梭子鱼Web应用防火墙
我们使您的web应用更加安全
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
NetContinuum 背景
•
•
•
•
创立于1999年，总部 base 在加州的圣塔克莱拉（Santa Clara, CA）
产品被全球 225+ 客户使用，横跨 24 个国家
应用防火墙能够快速实现应用安全
应用网关能够非常快速方便的部署应用
NetContinuum
Users
Network
Firewall
Web Application Firewall
Secure Application Gateway
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
Applications
DBMS
我们的客户
Bank
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
驱动力
企业关键业务逐步转向web模式
• 客户，员工，合作伙伴之间更多的互动
• 工作系统的英特网化
• 关键业务流程和数据在英特网上的暴露
• 协议和架构的标准化也带来更多的安全问题
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
风险评估与共识
当其他各种攻击日趋减少的同时，Web攻击日益猖獗
CSI/FBI 2005 Computer Crimes & Security Survey
Source: Computer Security Institute
分析新闻覆盖面的扩大
接踵而来的产品评测
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
行业标准的浮现
应用和安全的鸿沟
Web应用和安全的鸿沟
安全专家不了解
web应用的特点
应用开发者和QA 不
了解安全重点
“As a Network Security
Professional, I don’t know
how my company’s web
applications are supposed
to work so I deploy a
protective solution…but
don’t know if it’s protecting
what it’s supposed to.”
“As an Application
Developer, I can build
great features and
functions while
meeting deadlines, but
I don’t know how to
build security into my
web applications.”
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
应用安全很复杂
http ://www.none.to/script ?submenu=update&uid =1'+or+like'%25admin%25';--%00
Web Servers
App Servers
Database Servers
Presentation Layer
Business Logic
J2EE/.NET
Legacy Apps
Customer Info
Business Data
Transaction Info
Network
Firewall
Microsoft
SQL Server
Microsoft
IIS
Apache
Operating Systems
Linux
Operating Systems
Solaris
AIX
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
Windows
Operating Systems
对已知漏洞的防护延迟
•
一成不变的低效的“消防演习”模式
•
补丁总是不够及时而且容易出错
Database Servers
•
基于指纹的防护措施
Customer Info
Business Data
Transaction Info
•
对于“零日攻击”毫无办法
Network
Firewall
IDS
IPS
Web
Servers
Application
Servers
Database
Servers
Operating
Systems
Operating
Systems
Operating
Systems
Network
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
机密数据
无法保护客户自身代码
75% 攻击覆盖于
应用层
(Gartner)
Database Servers
Customized Web Applications
Customized Packaged Apps
Internal and 3rd Party Code
Network
Firewall
IDS
IPS
Web
Servers
Application
Servers
Database
Servers
Operating
Systems
Operating
Systems
Operating
Systems
Network
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
Customer Info
Business Data
Transaction Info
机密数据
现有安全措施无能为力
防火墙只能阻断网络层的
攻击
局域网
最终用户
80端口web流量仍然
能够通过
防火墙
SQL Slammer
Nimda
Cross site scripting
Unicode attacks
Cookie poisoning
SQL injection
Code Red
Forceful browsing
OS command injection
Cookie password theft
Web-based worms
Site defacing
数据中心
攻击
入侵监测系统
Web 应用
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
应用防火墙：您的解决方案
• 需求 6.5: 开发安全的应用程序
• 需求 6.6: 审核应用安全安全性
–
选择 1: 专业公司进行代码审核
–
选择 2: 部署应用防火墙
• 厂商/咨询顾问的解决方案
• 作为RFI/RFP模版
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
解决您的实际问题…
审计及合规
• 帮助企业通过安全审计
• 达到PCI (支付卡) 应用安全规范要求
• 美国萨班法案(Sarbanes Oxley)及其他合规性要求
企业安全应用
• 保护及控制web应用安全
• 快速部署客户化的web应用
• 部署、保障及管理企业web门户安全
降低商业风险
• 管理Internet上业务的风险
• 开发完成后保护客户化应用安全
• 保护FTP安全
最高效率的架构
• 面向下一代的web数据中心的架构
• 简化DMZ区，增加安全性及降低运营成本
• 替代传统的负载均衡及内容交换系统
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
哪里需要我们
Business Critical
Applications
Supply Chain
App Servers
NetContinuum
Web Security Gateway
Inventory Servers
FTP Servers
Application D
Application E
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
代理 － 安全的保护
• TCP进程代理(TCP Session Full Proxy)
• 网站隐藏, 防爬行, Web地址转换
• TCP Pooling
• Net防火墙
• AAA
• 缓存, GZIP压缩
• 应用防DoS
• SSL卸载, 重新加密
• 进程维护(Normalize Session)
• SQL/命令注入
• 应用及服务器健康检查
• 协议遵从(Protocol Compliance)
• DAP (Global and Session)
• 内容交换(Content Switching)
• SSL加密／解密
• URL ACLs
• 负载均衡
• HTTP信头重写
• Forms及Cookie窃取
• 记录、监控、报告
• URL翻译
• REGEX保护
• NAT, ACL, PAT
终止
安全
加速
NetContinuum反向代理
用户
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
Web应用
NetContinuum：实现基础
• 完全的SSL终止和解密
• 策略检查之前标准化所有流量
d5opx;ÐÓGE]Ì €³óâ=•
[Z ܾçÙ‰Vð„'‰<½
#Ôm]ëæoª5Zòˆ!0^Ý£kê
Ø
mtÈ‘œín‘k»A
H•?>'5@Ì¿êÜ °Ýë ;u
³7JMµ4[ ø´Èò¾ø má¼
%2E%2E%2Fhome%2Fuser
../home/user
%2F%7Eroot%2Fetc%2Fpas
/~root/etc/p
%2Fhomepage%2Findex%2
/homepage/index/pictures/thumbs.html
Normalize
Apply Security
Policy
Terminate and decrypt SSL
阻断通过加密和编码进行伪装的攻击
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
三步实现应用安全
1. 保护应用基础架构
 隐藏
 Cookie 安全
 Web 地址转换
2. 根据应用强化安全
 动态应用建模
3. 弹性安全策略
 颗粒度极小，可高度自定义的Web 访问控制列表
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
端到端的应用安全
An Architecture to
{}
deploy
secure
control
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
Web Applications
部署
1
终止所有流量，我们就可以管理它。
tcp
ssl
严格意义上来说，这是“反向代理”。
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
安全
2
在边界对用户进行验证
CA SiteMinder
Source IP
HTTP Auth
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
LDAP
RADIUS
Client Certificates
安全
3
标准化数据
d5opx;ÐÓGE]Ì €³óâ=•
[Z ܾçÙ‰Vð„'‰<½
#Ôm]ëæoª5Zòˆ!0^Ý£kê
Ø
mtÈ‘œín‘k»A
H•?>'5@Ì¿êÜ °Ýë ;u
³7JMµ4[ ø´Èò¾ø má¼
?
../partners/
%2e%2e%2fpartners%2Fe
%2ffinance%2frec%2f/finance/rec/
Decrypt SSL
Normalize
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
安全
4
检查流量是否为恶意攻击
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
梭子鱼web应用防火墙如何工作？
• 对应用数据录入完整检查
• 完全掌握应有数据值类型
• 实时策略生成及执行
检查:
恶意命令
非法关键字
隐藏字段窃取
参数窃取
HTTP修改办法
最大长度例外
非法URLs
WSI身份验证
XML Schema验证
用户
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
执行:
目的应用逻辑
网站隐身
合法爬行
合法参数值
敏感信息保护
合理的进程状态
进程安全
合法URLs
Web应用／服务
输入验证
• 输入验证引擎侦测并阻断攻击
–
–
–
–
–
–
SQL 注入
跨站点脚本攻击
命令攻击
非法字符集
排除关键字
偷窃命令
• 参数访问控制列表
– 强化对表单字段和其他应用参数的安全
策略
• 报头访问控制列表
– 强化对标准和自定义HTTP报头的安全策
略
– 阻断隐藏在报头值中的攻击
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
会话完整
Cookie 加密保证会话的完整性
–
–
–
–
–
维护客户端会话完整性
保证用户信息的安全
Cookie 加密提供私密性
数字证书提供可靠性
对用户和应用完全透明
Users
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
Web Applications
应用隐藏
• 全站点隐藏
– 隐藏资源信息，防止被偷窃
– 抵挡针对某个平台的脚本威胁 (nimda)
• 反爬行保护
–
–
–
–
防止黑客探测
拒绝数据捕获
阻断站点下载和数据偷窃
允许合法爬行程序
• Web 地址转换
– 隐藏 Web URL
– 允许内部系统安全的进行扩展
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
数据偷窃防护
MASK
XXXX-XXXX-XXXX-3456
MASK
Social Security
550-55-1234
XXX-XX-1234
BLOCK
MASK
ID# 123-XXXX
BLOCK
用户
Credit Card
4321-4567-7654-3456
应用防火墙
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
Driver’s License
A123456
Employee ID
ID# 123-4567
Patient ID
134-AR-627
Web应用/服务
控制
5
虚拟化部署
Internal Addresses
What Users See
www.acme.com/finance
www.acme.com/partners
www.acme.com/login
sap.acme.com/hq
partners.acmecorp.com
Users
NetContinuum
Application Security Gateway
www.acme.com/exec/obid
os/subst/home/home.html/
104-5601216-1952704
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
虚拟化部署
• 通过一个单独网关部署多个独立管理的应用，各应用采用不同的安
全策略在不修改网络架构的情况下增加新的应用
• 为多元化的机构提供显著的运营优势
• 实时配置修改后台系统，而无需让系统下线
策略A
• 网站隐身
•Web地址转换
• 立即SSL
• Cookie保护
• 深度检查
• 安全交易记录
外部Web应用及服务
策略B
应用防火墙
• 网站隐身
• 立即SSL
• 登陆控制
内部应用
策略C
• 网站隐身
公司网站
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
部署
6
终止了流量，我们优化它。
负载均衡
HTTP 压缩
缓存
SSL 加速
TCP 连接池
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
加快应用的响应时间
Bandwidth
Consumption
Server
Performance
Application
Response Time
NetContinuum
•
•
•
•
•
缓存
压缩
TCP连接复用
SSL卸载和加速
负载均衡
30 – 400% 响应速度的提升以及完善应用安全
CPU Util %
NCOS：高性能的保障
•
•
•
•
管理和应用流量框架分离
建立在多核处理器上的轻量级线程机制（寄存器，堆栈） – 无系统 context switching
隐藏系统或者TCP协议栈
ICSA 认证授权的网络和应用安全
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
状态冗余
Reverse Proxy Redundant
Web Application Firewall
Traffic normally
flows through
Active Firewall
App1: 192.168.9.110
PIF: 10.10.10.1
Eth1: 192.168.9.1
Eht2: 10.10.10.2
Active
Application &
Backend Servers
Internet
192.168.9.1
On failure, traffic
flows through
Active Standby
with full security
state
Standby
App1: 192.168.9.110
PIF: 10.10.10.1
Eth1: 192.168.9.3
Eht2: 10.10.10.4
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
www1:
10.10.10.10
www2:
10.10.10.20
www3:
10.10.10.30
行业领导的性能


高效能及低延迟
测试过程中安全及加速功能开启，充分证明设备性能!
Performance Metric
L2-L4
NC-1100 v5-1
NC-2000 v5-1
R Proven through testing
R Proven through testing
400,000 conns
1,400,000 conns
1 Gbps
1 Gbps
6,000 cps
23,000 cps
7:1
10:1
100,000 conns
100,000 conns
1 Gbps
1 Gbps
Maximum SSL Transaction Rate
with No Session Re-Use
4,000 tps
8,000 tps
HTTP 1.1 Trans/sec - Security +
Acceleration Features - Turned ON
5,000 tps
28,000 tps
<1 ms
<1 ms
HTTPS 1.1 Trans/sec - Security +
Acceleration Features - Turned ON
4,000 tps
10,000 tps
Latency during HTTPS 1.1 testing
<5 ms
<5 ms
Maximum Concurrent TCP
Connections
Maximum Throughput
Maximum TCP Connections/sec
TCP Multiplexing Ratio
SSL
Maximum Concurrent SSL
Connections
Maximum SSL Throughput - Bulk
Transfer of 1Mb File
L7
HTTP
Latency during HTTP 1.1 testing
L7
HTTPS
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
 采用1K大小数据
包
 单URL延迟
行业的领导者
Y04 Firewall Magic Quadrant
Leaders
Challengers
Cisco Systems
Check Point
NetScreen
Radware
Ability to
Execute
Netcontinuum
Microsoft
Secure Computing
Watchguard
Stonesoft
Fortinet
F-5
iPolicy
Whale
CyberGuard
Symantec
SonicWALL
Watchfire
Kavado
Niche Players
Teros
Network
Firewall
Web
Application
Firewall
Visionaries
Completeness of Vision
“NetContinuum is poised to be the first
traditional WAF vendor to stake a claim in the
new Application Assurance Platform market.”
Andy Jaquith, December 2005, declaring
NetContinuum a
“Market Leader”
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn
问题
©2008 博威特网络技术（上海）有限公司。版权所有，不得转载。www.barracudanetworks.com.cn

天津市物联网产业发展“十二五”规划