梭子鱼Web应用防火墙白皮书

　　随着网络应用的发展，企业Web应用日益增多，同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题，导致企业Web被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入企业内部，如Web、Web邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，盗取管理员密码，破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。

　　因此，传统的防火墙是无法进行Web应用防护的。防火墙工作在网络层，通过地址转换、访问控制及状态检测等功能，对企业网络进行保护。但对于应用最广泛的Web服务器，防火墙完全对外部网络开放http应用端口，这种方式对于Web应用没有任何的防护。防火墙无法防护上述应用层的攻击。

　　据最近的美国计算机安全协会（CSI）/美国联邦调查局（FBI）的研究表明，在接受调查的公司中有 52% 的公司的系统遭受过外部入侵，但事实上他们中有 98% 的公司都装有防火墙。而这些攻击为269家受访公司带来的经济损失--包括系统入侵、滥用 web 应用系统、网页置换、盗取私人信息及拒绝服务共计超过 1.41 亿美元。

　　入侵检测系统作为防火墙的有利补充，加强了网络的安全防御能力。但是，入侵检测技术的作用存在一定的局限性。由于需要预先构造攻击特征库来匹配网络数据，对于未知攻击和或伪装成正常流量的攻击，入侵检测系统不能检测和防御。更重要的是，对于应用系统中某一漏洞的目标攻击，他们没有任何防御能力，因为这些攻击没有明显的特征可供判断。另外就是其技术实现的矛盾，如果需要防御更多的攻击，那么就需要很多的规则，但是随着规则的增多，系统出现的虚假报告（对于入侵防御系统来说，会产生中断正常连接的问题）率会上升，同时，系统的效率会降低。

　　梭子鱼提供了世界上最强大的Netcontinuum应用防火墙产品线，能够为 web 服务器和 web 应用提供全面的保护--既可防范已知的对 web 应用系统及基础设施漏洞的攻击，也可抵御更多的恶意及目标攻击。梭子鱼应用防火墙基于NetContinuum专利的NCOS系统，对Web应用具备终止、防护和加速。集中化GUI控制界面可以让系统的配置和管理变得十分简单。 特别是，梭子鱼应用控制防火墙完全符合WAFEC & OWASP提出的标准。并且是世界上唯一被ICSA在网络层和应用层上通过认证的产品。

　　梭子鱼应用防火墙的原理：

　　梭子鱼应用防火墙通过代理(Proxy)帮助企业建起防线！ 基于会话的双向代理不仅能应用在网络层，同时还能应用在HTTP应用层上，确保内部服务器操作系统和TCP堆栈不直接暴露在Internet，保障web应用的安全。

　　NetContinuum 应用防火墙功能：

　　终止：NetContinuum 产品有一个基本原则： 用户浏览器和应用程序服务器的连接会话都在此终止。 Netcontinuum将对应用流量（向内和向外）进行全面的检查，并管理每一个会话。通过TCP握手切断任何基于TCP的DOS攻击。在终止会话的同时，应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权，检查所有的HTTP 内容，解释和建立规则。

　　安全：一旦某个会话被NetContinuum应用防火墙终止并被控制，将会对向内或向外的流量进行多种检查，以阻止内嵌的攻击、数据窃取和身份窃取。 可以指定各种策略对URL、 参数和格式等进行检查。