在SOX, HIPAA, GLBA 和 CA SB-1386等网络安全标准推行的年代,一次成功的攻击将会给您的商务网站带来多大的损失?合法的保护企业敏感的数据需要解决以下几个问题:保护Web资源的关键资源有哪些方法?保护这些有价值的应用程序资源需要多大的投资?如何知道我们已经得到防护,特别是应用程序本身只能提供有限的安全记录时?我们如何对客户化的应用程序进行防护?
Web浏览器现在成了内外部访问及应用程序的标准的用户界面,比起为每个应用编写肥客户端程序,Web方式大大节省投资,因此,Web应用在IT界被迅速的推广。
起初设计Web应用程序使用Web浏览的目的是共享或访问静态的信息,而并不注重安全设计。由相对安全的肥客户端过渡到相对不安全的浏览器—瘦客户端带来了两个挑战:应用程序安全性的降低以及如提升安全需要花费更高的成本。很多暴露在web前端的应用在开发时甚至都没有考虑到被攻击的情况。
在这种背景下,一种新的技术,Web应用防火墙产生了。它能有效的降低网站安全的实施成本。
******** ********** ********* ********* ****** ***** ******** ********** ********* ********* ****
7月的某一天,梭子鱼中国华北区的头James面对着梭子鱼WEB应用防火墙沉思起来,这款产品是个好东东,在美国也销售的不错,它究竟能为中国用户带来什么?又该怎样为用户选型?就这些问题他同技术部经理Jason和产品经理Jasper进行了讨论。
1)James:应用层防火墙的需求明显增多,它究竟能为客户带来什么样的价值?
Jasper:八个字,安全防护,集中管理。比如印度有一个政府的项目要求集中管理,其主要构架为该项目存在护照网站、选举网站等各种政府网站,分别部署在不同的物理机房,梭子鱼部署在数据中心,所有访问这些网站的请求都要先经过梭子鱼。
James: 举个例子,Jason买了汽车,最直接的价值是乘坐和出行方便,附加价值是:
1)私车有面子;
2)提高了生活质量;
3)扩大了生活圈子;等等
客户上了我们的WAF,深层次的价值是什么呢?
Jason:《梭子鱼Web应用防火墙解决方案》基本上归纳了应用层防火墙给用户带来的价值。
应用层防火墙的价值可以归纳为通用价值和特定客户价值。通用价值包括以下几点:
1 解决传统防火墙、IPS不能解决的应用层攻击(黑客入侵)问题。
2 减少因不安全造成的损失。
3 加快应用的使用,(例如某用户,是一家网站开发公司,在完成了70%的编程之后,将之发布到网络上,在应用层防火墙的防护下进行试运行,并测试修改软件)
4 便于维护,(不必时刻关注升级补丁,发现漏洞可以再WAF的防护下慢慢的修补)。
5 优化运营。Jasper介绍的例子算是一例。
6 合规性。某些行业对于web安全、日志审计等有合规性的需求。
至于特定价值,是指针对具体的用户而言;例如,可以解决用户关心的某个具体技术细节,帮助其实现了七层应用交付等。
2) James:我们需要客户提供哪些重要参数来帮助匹配型号?
Jasper:选型一般看以下几个参数:
http(新建和并发)、吞吐量、SSL(新建和并发)以及网络接口匹配问题。由于用户很难提供新建和并发连接数,有时只能提供一天(24小时)的访问量和连接数,因此,可以通过24小时的参数,换算成每秒的参数。
James:这个参数会让销售很头痛,如何统一说法?一天的访问量能够准确吗?我想客户会质疑的。
Jason:这个问题跟选型相关,有一定技术含量,简单而言通过以下几个信息可以帮助用户选定型号。
1 -用户及其网站的性质。不同类型的网站其流量有明显的差别,不同性质的用户其关注点不同。例如某市某局的网站,通常使用360就可以了;某省某厅,使用460或660;某个大学,则需要选用500、1100甚至更高型号的设备。
2 -服务器的数量。
3 -访问量。
这些值可以跟手册上的参数对照进行选型。
3) James:我们的各种型号究竟能够支持多大的流量(实际流量数)?
Jasper:根据底层开发工程师的说法,每个型号的实际性能应该比公开参数要高,公开参数的目的在于拉开不同型号之间的区别。
James:这个答案很振奋人心。
4) James:X60和NC系列的差别是什么?(X60为构建在梭子鱼平台的应用防火墙低端版本)
Jasper:目前而言,X60在功能上比NC欠缺一点,但是将来所有的NC功能以及新功能将逐渐移植到X60系列;即X60的功能将越来越多,甚至超越NC,而NC的功能将保持不变。此外,X60相对NC便宜,在两者都能满足用户需求的大前提下,X60优势大;但是,NC在控标方面比X60优势大。
Jason:X60建构在梭子鱼的平台上,相比NC具备如下优势。1 界面更人性化,操作管理更简单。2 支持远程诊断,支持多机集中管理。3 未来将不断更新,而NC可能不会一直更新下去。X60现在颗粒度也越来越接近NC。X60提供多语言界面包括中文。
NC的优势:NC更适合企业用户,更适合控标。
James: 咱们大家把产品研究透彻了就对怎么跟客户介绍产品帮助很大,哈哈,辛苦你们了!
【梭子鱼应用防火墙简介】 -- 该网络安全产品能保护您的web网站免受协议或应用层攻击:如非认证用户访问、数据欺骗、DOS攻击或网站篡改。与传统的防火墙和IDS不同,它们仅仅转发HTTP,HTTPS或FTP的应用层流量,梭子鱼应用防火墙代理这些流量,将用户的web服务器和外部黑客隔绝,不仅产品能保护Web应用以及Web服务器免受各种恶意攻击,还能提高这些应用的性能及可测量性,同时具备投递、安全、加速并管理企业web应用,用户界面也友好直观。