F5应用防火墙白皮书.docVIP

F5应用防火墙随着企业在 Web 应用的日益增多，客户机密数据也更容易泄漏给网络黑客或遭受身份窃贼的攻击。现在，许多身份盗窃事件的发生源于 web 应用的各种漏洞，因而这些应用受到恶意用户的攻击。基于浏览器的应用系统隧道穿透了一个企业的安全防线，使用户得以访问企业内部系统。对于大多数企来说，Web应用本身已经成为了安全边缘，那么唯一可　　确保这些应用系统安全的方法就是使用“应用防火墙”。　　但是，只有将应用防火墙按应用需求量身定制时，才可有效的发挥作用，否则将不可避免的会发生阻隔了合法用户或客户，却放进了黑客的情况。F5 的 TrafficShield 是一款新型应用防火墙，可保护应用系统免受黑客及其它的恶意攻击。该设备精细的安全策略可以保护 web 应用系统及用户机密，使其免受针对应用安全的随机及目标攻击。借助突破性的技术，TrafficShield 能够完全满足这些安全策略，从而适用于每一应用所需的安全状况。今天，商业交易的各个部分都正在向 Web 中转移，但每增加一个新的基于 web 的应用系统，都会导致之前处于保护状态下的后端系统直接连接到互联网上了。随之而来的结果是，将公司的关键数据置于外界攻击之下。　　 同时，黑客们也正寻找新的方法来突破传统的防线。据最近的美国计算机安全协会（CSI）/美国联邦调查局（FBI）的研究表明（资料来源：计算机安全协会），在接受调查的公司中有 52% 的公司的系统遭受过外部入侵，但事实上他们中有 98% 的公司都装有防火墙。而这些攻击为269家受访公司带来的经济损失——包括系统入侵、滥用 web 应用系统、网页置换、盗取私人信息及拒绝服务共计超过 1.41 亿美元。　　 虽然传统的防火墙过去曾为阻挡非法访问公司网络做出过杰出的贡献，但现在这些功能已不能满足用户的需求。早在 2002 年，国际数据中心（IDC）就曾在报告中：“防火墙对应用层已几乎无法提供保护，因为为了确保通讯，防火墙内的端口都必需处于开放状态。”　　 近来，传统的防火墙提供商不断的鼓吹“应用层安全性”，声称已将入侵探测系统（IDS）与入侵防范系统（IPS）功能集成到他们的产品之中。但，事实已经证明这些解决方案效率不高，主要有以下两个基本原因： 仅依据攻击特征或其它异常用户行为来判断　　这就使得系统又处于新型攻击（零日攻击）或伪装成正常流量的攻击的威胁之下。但更重要的是，对于应用系统中某一漏洞的目标攻击，他们没有任何防御能力，因为这些攻击没有明显的特征可供判断。 仅作用于网络层，而非应用层　　因此，现在的网上交易要求应用系统本身要具有高度的安全性。防火墙与 IPS 系统只是查看网络上的数据包，而非对整个请求进行检查，由于缺少特定应用的相关信息，它们无法区分请求的合法性。实际上，很多设备连简单的SSL加密信息都无法查看。　　 因此，现在的网上交易要求应用系统本身要具有高度的安全性。目前流行的一些类似于应用扫描器的工具可帮助找出明显的漏洞，但每次对系统进行扫描然后再为漏洞打补丁，真是费时费力。但问题是扫描程序永远不可能查到所有的应用系统漏洞，因为有太多的参数需要检查，有太多的侵入点可以攻击。开发商可以为成千上万的漏洞打补丁，但黑客只需要找到一个致命漏洞，就可以造成巨大的损失。　　 因此，理想的解决方案就是卸载应用系统的安全功能，交给网络设备来完成。网络设备根据提供的特定应用的相关信息可以滤出对系统的恶意访问。此类设备能够正确识别应用的流量，并阻挡其它非法流量。为了满足这种需求，一种新型安全解决方案——应用防火墙诞生了。F5 TrafficShield 是一款独具特色的应用防火墙，能够为 web 服务器和 web 应用提供全面的保护——既可防范已知的对 web 应用系统及基础设施漏洞的攻击，也可抵御更多的恶意及目标攻击。　　 与从不同之处在于，TrafficShield 可阻止市场中其它解决方案无法抵御的攻击。例如，两种普通的黑客技术就可直接通过目前的安全解决方案侵入系统——虽然这些解决方案宣称是实现了“应用安全”或“内容识别”阻隔： ☆ 黑客以用户的身份进入，然后修改他们的 ID 或篡改权限，以通过认证。　　市场中几乎每种解决方案都无法检测到这种最为复杂的形式（动态参数篡改）。☆ 黑客更改 Web 应用的 URL或将其设置为书签，以便进入受到限制的访问区域。　　通常，仅需将 URL 从 .../webapp/user 更改为 ...webapp/admin 即可。更常见的情况是，错综复杂的路径、或者路径被应用系统隐藏起来。但是，对应用了如指掌的用户一般能够猜出或检测到去向。　　 只有 TrafficShield 能够保护系统免受针对这些漏洞的攻击，因为它是第一款对用户与防火墙的交互具有全面了解的