【51CTO.com 綜合消息】隨著網絡應用的發展，企業Web應用日益增多，同時也面臨著Web濫用、病毒泛濫和黑客攻擊等安全問題，導致企業Web被篡改、數據被竊取或丟失。根據Gartner的統計當前網絡上75%的攻擊是針對Web應用的。攻擊者通過應用層協議進入企業內部，如Web、Web郵件、聊天工具和P2P等攻擊企業網絡。利用網上隨處可見的攻擊軟件，攻擊者不需要對網絡協議的深厚理解基礎，即可完成諸如更換web網站主頁，盜取管理員密碼，破壞整個網站數據等等攻擊。而這些攻擊過程中產生的網絡層數據，和正常數據沒有什么區別。

因此，傳統的防火墻是無法進行Web應用防護的。防火墻工作在網絡層，通過地址轉換、訪問控制及狀態檢測等功能，對企業網絡進行保護。但對于應用最廣泛的Web服務器，防火墻完全對外部網絡開放http應用端口，這種方式對于Web應用沒有任何的防護。防火墻無法防護上述應用層的攻擊。

據最近的美國計算機安全協會（CSI）/美國聯邦調查局（FBI）的研究表明，在接受調查的公司中有 52% 的公司的系統遭受過外部入侵，但事實上他們中有 98% 的公司都裝有防火墻。而這些攻擊為269家受訪公司帶來的經濟損失——包括系統入侵、濫用 web 應用系統、網頁置換、盜取私人信息及拒絕服務共計超過 1.41 億美元。

入侵檢測系統作為防火墻的有利補充，加強了網絡的安全防御能力。但是，入侵檢測技術的作用存在一定的局限性。由于需要預先構造攻擊特征庫來匹配網絡數據，對于未知攻擊和或偽裝成正常流量的攻擊，入侵檢測系統不能檢測和防御。更重要的是，對于應用系統中某一漏洞的目標攻擊，他們沒有任何防御能力，因為這些攻擊沒有明顯的特征可供判斷。另外就是其技術實現的矛盾，如果需要防御更多的攻擊，那么就需要很多的規則，但是隨著規則的增多，系統出現的虛假報告（對于入侵防御系統來說，會產生中斷正常連接的問題）率會上升，同時，系統的效率會降低。 

圖

圖一 Web攻擊對防火墻及IDS是不可見的

梭子魚提供了世界上最強大的Netcontinuum應用防火墻產品線，能夠為 web 服務器和 web 應用提供全面的保護——既可防范已知的對 web 應用系統及基礎設施漏洞的攻擊，也可抵御更多的惡意及目標攻擊。梭子魚應用防火墻基于NetContinuum專利的NCOS系統，對Web應用具備終止、防護和加速。集中化GUI控制界面可以讓系統的配置和管理變得十分簡單。 特別是，梭子魚應用控制防火墻完全符合WAFEC & OWASP提出的標準。并且是世界上唯一被ICSA在網絡層和應用層上通過認證的產品。#p#

梭子魚應用防火墻的原理：

梭子魚應用防火墻通過代理(Proxy)幫助企業建起防線! 基于會話的雙向代理不僅能應用在網絡層，同時還能應用在HTTP應用層上，確保內部服務器操作系統和TCP堆棧不直接暴露在Internet，保障web應用的安全。

圖

圖二 Web應用防火墻的原理

NetContinuum 應用防火墻功能： 

終止：NetContinuum 產品有一個基本原則: 用戶瀏覽器和應用程序服務器的連接會話都在此終止。 Netcontinuum將對應用流量（向內和向外）進行全面的檢查，并管理每一個會話。通過TCP握手切斷任何基于TCP的DOS攻擊。在終止會話的同時，應用防火墻可以提供網絡層的NAT、PAT 、ACL 策略和SSL 密碼系統。系統對于HTTP內容有著完全的訪問權和控制權，檢查所有的HTTP 內容，解釋和建立規則。

安全：一旦某個會話被NetContinuum應用防火墻終止并被控制，將會對向內或向外的流量進行多種檢查，以阻止內嵌的攻擊、數據竊取和身份竊取。 可以指定各種策略對URL、 參數和格式等進行檢查。  加速：除了WEB應用的安全性，數據中心還負責應用的可用性和響應時間。將加速功能 (TCP 池，緩存，GZIP壓縮)和可用性功能（負載均衡，內容交換，健康檢查）在一個單一的節點處結合起來會顯著地簡化數據中心的體系結構，以此來降低成本。

圖

#p#

梭子魚NetContinuum 應用防火墻的安裝

梭子魚應用防火墻部署簡便靈活，共有4種部署方式。

◆單臂模式

單臂模式是目前為止用于殘品測試的最透明和最簡單的方式，不會影響網絡中的其他流量。在單臂模式下，只有HTTP和HTTPS流量會被指到控制器，控制器處于DMZ區。控制器檢查這些流量，轉發給服務器，記錄所有違背安全策略的行為。單臂模式是一種讓用戶“進入”第7層安全應用的方便的方法。

◆橋模式

橋模式是指在兩臺運行的設備中間插入控制器，但是對流量并不產生任何影響。在橋模式下，控制器阻斷第7層的應用攻擊，但是讓其他的流量通過。橋模式是部署最為簡便的方式。橋模式是透明的，所以不會干預任何網絡中的設備。然而，某些功能在橋模式下是無法啟用的，比如負載均衡，內容交換和網絡防火墻。

◆代理模式

代理模式為您的應用結構提供了最高程度的保護。然而，這種模式要求應用的IP地址在控制器的控制之下。這種模式通常在數據中心與系統相兼容并且已準備好作為代理設備的情況下使用。

◆主動/被動 安全性增強

此外，以上每一種模式可以運行在主動或者被動模式。在被動模式下，控制器不會執行策略。僅僅讓流量通過，始終學習、報告和記錄事務日志。對于理解應用的行為和提供有價值的信息來將控制器移入應用數據流是非常有用的。只有在主動模式下，控制器才會執行安全策略。

◆備機

NetContinuum 控制器擁有stateful failover功能。在主控制器失敗的情況下（由于軟件出錯，網絡連接出錯等），備用控制器能夠安全、有效地進行接替。沒有流量丟失。

◆穿透功能

NetContinuum 控制器包含可選的網絡層fail open功能。 若控制器的硬件、PSU或軟件出錯，控制器會把自己從網絡中移除，使所有流量都能到達后面的設備。任何控制器的問題都不會導致應用的失效。

管理簡便

在部署完畢后，NetContinuum控制器提供一個信息和控制的中心點來操作您的應用。數據中心能夠觀察到完整的應用健康程度。能夠方便迅速地調整策略，不需停止任何服務。NetContinuum研發了一個管理模型和特別設計的GUI，用來促進當前技術人員運用NetContinuum的水平并拓展對于應用控制的能力。最重要的是，系統設計了向導功能和預設置功能，這將能夠對新的應用的安全性和新的策略進行迅速的定義。

◆運行情況報告 – 應用和系統健康

運行情況報告發布實時完整的應用運行的健康數據。處理率、比特率、健康攻擊都被實時監控并顯示在運行情況報告面板里。諸如內存和CPU的利用情況、應用防火墻、網絡防火墻和系統的日志等控制器信息都實時顯示。 

圖

◆虛擬功能 – 多個應用

NetContinuum的虛擬功能是一個為數據中心所提供的強大的工具，這個數據中心處理著應用方面的管理。虛擬功能允許您定義多個獨立的應用。每個被定義的應用都被當作一個單獨的實體進行處理。系統讓管理員獨立、清晰地管理多個應用服務。

◆當前策略調整

應用服務經常改變并被部署。因此，控制器必須能夠方便地調整策略。NetContinuum控制器有兩種方法來幫助管理員管理這種情況。NetContinuum動態應用調試和執行 (DAP) 能夠實時地自動學習和執行策略。此功能使得管理員在不對控制器產生任何影響的前提下部署應用的升級。一些安全人員更加喜歡一種操控性更強、手動進行的應用升級。實時策略向導能夠協助您自定義策略，同時讓您對于當前的策略擁有完全的掌控。此系統能夠記錄所有違背ACL的行為。根據這個日志，當然，您也可以隨時重新創建策略。

符合標準

由于當今Web攻擊日益嚴重，加上與它們相關的攻擊與日俱增，因此研發一種測試產品安全性的標準來全面保護應用顯得至關重要。

兩個站在定義應用安全前線的組織機構是：

◆開放Web應用安全項目 (OWASP),這是一個致力于尋找和攻克危險軟件的組織。OWASP所規定的前十項要求提供了最低標準的應用安全。NetContinuum產品能夠輕松解決前十項最普遍的WEB安全漏洞問題。請瀏覽OWASP官方網站：www.owasp.org.

◆Web應用安全聯盟 (WASC)是一個包含專家、行業人員、和生產開源應用安全標準的組織代表的國際組織。聯盟新的 “Web應用防火墻評測標準” (WAFEC)是一個為提供獨立的、與廠家無關的WEB應用防火墻產品的評測標準。符合了這些標準意味著能夠確保進入的數據都是安全的。自從標準出臺以來，NetContinuum就著手開始滿足WASC-WAFEC評測標準的工作。下表表明了NetContinuum如何滿足這些標準，包括終止，安全，加速和會話控制等功能。要獲得更多詳細信息，請瀏覽www.webappsec.org 和 NetContinuum的官方網站。 

圖

總結

要完全控制企業的Web應用需要強大的功能來確保執行所有安全策略的可用性和響應時間。負載均衡、內容交換、full-stack協議檢查（網絡和應用）的響應時間加速、內容檢查、告訴密碼系統、認證、訪問控制和完整登陸等策略都要嚴格地應用，從此安心地在互聯網中進行商業事務的操作。

應用控制器正在迅速成為一個企業應用DMZ的“最優方法”。NetContinuum通過行業中使用最簡單、運行最高效的應用控制器家族來不斷證明自己對保護Web應用、降低終端用戶響應時間和提供應用可用性的能力。