F5 TrafficShield應(yīng)用防火墻

TrafficShield精細(xì)的應(yīng)用流程模型將利用一個積極的安全模型進行訪問控制，并且更新身份信息使其成為每個HTTP請求/響應(yīng)的一部分，以確保身份信息的保密性與完整性。TrafficShield的清除記錄功能可清除網(wǎng)頁上的身份信息，以防止在web應(yīng)用響應(yīng)中泄露機密信息。

TrafficShield的應(yīng)用流程模型(AFM)為企業(yè)web應(yīng)用提供精細(xì)、全面的保護，防御針對web應(yīng)用及動態(tài)應(yīng)用系統(tǒng)的普通及目標(biāo)攻擊(包括:緩沖區(qū)溢出、SQL注入、跨網(wǎng)站指令碼攻擊、參數(shù)篡改及零日攻擊)

TrafficShield為web應(yīng)用提供全面的保護，防止諸如客戶名稱、社會保險號碼(SSNs)、及患者病歷等機密信息泄露，并保證符合業(yè)界及官方相關(guān)規(guī)定(如HIPAA，GLBA及SB1386)。

TrafficShield可在提高企業(yè)用戶的應(yīng)用及網(wǎng)絡(luò)安全性的同時，降低企業(yè)的擁有總成本。TrafficShield可為企業(yè)應(yīng)用提供包括一個安全反向代理、SSL加速(終止及web服務(wù)器重新加密)、密鑰管理、故障切換處理、及基本網(wǎng)絡(luò)防火墻等功能在內(nèi)的全面的網(wǎng)絡(luò)安全保護。

TrafficShield可根據(jù)客戶需要部署各種安全級別。通常一日之內(nèi)即可完成一個標(biāo)準(zhǔn)部署。可保護服務(wù)器/應(yīng)用系統(tǒng)免受絕大多數(shù)針對應(yīng)用系統(tǒng)的普通攻擊。另外，TrafficShield中的"高級自定義安全策略"模型允許用戶根據(jù)自己的需要自定義適合自己的安全策略，可為用戶提供精密的安全保護。

隨著更多的應(yīng)用流量通過網(wǎng)絡(luò)上傳輸，敏感數(shù)據(jù)面臨著被盜、安全漏洞和攻擊的威脅，尤其是在應(yīng)用層。F5的BIG-IP應(yīng)用安全管理器(ASM)是一個先進的Web應(yīng)用防火墻，可顯著減少和控制數(shù)據(jù)、知識產(chǎn)權(quán)和Web應(yīng)用丟失或損壞的風(fēng)險。BIG-IP ASM通過一個將應(yīng)用交付與網(wǎng)絡(luò)和應(yīng)用加速及優(yōu)化結(jié)合在一起的平臺，提供了無與匹敵的應(yīng)用和網(wǎng)站防護、完整的攻擊專家系統(tǒng)，并且可以滿足關(guān)鍵的法規(guī)要求。BIG-IP ASM是全面的Web應(yīng)用安全與應(yīng)用完整性解決方案。對于對業(yè)務(wù)至關(guān)重要的應(yīng)用，BIG-IP ASM能夠使其保持安全性、可用性和高性能，從而保護了企業(yè)的安全，并維護了企業(yè)的聲譽。

F5公司的TrafficShield解決方案中應(yīng)用了與網(wǎng)絡(luò)防火墻、入侵探測系統(tǒng)(IDS)及其它安全設(shè)備中使用的消極安全邏輯(僅可防御已知的安全攻擊)相反的積極安全模型。TrafficShield產(chǎn)品在阻止黑客篡改系統(tǒng)的同時，還可確保用戶安全、無限制的訪問所需要的信息。TrafficShield軟件與4100硬件平臺是F5安全產(chǎn)品的關(guān)鍵部件，該安全產(chǎn)品可幫助企業(yè)組織實現(xiàn)端到端的應(yīng)用層安全。作為一款優(yōu)秀的應(yīng)用層安全管理設(shè)備，TrafficShield產(chǎn)品可保護企業(yè)組織用戶的應(yīng)用系統(tǒng)，免受黑客及其它的惡意攻擊(包括零日攻擊)。該產(chǎn)品可為企業(yè)應(yīng)用系統(tǒng)提供全面的保護，防御那些可繞過傳統(tǒng)的邊界防護，攻擊web應(yīng)用系統(tǒng)，進而非法訪問公司網(wǎng)絡(luò)的黑客。TrafficShield應(yīng)用防火墻為企業(yè)的web應(yīng)用及基礎(chǔ)架構(gòu)提供最全面的安全保護，防御普通與目標(biāo)攻擊。該產(chǎn)品中應(yīng)用的應(yīng)用流程模型(AFM)利用積極安全邏輯根據(jù)用戶會話信息、用戶輸入內(nèi)容、及應(yīng)用響應(yīng)內(nèi)容對每一個事務(wù)進行驗證。在此種高安全模式下，僅允許有效應(yīng)用流量通過，并阻止其它一切請求。另外，TrafficShield提供簡單的、基于角色的網(wǎng)絡(luò)及應(yīng)用管理入口，包括遠(yuǎn)程設(shè)備配置、可視化應(yīng)用安全策略管理、完全日志記錄、審計及報告等特性。

Web應(yīng)用防火墻的一些常見特點如下。

Web應(yīng)用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標(biāo)準(zhǔn)的請求。并且，它也可以只允許HTTP協(xié)議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。

增強輸入驗證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

修補Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現(xiàn)，會為Web應(yīng)用帶來什么樣的危害?，F(xiàn)在WAF可以為我們做這項工作了--只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應(yīng)的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。

(附注:及時補丁的原理可以更好的適用于基于XML的應(yīng)用中，因為這些應(yīng)用的通信協(xié)議都具規(guī)范性。)

基于規(guī)則的保護和基于異常的保護

基于規(guī)則的保護可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會維護這個規(guī)則庫，并時時為其更新。用戶可以按照這些規(guī)則對應(yīng)用進行全方面檢測。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實中這是十分困難的一件事情。

WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認(rèn)登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件(比如登陸失敗)，并且在達到極限值時進行處理。這對暴力攻擊的識別和響應(yīng)是十分有利的。

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如:隱藏表單域保護、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護。