中国IDC产业年度大典---安全决定应用成败--下

安全，决定应用成败何平梭子鱼网络有限公司关于梭子鱼（BarracudaNetworks）Web应用的发展趋势Web应用的安全现状Web应用的安全问题分析梭子鱼WebApplicationFirewall介绍GavinBarracudaNetworksConfidential2Agenda2GavinBarracudaNetworksConfidential3主观因素：越来越多的应用基于Web应用，越来越多的系统漏洞可以被利用！传统防火墙和IPS等安全设施无法抵御！客观因素：越来越多的诱惑，越来越多的资源，越来越方便的工具，越来越多、越来越年轻的黑客！攻击动机：为名，为利及政治因素为什么会有这么多WEB攻击？3GavinBarracudaNetworksConfidential4Web应用安全问题分析应用和安全的鸿沟应用安全的复杂性对已知漏洞的防护延迟现有安全措施的局限性4GavinBarracudaNetworksConfidential5安全专家不了解web应用的特点“AsanApplicationDeveloper,Icanbuildgreatfeaturesandfunctionswhilemeetingdeadlines,butIdon’tknowhowtobuildsecurityintomywebapplications.”问题1：应用和安全的鸿沟“AsaNetworkSecurityProfessional,Idon’tknowhowmycompany’swebapplicationsaresupposedtoworksoIdeployaprotectivesolution…butdon’tknowifit’sprotectingwhatit’ssupposedto.”应用开发者和QA不了解安全重点5——导致WEB应用安全的根本原因GavinBarracudaNetworksConfidential6OperatingSystemsOperatingSystemsOperatingSystemsNetworkFirewall=update&uid=1'+or+like'%25admin%25';--%00MicrosoftSQLServerWebServersPresentationLayerDatabaseServersCustomerInfoBusinessDataTransactionInfoAppServersBusinessLogicJ2EE/.NETLegacyAppsMicrosoftIISApacheLinuxSolarisAIXWindows问题2：应用安全的复杂性6不同的操作系统不同的开发工具不同的应用程序不同的软硬件供应商严重的兼容性问题GavinBarracudaNetworksConfidential7DatabaseServersCustomerInfoBusinessDataTransactionInfoNetworkOperatingSystemsDatabaseServersOperatingSystemsApplicationServersOperatingSystemsWebServersNetworkFirewallIDSIPS机密数据一成不变的低效的“消防演习”模式补丁总是不够及时而且容易出错对于“零日攻击”毫无办法问题3：对已知漏洞的防护延迟7穷于应付疲于奔命GavinBarracudaNetworksConfidential8现有攻击特点：大部分攻击在应用层针对Web网站的恶意攻击绝大部分都将其封装为HTTP请求许多类型的攻击并不篡改网页黑客往往会将攻击隐藏在SSL内攻击手段发展迅猛传统防火墙：防火墙工作在3、4层攻击从80或443端口顺利通过防火墙检测IPS入侵防御：基于已知漏洞和攻击行为的防护；IPS最明显的缺陷在于它不能终止和处理SSL流量。网页防篡改对于攻击行为并不进行分析，也不阻止攻击的发生。8问题4：现有安全措施的局限性关于梭子鱼（BarracudaNetworks）Web应用的发展趋势Web应用的安全现状Web应用的安全问题分析梭子鱼WebApplicationFirewall介绍GavinBarracudaNetworksConfidential9Agenda9GavinBarracudaNetworksConfidential10修改代码代价太大！一般的商业应用程序大致有150,000-250,000行代码(SoftwareMagazine)每1000行代码就有大约15个严重的安全漏洞(USDeptofDefense)最普通的安全漏洞需要75分钟来诊断以及6小时来修复(5-yearPentagonStudy)应用程序的发布窘境：商业需求？安全？鱼和熊掌不可兼得！快速的商业需要=较小的安全性10GavinBarracudaNetworksConfidential11BarracudaNetworks梭子鱼WEB应用防火墙—体系架构BarracudaNetworks11GavinBarracudaNetworksConfidential12梭子鱼WEB应用防火墙：工作原理用户Web应用•TCP进程代理(TCPSessionFullProxy)•Net防火墙•NAT,ACL,PAT•进程维护(NormalizeSession)•协议遵从(ProtocolCompliance)•SSL加密／解密•HTTP信头重写•URL翻译•网站隐藏,防爬行,Web地址转换•AAA•应用防DoS•SQL/命令注入•DAP(GlobalandSession)•URLACLs•Forms及Cookie窃取•REGEX保护•TCPPooling•缓存,GZIP压缩•SSL卸载,重新加密•应用及服务器健康检查•内容交换(ContentSwitching)•负载均衡•记录、监控、报告终止安全加速反向代理技术12GavinBarracudaNetworksConfidential13梭子鱼WEB应用防火墙功能与特点SECUREWEBAPPLICATIONSSCALEUPANDSPEEDUPGAINVISIBIILITYVIALOGSANDREPORTSACHIEVECOMPLIANCE全面保护WEB应用•WEB服务器隐身，站点伪装•阻断针对7层WEB应用层的攻击•防止数据、网页的窃取或篡改•双向检测和防护•集成XML防护13GavinBarracudaNetworksConfidential14梭子鱼WEB应用防火墙功能与特点SECUREWEBAPPLICATIONSSCALEUPANDSPEEDUPGAINVISIBIILITYVIALOGSANDREPORTSACHIEVECOMPLIANCE业务的优化和加速•服务器负载均衡•页面缓存、内容压缩•TCP连接复用•集中访问控制-LDAP/RADIUS-客户端认证-SSL集中管理14GavinBarracudaNetworksConfidential15梭子鱼WEB应用防火墙功能与特点SECUREWEBAPPLICATIONSSCALEUPANDSPEEDUPGAINVISIBIILITYVIALOGSANDREPORTSACHIEVECOMPLIANCE强大的日志和报表WEB应用防火墙日志审计日志访问日志业务流量及攻击报表利用日志可以进行启发式策略设置，不断优化防御策略15GavinBarracudaNetworksConfidential16梭子鱼WEB应用防火墙功能与特点SECUREWEBAPPLICATIONSSCALEUPANDSPEEDUPGAINVISIBIILITYVIALOGSANDREPORTSACHIEVECOMPLIANCE合规性基于角色的访问控制LDAP鉴权PCI合规性报表各种审计报表，满足安全审计的需求更早地遵从有关法规对企业网络安全的合规要求，如：(SOX,HIPAA,CASB-386)16GavinBarracudaNetworksConfidential17梭子鱼WEB应用防火墙产品型号17GavinBarracudaNetworksConfidential18国际评测机构对当前主流Web应用防火墙的评测18来源：美国信息安全杂志2009年9月更多信息请访问：!