基于Radware的应用安全防护的解决方案-电子发烧友网

防火墙一直是网络及应用安全的代名词，在瞬息万变的信息时代，这个曾经叱咤风云的一代宗师，今天却成为了信息安全的误区，防火墙仍然安全吗？众所周知，今天的应用逐渐向Web转换，这意味着什么呢？

传统的应用，不同应用具有不同的端口，防火墙为不同应用开放不同的端口，见左图，今天的应用向WEB转换，不同的应用全都承载在WWW端口上，防火墙只需开放一个端口，即WWW（80）端口，见右图。左边的防火墙开放了多个端口，而右边的防火墙只开放了一个端口（80），因此右边的防火墙比左边的更安全吗？当然不是，我们试想从另一个角度出发，应用向WWW转换后，原来每一个应用的报头信息，今天全部成为WWW 应用的净负荷（PAYLOAD），防火墙若不具备深度包检测的机制，应用向WEB转变将导致防火墙形同虚设，根据GARTNER 的预测，如果防火墙还只局限于状态检测而不具备深度包检测的机制，将很快面临淘汰的厄运。

当前，针对数据中心所发起的攻击正在发生显着的变化。攻击者采用多种攻击技术、多种攻击形式和入侵途径发动攻击，且经常利用未知的漏洞，这给关键业务运营带来了严重威胁。尽管许多组织机构部署了单一的保护方案，如入侵防御系统（IPS）、网络行为分析（NBA）、拒绝服务攻击（DoS）保护和Web应用防护等。但这种部署既增加了成本和复杂性，也使得网络及服务无法防御混合攻击，从而让数据中心完全暴露于威胁之中。因此，各个组织机构正在寻找一种能够整合包含多种安全技术、同时可以扩展，并且由同一厂商提供的安全解决方案。

Radware应用安全防护解决方案

Radware（Nasdaq:RDWR）是一家领先的智能化解决方案供应商，致力于确保在IP上快速、可靠而安全地交付网络或基于Web的应用程序。该公司已完成了其AppDirector产品与 BEA 的 WebLogic Server 9.0之间的互用性测试，目的是帮助企业客户消除所有BEA服务器的停机时间，从而实现容错应用的连续性。Radware 产品系列中包括为满足IP应用服务器、防火墙、cache 服务器和 WAN 链接而开发和设计的产品。结合市场上丰富的功能设置，提供了完全可扩展的解决方案。Radware IAS 设备优化了所有公司、电子商务企业和全球主要 ISP 的网络性能。并与主要的企业解决方案提供商合作，为客户提供最先进的技术和服务。

Radware应用安全防护解决方案能够充分满足用户对网络威胁不断变化而产生的安全需求，帮助用户全面保护网络及数据中心基础设施免受日益增长的混合威胁攻击，使得应用在数据中心中获得更高的安全性。结合Radware多年来在应用安全领域的经验，以及对市场及用户实际需求的了解，Radware应用安全防护解决方案为用户提供从网络层到应用层全面的安全防护，给予用户核心应用最佳的安全保障。

Radware应用安全防护解决方案主要由Radware DefensePro和Radware AppWall实现。DefensePro集合不同的工具/模块、管理与报告功能，各工具/模块以同步工作的方式可为用户提供网络及应用层面最佳检测及最佳防范混合威胁的效果。AppWall通过对web应用的规范化检测，保障用户核心应用免受来自Web应用层面的攻击，如：瘫痪网页服务、暴力破解网页登入页面、SQL Injection、联机拦截、Cross Site Sripting等等。

方案拓扑图

基于Radware的应用安全防护的解决方案

Radware DefensePro

Radware DefensePro是一款实时网络攻击预防设备，它能够保护你的应用基础架构免受网络及应用停机、应用漏洞滥用、恶意软件传播、网络异常、信息偷窃以及其他新出现的网络攻击的影响。

DefensePro包括一套安全性模块 - DoS保护、NBA 网络行为分析和 IPS – 以便完全保护网络免受已知的和新出现的网络安全性威胁的影响。DefensePro 采用了多种检测和预防引擎，其中包括特征码检测、协议和流量异常检测、启发式检测以及行为分析。DefensePro 的密码武器在于其受专利保护的、基于行为的实时特征码技术，它能够实时检测和减缓新出现的网络攻击，例如零分钟攻击、DoS/DDoS 攻击、应用滥用攻击、网络扫描和恶意软件传播。所有这些都不需要人工干预，而且也不会封锁合法的用户流量。

DefensePro采用基于按需扩展交换机（OnDemand Switch）的专用硬件平台，Radware是第一家在其 IPS 型号系列中提供随需应变 IPS 可伸缩性的公司，其伸缩范围从 100 Mbps 直至 12Gbps.设备最多可防御高达10MPPS的DOS攻击量，并在防御攻击的同时不影响应用的正常访问。基于其随需应变、"量入为出"的方法，当你的网络带宽增加时，无需更换硬件即可升级，从而保证节省短期和长期资本支出及运营支出，实现完整的投资保护。

DefensePro攻击预防包括以下防护层次（如下图）：

第一层：基于网络的保护 - 防御 DoS/DDoS 淹没攻击

第二层：基于服务器的保护 – 防御服务器资源滥用和服务器破解

第三层：基于客户端的保护 - 检测已经受感染的客户端并防止客户端恶意软件的传播

第四层：基于状态化的特征码的保护 - 预防已知的攻击漏洞

基于Radware的应用安全防护的解决方案

DefensePro基于特征码的和基于行为的安全性技术构成了相互补充的解决方案，能够包含特征码以及基于行为的和自动的特征码生成技术，而且在设计上能够有效地区分它们之间的检测和预防责任，该产品为用户提供网络及应用层面最佳检测及最佳防范混合威胁的效果。

Radware AppWall

信息资产就和企业其它重要的资产一样，对企业而言是非常具有价值的，应该被妥善加以保护并可被审核。由于信息系统面临着许多安全的威胁，因此对信息系统安全风险应加以管理，以降低系统所提供信息的不及时性、不完整性与不正确性，并设置适当控制及保存审核档案记录，以便及时发现并追踪恶意行为，防范入侵与攻击，进而确保信息系统的安全。

在内容层面的威胁最常遇到的困扰就是透过Web的方式进行攻击，瘫痪网页服务、暴力破解网页登入页面、SQL Injection、联机拦截、Cross Site Sripting等等，种类繁多，防不胜防。由于网页服务内容本身丰富多变，单单透过特征辨识的方式无法完全根治内容层面的攻击，因此需要一种能自行设定调整学习的机制来辨识个别网页（URL）的使用者行为，加以建档分析。若有可疑的入侵行为时即可及时告警并加以阻绝。一般由于网页开发者会比较专注在网页内容及服务的主轴上，很容易因此而忽略了系统及服务器本身的问题而未在开发程序中加以防范，或是不知该如何防范，造成服务危机。藉由网页应用防火墙（AppWall）的辅助，将可帮助网页开发者专注在内容的开发上，且提供完善的网页服务，保障服务安全无虞。

Radware AppWall具有以下功能：

有效防护数据的暴露与识别窃取（SQL Injection、XSS）

骇客利用正常查询网站数据时，将攻击数据库的指令夹藏于网站查询命令中，骇客可以穿透防火墙，并绕过身分认证机制，取得数据库权限，入侵数据系统后，进而窃取数据或破坏数据库。通过部署AppWall能够及时防御该入侵行为，保护企业资源有效运用。

防护客户端安全性（Cookie Tampering、Injection）

AppWall 使用自我学习侦测技术会自动记录由服务器端所送出的Cookie信息，并持续的确认是否符合上次所纪录的信息相同，若发现与记录的信息不同，则可产生相关动作阻止入侵行为的发生。

非法授权人士的存取防御（Legitimate Privilege Abuse）

正常使用者可能会有非授权的行为进行存取。例如：医疗系统的处理人员有权限可以登入医疗数据库存取，却可能会逾越自己的权限，进行非法下载相关数据库的数据供自己或别人使用。AppWall 使用其特有的ACL技术会自动产生一个告警并执行相关动作。

强大的侦测机制

目前的Radware AppWall约可针对以下威胁提供防御：

SQL injection Cross-site scripting

Parameter tampering Hidden field manipulation

Session Manipulation Cookie poisoning