梭子鱼应用防火墙技术白皮书
梭子鱼技术白皮书
28
梭子鱼WEB应用防火墙—体系架构
Barracuda Networks
29
梭子鱼WEB应用防火墙:工作原理
• TCP进程代理(TCP Session Full Proxy) • Net防火墙 • NAT, ACL, PAT • 进程维护(Normalize Session) • 协议遵从(Protocol Compliance) • SSL加密/解密 • HTTP信头重写 • URL翻译 • 网站隐藏, 防爬行, Web地址转换 • AAA • 应用防DoS • SQL/命令注入 • DAP (Global and Session) • URL ACLs • Forms及Cookie窃取 • REGEX保护 • TCP Pooling • 缓存, GZIP压缩 • SSL卸载, 重新加密 • 应用及服务器健康检查 • 内容交换(Content Switching) • 负载均衡 • 记录、监控、报告
修改代码代价太大!
鱼和熊掌不可兼得!快速的商业需要 = 较小的安全性
24
问题2:应用安全的复杂性
http ://www.none.to/script ?submenu=update&uid =1'+or+like'%25admin%25';--%00
Web Servers
Presentation Layer Network Firewall
Microsoft
SQL Server
IIS
Apache
Operating Systems
Operating Systems
Operating Systems
Linux
Solaris
梭子鱼:发力下一代防火墙技术
梭子鱼:发力下一代防火墙技术作者:暂无来源:《计算机世界》 2011年第7期李智鹏近年来,云计算、物联网等新应用、新技术架构和新模式不断涌现,新的混合型安全威胁不断变化,让安全防护工作也变得日趋复杂。
在此情况下,传统的安全防护技术面临着诸多新挑战:安全缺口是否变大了?传统防火墙/VPN技术是否能担纲维护新网络架构安全的重任?如果不能,应该如何改进?近日,梭子鱼网络有限公司中国区总经理何平接受记者采访时表示:是时候发展下一代防火墙技术了。
他认为,传统的防火墙大多是端点防护,是一种在网关处的防护,未来的网络安全并非单点安全防护,而应是全网安全防护同时,需要利用云计算技术,提高安全防护的效率和效果。
因此,下一代防火墙应该是基于云计算模式下的整体安全防护架构。
梭子鱼对下一代防火墙给出了自己的定义:集成了虚拟化软件和硬件架构的智能网络平台,可对各种流量实施深层探测并阻止各类攻击。
为了实现下一代防火墙的理念,2009年9月,梭子鱼收购了一家奥地利上市公司Phion AG,利用获得的下一代防火墙技术,于2010年正式发布了梭子鱼下一代防火墙产品。
“梭子鱼的下一代防火墙产品是一个集安全、低成本、可集中管理的私有安全云的防护架构。
”何平介绍。
首先,它采用64位多核处理的软件系统,系统性能非常高,其高端型号F900的VPN吞吐量接近4Gbps,防火墙吞吐量则相当于21Gbps,这样才能保证在海量流量下的防护性能。
其次,梭子鱼下一代防火墙除了在网络层进行防护外,还包括7层应用防护,将病毒防护、反垃圾邮件、网络接入控制、流量管理等功能智能地融合于一体,这样可保证企业进行安全的统一管理。
不管信息管理人员身处何地,在家中、分支机构还是区域业务总部或是数据中心中,都可通过梭子鱼NG控制中心的界面,随时远程进行统一管理工作。
如制定安全、内容和流量管理政策,提供多重网关的即时报告,对整个网络的配置和政策改变的综合历史进行回顾,提供对反垃圾邮件、病毒防护、安全网关和网络接入管理更新的统一视图等。
梭子鱼WEB应用防火墙WAF通用项目方案
WEB应用安全项目建议书梭子鱼WEB应用防火墙通用方案文档修订记录文档说明此文档是由梭子鱼公司(中国)于2012年制定的内部文档。
本文档仅就Barracuda Networks内部与相关合作伙伴和Barracuda Networks最终用户使用.版权说明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容,除由特别注明,版权均属于Barracuda Networks所有,受到有关产权及版权法保护。
任何个人、机构未经Barracuda Networks书面授权许可,不得以任何方式复制或引用本文档的任何片断。
目录第一章前言 (4)第二章WEB应用安全分析 (5)1.WEB应用漏洞定义 (5)2.攻击导致的后果 (6)3.企业&组织所面临的安全挑战 (7)4.传统安全产品的缺陷 (7)第三章梭子鱼WEB应用防火墙的技术优势 (8)1.梭子鱼应用防火墙工作原理 (9)2.梭子鱼应用防火墙三层防护机制 (10)第四章XXX有限公司WEB应用安全需求分析及项目方案 (21)1.客户背景 (21)2.XXX公司的相关需求 (21)5.网络架构和部署 (22)6.梭子鱼型号的选择 (24)第五章梭子鱼WEB应用防火墙产品国际评测 (26)1.奖项证明 (26)第六章梭子鱼WAF客户情况 (27)第一章前言梭子鱼应用防火墙产品是一款集成化的产品,它能够在完全的获取和管理Web应用过程中进与出的每一个事务。
同时它也是一款高性能,双向HTTP代理设备,允许系统管理员针对每一个应用的每一个会话指定精确的安全,内容和流量的规则。
梭子鱼提供企业级的应用防火墙。
基于梭子鱼私有的操作系统,应用防火墙通过终止,安全,加速web应用会话流量,提供给数据中心一个非常有价值的解决方案,来控制至关重要的web应用。
梭子鱼产品的拓扑和管理是非常简单的。
最重要的是,梭子鱼应用防火墙是完全遵循WASC和OWASP组织的协议来开发的。
Barracuda Spam
梭子鱼邮件安全解决方案
关于Barracuda(梭子鱼)
需求分析:垃圾邮件成为网络安全的最大威胁
恶意垃圾邮件
内容包括色情、暴力、安全威胁等电子邮件
广告性质的垃圾邮件
由合法组织大量寄送的广告邮件(例如Yahoo购物、等)
来自朋友的垃圾邮件
垃圾邮件规则评分引擎
梭子鱼中心维护规则库来对邮件的诸多因素进行权重评分,以此来阻 断各种类型的垃圾邮件
使用开源和专用 (BSF, BET)规则 通过垃圾邮件规则库来更新 From: vomnaspecialtyglassdiw@ 被阻断!Subject: Be the "biggest" out of all your friends
零小时病毒响应
被阻断! X-Barracuda-Virus-Alert: INFECTED, message contains virus: BN.ZeroHour1063
在签名发送前实时阻断
通过梭子鱼用户来发布病 毒更新
History of BN.ZeroHour-1063: First hit: 2007-05-05 14:11 Classified: 2007-05-05 14:15 (real-time blocks on all systems with Barracuda Real-Time Protection Enabled) Last seen at Barracuda Central: 2007-05-05 15:18 (virus definitions downloaded to all Barracuda Spam Firewalls)
意图分析 – URL信誉
梭子鱼中心维护URL信誉库
梭子鱼反垃圾及病毒邮件防火墙典型方案样例
梭子鱼反垃圾及病毒邮件防火墙典型方案样例第一章某基金公司反垃圾邮件技术要求及回复1、某基金公司网络结构2、某基金公司技术需求要点及应答邮件应用是基金行业的关键应用,产品要稳定可靠。
答复:完全支持。
这正是硬件反垃圾邮件防火墙的产品优势,梭子鱼产品整合了加固的Linux安全操作系统及优化的12层反垃圾邮件过滤系统,产品兼容性好,稳定可靠。
●防止内外部病毒、黑客软件及非法用户攻击邮件服务器。
答复:完全支持。
梭子鱼采用支持同时使用两种病毒引擎查杀病毒,支持防止非法用户拒绝服务器攻击、字典式攻击等各类针对邮件服务器攻击。
●反垃圾邮件:系统有多种级别的反垃圾邮件功能,保证邮箱免受垃圾邮件的侵扰。
答复:完全支持。
梭子鱼采用十大技术进行垃圾邮件过滤。
尤其独有的图片识别(OCR)技术、SPF/Caller ID技术保证垃圾邮件过滤率达到98%以上。
●内容过滤:防止不当的邮件内容进入DPAD网络和敏感信息泄漏出去,防止内部敏感信息的传递。
答复:完全支持。
梭子鱼采用十层过滤技术中有2000多条内嵌内容过滤规则对邮件内容进行有效过滤,同时支持用户自定义内容过滤规则,对邮件内容进行接收或者外发过滤。
●控制内外部客户端群发人数、邮件数量、大小,防止邮件炸弹。
答复:完全支持。
采用速率控制针对单一邮件帐户设置每30分钟可接受的连接数,同时可以限制邮件数量、大小,防止邮件炸弹。
●邮件的实时跟踪,能快速、准确发现攻击源及敏感信息源的IP地址、邮件正文及附件内容及相关信息,并形成报表。
答复:完全支持。
即时反映系统信息,具有强大的日志和报表功能,所有邮件的详细信息及梭子鱼对邮件做的处理,在邮件日志中都有记录。
●能够实时监测在单位时间内邮件服务器接收发送邮件的数量及大小,当出现不能传递问题时及时通过邮件等方式通知系统管理员。
答复:完全支持。
并支持发送邮件过滤。
自动发送系统报告。
向收邮件和发邮件发送NDRs消息解释被阻挡原因。
●可备份2天的邮件数据。
梭子鱼垃圾邮件防火墙快速安装手册(中文)
物理安装 开始架设梭子鱼间谍软件防火墙: 1. 将梭子鱼固定在 19 英尺宽的机架上或者一个固定位置. 将网线插入梭子鱼后面板的网口内. 2. 接上电源线,显示器和 PS2 键盘.注意:当接上电源的瞬间,梭子鱼会打开电 源几秒钟然后马上关闭,这个时候梭子鱼的风扇会突然转动又停止,这是正 常现象.这一设计主要用来在电源故障时返回到开机状态. 3. 按下梭子鱼前面板的电源按钮开机.168.1.200 10.1.1.200 按住 RESET 持续… 5秒 8秒 12 秒
开启防火墙端口 如果你的梭子鱼垃圾邮件防火墙放置在共同的防火墙后面,请打开如下端口以正常 使用梭子鱼:
端口 22 25 53 80 123 方向 In In/Out Out Out Out TCP Yes Yes Yes Yes No UDP No No Yes No Yes 用途 远程诊断与服务 (推荐)* Email 和 email 弹回信 Domain Name Service (DNS) 病毒库, firmware 和垃圾邮件规则库升级端口** Network Time Protocol (NTP)
你可以访问梭子鱼用户论坛:: 获取 FAQ(Frequently Asked Questions) 和其它关于如何安装和使用梭子鱼的说明和提 示.
Contact and Copyright Information Barracuda Networks, Inc. 10040 Bubb Road, Cupertino, CA 95014 USA • phone: 408.342.5400 • fax: 408.342.1061 • Copyright 2005 © Barracuda Networks, Inc. All rights reserved. Use of this product and this manual is subject to license. Information in this document is subject to change without notice. Barracuda Spam Firewall is a trademark of Barracuda Networks, Inc. All other brand and product names mentioned in this document are registered trademarks or trademarks of their respective holders.
梭子鱼病毒及垃圾邮件防火墙管理员手册V4.x
梭子鱼病毒及垃圾邮件防火墙管理员手册V e r s i o n 4.x第一章简介 (4)概述 (4)梭子鱼反垃圾及病毒邮件防火墙的型号 (8)技术支持联系方式 (10)第二章梭子鱼反垃圾及病毒防火墙概述 (11)十二层过滤 (11)连接层过滤 (12)内容扫描层 (13)垃圾邮件行为分析 (15)第三章安装与基本配置 (16)初始安装 (16)开始配置梭子鱼 (21)路由邮件 (24)管理角色及其Web界面 (25)查看或调整梭默认的反垃圾及病毒设置 (28)查看系统性能与邮件流量 (30)隔离设置 (31)第四章梭子鱼系统安全 (32)网络访问安全 (32)用户访问控制 (33)高级邮件安全策略 (34)第5章高级Inbound 垃圾邮件过滤策略 (36)速率控制 (36)IP分析 (37)内容分析– Inbound (39)第6章外发邮件相关设置 (44)外发邮件的过滤与隔离 (44)内容分析-外发邮件 (45)第7章高级设置 (47)发件人识别 (47)收件人识别 (49)梭子鱼集群功能 (50)高级网络设置 (52)阻断通知 (53)远程管理 (54)第8章隔离邮件管理 (55)隔离接收邮件功能的工作原理 (55)隔离设置 (55)管理帐户登录 (58)第9章管理帐户和域 (62)创建及管理域 (62)创建和管理帐户 (63)基于角色管理 (66)第10章对系统进行监控 (74)查看系统进程统计数据 (74)日志 (75)设置警报 (75)报表 (77)用任务管理器来监控系统任务 (77)诊断工具 (78)本章简单介绍梭子鱼反垃圾及病毒防火墙工作原理及型号:概述........................................................................................... .10梭子鱼反垃圾及病毒邮件防火墙型号...................................... .14技术支持联系方式........................................................... .15概述梭子鱼反垃圾及病毒邮件防火墙(简称梭子鱼)是软硬件集成的解决方案,提供强大可扩展的垃圾及病毒邮件防护功能,保护邮件系统,免除垃圾邮件的骚扰。
梭子鱼垃圾邮件防火墙产品介绍
梭子鱼成功案例
梭子鱼全球客户: 最大企业、最好大学、最知名金融机构
中国客户:知名行业企业客户 中国客户 知名行业企业客户
梭子鱼中国客户
仅仅用了二年时间, 仅仅用了二年时间,迅速成为新增客户第一位的反垃 圾邮件厂商; 圾邮件厂商; 客户遍布20多个行业;包括:电信、教育、政府、 客户遍布20多个行业;包括:电信、教育、政府、大 20多个行业 型企业、能源、烟草、研究院所等; 型企业、能源、烟草、研究院所等; 客户已经超过500家以上; 客户已经超过500家以上; 500家以上 其中梭子鱼还在不断的开辟新的行业用户。 其中梭子鱼还在不断的开辟新的行业用户。
特点二: 特点二:易于管理
►
可以简单插入多域及多邮件服务器环境
特点二: 特点二:易于管理
► 简单地将多台梭子鱼垃圾邮件防火墙堆叠在一起, 可以实现自动拓 展、冗余及容错,
特点三: 特点三:性价比出众
► 不按许可收费 ► 不加收病毒许可证费用 比国际同类产品价格低30%-50% ► 比国际同类产品价格低
特点二: 特点二:易于管理
• 简单易懂 • 一目了然 • 通用易学 • 设置即忘
– 96-98% 垃圾邮件封锁
特点二: 特点二:易于管理
► ► ► ► 完全自动的病毒特征码更新 完全自动的垃圾邮件规则库更新 实时黑名单 (RBL) 实时指纹检查
特点二: 特点二:易于管理
►
你可以简单地即插即用,在5分钟内完成部署
0.24 HTML_50_60
BODY: Message is 50% to 60% HTML
四大特点 硬件家族产品 易于管理 性价性能出众 集成性高
特点一: 特点一:硬件家族产品
• Spam Firewall 200
梭子鱼垃圾邮件防火墙用户手册
梭子鱼反垃圾邮件防火墙用户手册■ 梭子鱼垃圾邮件防火墙Barracuda Spam FirewallCopyrightCopyright 2004, Barracuda NetworksAll rights reserved. Use of this product and this manual is subject to license. Information in this document is subject to change without notice.TrademarksBarracuda Spam Firewall is a trademark of Barracuda Networks. All other brand and product names mentioned in this document are registered trademarks or trademarks of their respective holders.目录梭子鱼快速安装指南 (4)硬件安装 (4)设置IP地址 (4)WEB基本设置 (5)配置企业防火墙 (6)路由邮件服务器 (6)邮件弹回 (7)邮件服务器设置 (7)调整垃圾邮件得分 (7)常见产品问题解答 (8)梭子鱼垃圾邮件防火墙软件是否受用户数限制? (8)梭子鱼垃圾邮件防火墙是否按用户数或分域数收取许可费? (8)用户可以在晚一些购买实时更新服务吗? (8)病毒过滤模块需要额外付费吗? (8)发生邮件误判梭子鱼如何处理? (8)梭子鱼对隔离邮件如何处理? (8)电子邮件的个人隐私是如何得到保证的? (8)请问梭子鱼的质量担保政策? (9)梭子鱼解决方案支持那几种语言? (9)梭子鱼的价格为什么这么低? (9)梭子鱼有哪些用户呢? (9)梭子鱼防火墙前方面板上的指示灯标示似乎与灯的指示含义不符? (9)梭子鱼垃圾邮件防火墙(BSF)安装完成后会不会造成邮件收发延时? (9)梭子鱼垃圾邮件防火墙使用的是何种病毒引擎? (9)梭子鱼可支持多少用户? (10)梭子鱼机器是在哪里生产的? (10)梭子鱼获得过哪些奖项或证书? (10)安装后,WEB管理界面如何看?用户名和密码分别怎么设置,在哪设置? (10)常见技术问题解答 (11)什么是垃圾邮件评分,贝叶斯学习,邮件指纹识别? (11)全局隔离设置与分用户隔离设置的根本不同是什么? (11)全局和分用户垃圾邮件隔离概要什么时候发出? (11)能够同时选择全局和分用户两种隔离类型吗? (12)除了通过web界面访问垃圾邮件防火墙操作系统外,是否还有别的方式如telnet或ssh (12)可否配置梭子鱼能将分类为垃圾的邮件复本投递到一个邮箱中?(不为隔离,仅为转移) (12)不同的邮件用户或邮件域用户可否设置不同的垃圾邮件检测、等级及阻断策略? (12)能否设置垃圾邮件防火墙能够针对发件人DNS域进行反垃圾检查? (12)如何更新垃圾邮件规则和病毒特征码? (12)梭子鱼垃圾邮件防火墙对域的支持数量有限制吗? (12)梭子鱼垃圾邮件防火墙能否设置多域过滤邮件。
WAF技术白皮书-0301
A u t h e n t i c a t i o n:梭 子鱼w e b应 用防火 墙 可与各种 使 用 LDAP或者RADIUS认证的数据库配合,对用户提供身份认证, 认证通过才允许访问内部资源。网管可以轻松增加新的认证流 程或者将已有的认证程序通过梭子鱼WAF进行整合。
Authorization:通过认证的客户还需要被指定不同的访问 权限,通过控制策略的设定,可以对组织中不同帐号的访问指定 不同的权限,保证差异化的安全等级制。
梭子鱼WEB应用防火墙(WAF)拥有五种可选硬件型号,充分满足各种企业,不同大小网络的部署需求。
核心价值
Web Application Security • 全面的攻击防护 • 数据泄漏防护 • 病毒扫描
Authentication, Authorization, Accouting(3A) • 支持集成LDAP,RADIUS认证 • 多应用系统单点登录(SSO) • 双重安全认证
应用架构扁平化
梭子鱼web应用防火墙提供多种途径简化网络结构,使企业可以搭建扁平化的企业网络。 负载均衡:内置的负载均衡模块,提供L4/L7层流量分配,负载均衡是一种将流量均匀的分配到多台服务器上的网络设备,避 免单台服务器负载过大,加快Web流量的交付。梭子鱼Web应用防火墙也具备负载均衡的功能,它能检查进来的流量,并根据一 定的算法将流量分配给适当的服务器,同时检测服务器的使用状态,以保障服务器流量的稳定性和可靠性。 七层内容路由:供针一些超大型的应用,一个应用模块往往需要多台服务器配合提供服务,梭子鱼web应用防火墙也可提供 强有力的支持,通过识别访问请求中的模块地址,或者HTTP协议包的包头或参数值,发往对应服务器,快速得到服务器响应。提 升服务质量。
梭子鱼下一代防火墙产品线加入新解决方案
梭子鱼下一代防火墙产品线加入新解决方案佚名【期刊名称】《办公自动化(综合版)》【年(卷),期】2016(000)002【总页数】2页(P23-23,9)【正文语种】中文●梭子鱼推出的新下一代防火墙,新增了四个面向日益依赖云应用的企业的新桌面设备,如软件即服务(SaaS)、Microsoft Office 365,以及Amazon Web Services和Microsoft Azure这样的公有云平台。
●新梭子鱼下一代防火墙桌面设备F18、F80、F180和F280等四种型号是专为分布式网络而设计,为分支机构提供先进的安全功能,以及云、SaaS和其它关键应用的高带宽可用性。
●新梭子鱼下一代防火墙桌面设备可通过梭子鱼下一代防火墙控制中心而集中管理,从而帮助管理员管理远程站点、分支机构以及卫星位置的互联网出口,并具有与总部水平相当的安全性和可用性。
新的梭子鱼下一代防火墙桌面设备为分支机构提供可负担得起的安全性以及高可用的云、SaaS以及其它关键应用●新梭子鱼下一代防火墙桌面设备包含先进的安全功能,例如:深安全套接层(SSL)检测以及可单独授权的高级威胁检测模块。
●除了推出新的桌面设备型号,梭子鱼还将其下一代防火墙产品线更名为梭子鱼下一代防火墙,其中包括梭子鱼下一代防火墙F系列和梭子鱼下一代防火墙X系列梭子鱼近期推出其新的梭子鱼下一代防火墙桌面设备,它包含了高级流量优化功能。
这些强大的桌面设备专为分布式网络而设计,当分支机构访问私有和公用云应用时,可为其提供更高的安全性和网络性能。
新型号包括F18、F80、F180和F280,均可执行完整的安全和网络优化。
它们还在网络边界提供智能流量规则,以确保企业高质量接入、性能,以及关键应用的可靠性。
梭子鱼网络安全副总裁Klaus Gheri表示:“当所有安全功能都启用时,用于远程位置的典型网关安全设备可能会是一个瓶颈。
如果把越来越多依赖SaaS和公有云应用的企业考虑在内,这一问题会变得更加复杂。
【精选】梭子鱼反垃圾及病毒邮件防火墙典型方案样例
某基金公司反垃圾邮件系统实施解决方案客户项目建议书Barracuda Networks (Shanghai) Co.,Ltd.2009-2-18目录第一章某基金公司反垃圾邮件技术要求及回复 (3)1、某基金公司网络结构 (3)2、某基金公司技术需求的点对点应答 (4)第二章与Surfcontrol、Mirapoint、Macfee相比的技术优势 (5)1、十二大技术、十二层过滤的技术架构:整合目前最优秀的反垃圾邮件技术 (5)2、强大的处理能力及卓越的过滤效果 (11)3、产品集成了反垃圾邮件最前沿技术 (11)4、强大的分用户设置能力(Surfcontrol、Macfee均不具备此功能) (13)5、强大的报表能力 (14)6、强大的隔离功能 (16)第三章梭子鱼反垃圾邮件反病毒网关安装及部署方案 (17)1 某基金公司邮件系统概况 (17)2 梭子鱼型号的选择 (20)3 梭子鱼产品安装建议 (20)第四章梭子鱼与Surfcontrol、Mirapoint、Macfee的测试对比资料 (22)第五章反垃圾邮件产品国际评测 (26)1、奖项证明 (26)2、美国Network Computing杂志反垃圾邮件横向对比测试 (28)3、美国著名杂志Network world测试 (29)第六章国际国内客户的鉴定 (30)1、青岛啤酒集团梭子鱼产品功能鉴定报告 (30)2、盛大网络梭子鱼产品功能鉴定报告 (31)第七章梭子鱼国际客户情况 (32)第八章梭子鱼国内客户情况 (34)第九章梭子鱼专家服务(Premier Support) (36)附件一、梭子鱼垃圾邮件防火墙产品销售许可证 (38)第一章某基金公司反垃圾邮件技术要求及回复1、某基金公司网络结构2、某基金公司技术需求要点及应答●邮件应用是基金行业的关键应用,产品要稳定可靠。
答复:完全支持。
这正是硬件反垃圾邮件防火墙的产品优势,梭子鱼产品整合了加固的Linux安全操作系统及优化的12层反垃圾邮件过滤系统,产品兼容性好,稳定可靠。
梭子鱼WEB应用防火墙方案
梭子鱼WEB应用防火墙方案首先,梭子鱼WAF方案包括多层防御机制,如防火墙、反扫描和攻击检测等。
通过这些机制,可以及时发现和阻止恶意攻击者的行为。
其次,梭子鱼WAF采用了多种技术来检测和过滤网络流量中的恶意内容。
例如,可以通过正则表达式、机器学习和行为分析等方法来分析和拦截潜在的攻击。
此外,梭子鱼WAF还可以根据特定的应用程序的需求进行自定义配置,以确保正确的过滤策略。
第三,梭子鱼WAF提供了一个集中的管理平台,用于配置、监控和报告。
管理员可以通过这个平台轻松地设置规则和策略,并监控Web应用程序的安全状态。
此外,梭子鱼WAF还可以生成详细的报告,以帮助管理员分析和识别潜在的安全漏洞。
第四,梭子鱼WAF具有高性能和可扩展性。
它可以处理大量的网络流量,并且可以与其他安全产品(如入侵检测系统和日志分析工具)集成,以提供全面的安全解决方案。
另外,梭子鱼WAF还具有以下特点和优势:1. 实时防御:梭子鱼WAF可以实时监控和分析Web应用程序的流量,并及时防御各种攻击。
它可以帮助减少潜在的漏洞和安全风险。
2.自学习能力:梭子鱼WAF具有自学习的能力,可以通过分析和学习网络流量中的模式和行为来识别和拦截新的攻击。
这使得它能够不断适应不断变化的安全威胁。
3.定制化配置:梭子鱼WAF可以根据特定的应用程序的需求进行自定义配置。
管理员可以根据自己的需求设置过滤规则和策略,以确保正确的过滤策略。
4.高可用性和容错性:梭子鱼WAF采用了冗余部署和故障转移机制,以确保高可用性和容错性。
即使一些节点发生故障,系统依然能够正常运行。
综上所述,梭子鱼WEB应用防火墙方案是一种全面、高效的安全解决方案。
它可以保护Web应用程序免受各种攻击,并提供实时的监控、报告和管理功能。
通过使用梭子鱼WAF,组织可以提高其Web应用程序的安全性,保护用户数据和敏感信息的安全。
梭子鱼应用防火墙介绍
奇怪? 老鼠不应该带帽子的, 不符合Jerry老鼠的特征,允 许通行…
老鼠 资料库 老虎 大象 猫 老鼠骨骼特征 老鼠DNA分析
最新老鼠识别器,
我看行… 我看行
嘿嘿,又来了, 真实只笨猫…
老鼠就是老鼠,穿什么衣服, 禁止入内…
梭子鱼应用防护三步曲
TCP进程代理(TCP Session Full Proxy) Net防火墙 NAT, ACL, PAT 进程维护(Normalize Session) 协议遵从(Protocol Compliance) SSL加密/解密 HTTP信头重写 URL翻译 网站隐藏, 防爬行, Web地址转换 AAA 应用防DoS SQL/命令注入 DAP (Global and Session) URL ACLs Forms及Cookie窃取 REGEX保护 TCP Pooling 缓存, GZIP压缩 SSL卸载, 重新加密 应用及服务器健康检查 内容交换(Content Switching) 负载均衡 记录、监控、报告
谢谢!
梭子鱼应用防火墙
Web 应用
数据中心
系列产品
企业级
– Model 360 – Model 460 – Model 660
行业级
– NC500 – NC1100 – NC2000
可怜的老板… 聪明的小偷…
Jerry 特征库 A B C 两个耳朵 一条尾巴 身高15cm
轻松搞定… 伪装一下…
NetContinuum
Server Performance
缓存 压缩 TCP连接复用 连 SSL卸载和加速 卸 负载均衡 负载均衡
CPU Util %
30 – 400% 响应速度的提升以及完善应用安全 速度的提升以及完善应
梭子鱼应用防火墙技术白皮书
梭子鱼应用防火墙技术白皮书目录公司简介 (3)一.博威特网络技术公司: (3)二.博威特网络技术(上海)有限公司: (3)梭子鱼应用防火墙 (4)一.梭子鱼应用防火墙简介 (4)二.梭子鱼应用防火墙功能特性 (6)1.梭子鱼应用防火墙工作原理 (6)2.梭子鱼应用防火墙三层防护机制 (7)三.梭子鱼应用防火墙安装方式 (8)1.单臂模式 (8)2.桥模式 (9)3.代理模式(双臂模式) (10)四.梭子鱼应用防火墙附加功能 (11)1.应用持续性 (11)2.管理简便 (11)3.合规性 (12)五.梭子鱼应用防火墙各型号功能一览表 (13)1.企业级 (13)2.行业级 (14)公司简介一.博威特网络技术公司:博威特(Barracuda)网络技术公司成立于2002年,是提供企业级垃圾邮件解决方案的领导者。
在全球屡获殊荣,包括《Network Computing》杂志的编辑选择奖,并于2004和2005连续获得最佳表现奖。
公司的旗舰产品梭子鱼垃圾邮件防火墙系列,为世界各地超过50,000用户提供电子邮件安全防护,包括大量国际知名用户如Adaptec, Knight Ridder, Caltrans, CBS,乔治亚洲技术学院, IBM,美国国家宇航局, Pizza Hut, Union Pacific`Railroad,和美国财政部等。
博威特网络技术公司始终努力进一步拓展产品线,增加梭子鱼Web安全网关系列,梭子鱼安全负载均衡机系列,梭子鱼邮件存储网关系列和梭子鱼应用防火墙系列。
这些新品和垃圾邮件防火墙系列一同为各种规模的企业提供完整的应用网络安全整体解决方案。
博威特专业技术服务团队能够提供强大的支援。
企业级解决方案广泛适用于大型企业和中小型企业。
综合了众多强大功能的梭子鱼产品,兼具易用性和稳定性,赢得了来自客户的广泛赞誉和媒体、评测机构如潮的好评。
二.博威特网络技术(上海)有限公司:博威特网络技术(上海)有限公司是美国Barracuda Networks Inc.在中国的全资子公司。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
梭子鱼应用防火墙技术白皮书目录公司简介3一.博威特网络技术公司:3二.博威特网络技术(XX)XX:4梭子鱼应用防火墙4一.梭子鱼应用防火墙简介4二.梭子鱼应用防火墙功能特性61.梭子鱼应用防火墙工作原理62.梭子鱼应用防火墙三层防护机制7 三.梭子鱼应用防火墙安装方式81.单臂模式82.桥模式83.代理模式(双臂模式)9四.梭子鱼应用防火墙附加功能91.应用持续性92.管理简便103.合规性11五.梭子鱼应用防火墙各型号功能一览表121.企业级122.行业级14公司简介一.博威特网络技术公司:博威特(Barracuda)网络技术公司成立于2002年,是提供企业级垃圾解决方案的领导者。
在全球屡获殊荣,包括《Network puting》杂志的编辑选择奖,并于2004和2005连续获得最佳表现奖。
公司的旗舰产品梭子鱼垃圾防火墙系列,为世界各地超过50,000用户提供电子安全防护,包括大量国际知名用户如Adaptec, Knight Ridder, Caltrans, CBS,乔治亚洲技术学院, IBM,美国国家宇航局, Pizza Hut, Union Pacific`Railroad,和美国财政部等。
博威特网络技术公司始终努力进一步拓展产品线,增加梭子鱼Web安全网关系列,梭子鱼安全负载均衡机系列,梭子鱼存储网关系列和梭子鱼应用防火墙系列。
这些新品和垃圾防火墙系列一同为各种规模的企业提供完整的应用网络安全整体解决方案。
博威特专业技术服务团队能够提供强大的支援。
企业级解决方案广泛适用于大型企业和中小型企业。
综合了众多强大功能的梭子鱼产品,兼具易用性和稳定性,赢得了来自客户的广泛赞誉和媒体、评测机构如潮的好评。
二.博威特网络技术(XX)XX:博威特网络技术(XX)XX是美国Barracuda Networks Inc.在中国的全资子公司。
自2004年进入中国市场以来,取得了高速发展,相继签署了XX啤酒、TCL集团、科龙电器、中芯国际、浪潮集团、XX省信息中心、XX电信、XX移动、XX移动、XX联通、XX网通等大型项目,目前中国大型企业及行业用户选用最多的反垃圾及应用网络安全设备品牌。
梭子鱼应用防火墙一.梭子鱼应用防火墙简介随着网络应用的发展,企业Web应用日益增多,同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题,导致企业Web被篡改、数据被窃取或丢失。
根据Gartner的统计当前网络上75%的攻击是针对Web应用的。
攻击者通过应用层协议进入企业内部,如Web、Web、聊天工具和P2P等攻击企业网络。
利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web主页,盗取管理员密码,破坏整个数据等等攻击。
而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
因此,传统的防火墙是无法进行Web应用防护的。
防火墙工作在网络层,通过地址转换、访问控制及状态检测等功能,对企业网络进行保护。
但对于应用最广泛的Web服务器,防火墙完全对外部网络开放http应用端口,这种方式对于Web应用没有任何的防护。
防火墙无法防护上述应用层的攻击。
据最近的美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中有52% 的公司的系统遭受过外部入侵,但事实上他们中有98% 的公司都装有防火墙。
而这些攻击为269家受访公司带来的经济损失——包括系统入侵、滥用web 应用系统、网页置换、盗取私人信息及拒绝服务共计超过1.41 亿美元。
入侵检测系统作为防火墙的有利补充,加强了网络的安全防御能力。
但是,入侵检测技术的作用存在一定的局限性。
由于需要预先构造攻击特征库来匹配网络数据,对于未知攻击和或伪装成正常流量的攻击,入侵检测系统不能检测和防御。
更重要的是,对于应用系统中某一漏洞的目标攻击,他们没有任何防御能力,因为这些攻击没有明显的特征可供判断。
另外就是其技术实现的矛盾,如果需要防御更多的攻击,那么就需要很多的规则,但是随着规则的增多,系统出现的虚假报告(对于入侵防御系统来说,会产生中断正常连接的问题)率会上升,同时,系统的效率会降低。
图1Web攻击对网络防火墙及IDS是不可见的梭子鱼提供的强大的梭子鱼应用防火墙产品线,能够为Web 服务器和Web 应用提供全面的保护——既可防X已知的对Web 应用系统及基础设施漏洞的攻击,也可抵御更多的恶意及目标攻击。
梭子鱼应用防火墙基于梭子鱼专利的NCOS 体系,对HTTP请求进行终止、防护和加速。
集中化GUI控制界面可以让系统的配置和管理变得十分简单。
特别是,梭子鱼应用防火墙完全符合WAFEC & OWASP 提出的标准。
并且是世界上唯一被ICSA在网络层和应用层上通过认证的产品。
二.梭子鱼应用防火墙功能特性1.梭子鱼应用防火墙工作原理梭子鱼应用防火墙通过反向代理(Proxy)帮助企业建起防线! 基于会话的双向代理不仅能应用在网络层,同时还能应用在应用层(HTTP)上,确保内部服务器操作系统和TCP堆栈不直接暴露于Internet,保障Web应用的安全。
检查:恶意命令非法关键字隐藏字段窃取参数窃取HTTP修改办法最大长度例外执行:目的应用逻辑隐身合法爬行合法参数值敏感信息保护合理的进程状梭子鱼应用防火墙用户&黑客企业Web应用图2梭子鱼应用防火墙工作原理2.梭子鱼应用防火墙三层防护机制图3梭子鱼应用防火墙三层防护机制1.终止:梭子鱼应用防火墙有一个基本原则: 用户浏览器和应用程序服务器的连接会话都在此终止。
梭子鱼应用防火墙将对应用流量(向内和向外)进行全面的检查,并管理每一个会话。
通过TCP握手切断任何基于TCP的DOS攻击。
在终止会话的同时,梭子鱼应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。
系统对于HTTP内容有着完全的访问权和控制权,检查所有的HTTP 内容,解释和建立规则。
2.安全:一旦某个会话被梭子鱼应用防火墙终止并被控制,将会对向内或向外的流量进行多种检查,以阻止内嵌的攻击、数据窃取和身份窃取。
可以指定各种策略对URL、参数和格式等进行检查。
3.加速:除了Web应用的安全性,数据中心还负责应用的可用性和响应时间。
将加速功能(TCP 池,缓存,GZIP压缩)和可用性功能(负载均衡,内容交换,健康检查)在一个单一的节点处结合起来会显著地简化数据中心的体系结构,以此来降低成本。
三.梭子鱼应用防火墙安装方式梭子鱼应用防火墙部署简便灵活,共有3种部署方式。
1.单臂模式单臂模式是目前为止用于产品测试的最透明和最简单的方式,不会影响网络中的其他流量。
在单臂模式下,只有HTTP和HTTPS流量会被指到控制器,控制器处于DMZ区。
控制器检查这些流量,转发给服务器,记录所有违背安全策略的行为。
单臂模式是一种让用户“进入”第7层安全应用的方便的方法。
单臂模式2.桥模式桥模式是指在两台运行的设备中间插入控制器,但是对流量并不产生任何影响。
在桥模式下,控制器阻断第7层的应用攻击,但是让其他的流量通过。
桥模式是部署最为简便的方式。
桥模式是透明的,所以不会干预任何网络中的设备。
然而,某些功能在桥模式下是无法启用的,比如负载均衡,内容交换和网络防火墙。
桥模式桥模式下不支持的功能:•网络防火墙(如ACL,NAT, 路由等功能)•负载均衡•TCP连接复用•OOB检测(带外健康检查)•服务器群3.代理模式(双臂模式)代理模式为您的应用结构提供了最高程度的保护。
然而,这种模式要求应用的IP地址在控制器的控制之下。
这种模式通常在数据中心与系统相兼容并且已准备好作为代理设备的情况下使用。
双臂模式主动/被动安全性增强以上每一种模式可以运行在主动或者被动模式。
在被动模式下,控制器不会执行策略。
仅仅让流量通过,始终学习、报告和记录事务日志。
对于理解应用的行为和提供有价值的信息来将控制器移入应用数据流是非常有用的。
只有在主动模式下,控制器才会执行安全策略。
四.梭子鱼应用防火墙附加功能1.应用持续性•备机梭子鱼应用防火墙拥有stateful failover功能。
在主机失败的情况下(由于软件出错,网络连接出错等),备机能够安全、有效地进行接替。
没有流量丢失。
•穿透功能梭子鱼应用防火墙包含可选的网络层fail open功能。
若设备的硬件、PSU或软件出错,设备会把自己从网络中移除,使所有流量都能到达后面的设备。
任何设备黑的硬件问题都不会导致应用的失效。
2.管理简便在部署完毕后,梭子鱼应用防火墙提供一个信息和控制的中心点来操作您的应用。
数据中心能够观察到完整的应用健康程度。
能够方便迅速地调整策略,不需停止任何服务。
梭子鱼研发了一个管理模型和特别设计的GUI,用来促进当前技术人员运用梭子鱼的水平并拓展对于应用控制的能力。
最重要的是,系统设计了向导功能和预设置功能,这将能够对新的应用的安全性和新的策略进行迅速的定义。
•运行情况报告–应用和系统健康运行情况报告发布实时完整的应用运行的健康数据。
处理率、比特率、健康攻击都被实时监控并显示在运行情况报告面板里。
诸如内存和CPU的利用情况、应用防火墙、网络防火墙和系统的日志等控制器信息都实时显示。
•虚拟功能–多个应用梭子鱼应用防火墙的虚拟功能是一个为数据中心所提供的强大的工具,这个数据中心处理着应用方面的管理。
虚拟功能允许您定义多个独立的应用。
每个被定义的应用都被当作一个单独的实体进行处理。
系统让管理员独立、清晰地管理多个应用服务。
•当前策略调整应用服务经常改变并被部署。
因此,梭子鱼应用防火墙必须能够方便地调整策略。
梭子鱼应用防火墙有两种方法来帮助管理员管理这种情况。
梭子鱼动态应用调试和执行(DAP) 能够实时地自动学习和执行策略。
此功能使得管理员在不对梭子鱼产生任何影响的前提下部署应用的升级。
一些安全人员更加喜欢一种操控性更强、手动进行的应用升级。
实时策略向导能够协助您自定义策略,同时让您对于当前的策略拥有完全的掌控。
此系统能够记录所有违背ACL的行为。
根据这个日志,当然,您也可以随时重新创建策略。
3.合规性由于当今Web攻击日益严重,加上与它们相关的攻击与日俱增,因此研发一种测试产品安全性的标准来全面保护应用显得至关重要。
两个站在定义应用安全前线的组织机构是:·开放Web应用安全项目(OWASP),这是一个致力于寻找和攻克危险软件的组织。
OWASP所规定的前十项要求提供了最低标准的应用安全。
NetContinuum产品能够轻松解决前十项最普遍的WEB安全漏洞问题。
请浏览OWASP官方:.·Web应用安全联盟(WASC)是一个包含专家、行业人员、和生产开源应用安全标准的组织代表的国际组织。
联盟新的“Web应用防火墙评测标准” (WAFEC)是一个为提供独立的、与厂家无关的WEB应用防火墙产品的评测标准。