理,提供了最佳的安全保障。
◆网络设备的管理模式。其操作类似于网络设备的管理,比较简单;而不是像服务器管理那样复杂。
◆集成负载均衡功能,支持缓存以提供高性能高吞吐能力。
增强功能
梭子鱼NC-1000是唯一通过ICSA认证的应用防火墙和网络防火墙。它包含了完整的防火墙功能,支持和SSL安全FTP,对数据中心而言,它是唯一支持2-7层安全的防火墙。
NC-1000支持流量管理功能,这样web数据中心能方便的扩充服务器和应用,快速提高性能。同时安全性也得到加强。
结论
今天,无论是内部还是外部,使用浏览器访问器成为主流,梭子鱼web应用防火墙是一款能为您网站带来最佳回报的网络安全设备。