产品分析:Radware应用安全防护解决方案

当前,针对数据中心所发起的攻击正在发生显著的变化。攻击者采用多种攻击技术、多种攻击形式和入侵途径发动攻击,且经常利用未知的漏洞,这给关键业务运营带来了严重威胁。尽管许多组织机构部署了单一的保护方案,如入侵防御系统(IPS)、网络行为分析(NBA)、拒绝服务攻击(DoS)保护和Web应用防护等。但这种部署既增加了成本和复杂性,也使得网络及服务无法防御混合攻击,从而让数据中心完全暴露于威胁之中。因此,各个组织机构正在寻找一种能够整合包含多种安全技术、同时可以扩展,并且由同一厂商提供的安全解决方案。

Radware应用安全防护解决方案

Radware应用安全防护解决方案能够充分满足用户对网络威胁不断变化而产生的安全需求,帮助用户全面保护网络及数据中心基础设施免受日益增长的混合威胁攻击,使得应用在数据中心中获得更高的安全性。结合Radware多年来在应用安全领域的经验,以及对市场及用户实际需求的了解,Radware应用安全防护解决方案为用户提供从网络层到应用层全面的安全防护,给予用户核心应用最佳的安全保障。

Radware应用安全防护解决方案主要由Radware DefensePro和Radware AppWall实现。DefensePro集合不同的工具/模块、管理与报告功能,各工具/模块以同步工作的方式可为用户提供网络及应用层面最佳检测及最佳防范混合威胁的效果。AppWall通过对web应用的规范化检测,保障用户核心应用免受来自Web应用层面的攻击,如:瘫痪网页服务、暴力破解网页登入页面、SQL Injection、联机拦截、Cross Site Sripting等等。

        方案拓扑图

? Radware DefensePro

Radware DefensePro® 是一款实时网络攻击预防设备,它能够保护你的应用基础架构免受网络及应用停机、应用漏洞滥用、恶意软件传播、网络异常、信息偷窃以及其他新出现的网络攻击的影响。
? DefensePro包括一套安全性模块 – DoS保护、NBA 网络行为分析 和 IPS – 以便完全保护网络免受已知的和新出现的网络安全性威胁的影响。DefensePro 采用了多种检测和预防引擎,其中包括特征码检测、协议和流量异常检测、启发式检测以及行为分析。DefensePro 的密码武器在于其受专利保护的、基于行为的实时特征码技术,它能够实时检测和减缓新出现的网络攻击,例如零分钟攻击、DoS/DDoS 攻击、应用滥用攻击、网络扫描和恶意软件传播。所有这些都不需要人工干预,而且也不会封锁合法的用户流量。
? DefensePro采用基于按需扩展交换机 (OnDemand Switch) 的专用硬件平台,Radware是第一家在其 IPS 型号系列中提供随需应变 IPS 可伸缩性的公司,其伸缩范围从 100 Mbps 直至 12Gbps。设备最多可防御高达10MPPS的DOS攻击量,并在防御攻击的同时不影响应用的正常访问。基于其随需应变、“量入为出”的方法,当你的网络带宽增加时,无需更换硬件即可升级,从而保证节省短期和长期资本支出及运营支出,实现完整的投资保护。

DefensePro攻击预防包括以下防护层次(如下图):
• 第一层:基于网络的保护 – 防御 DoS/DDoS 淹没攻击
• 第二层:基于服务器的保护 – 防御服务器资源滥用和服务器破解
• 第三层:基于客户端的保护 – 检测已经受感染的客户端并防止客户端恶意软件的传播
• 第四层:基于状态化的特征码的保护 – 预防已知的攻击漏洞

 

DefensePro基于特征码的和基于行为的安全性技术构成了相互补充的解决方案,能够包含特征码以及基于行为的和自动的特征码生成技术,而且在设计上能够有效地区分它们之间的检测和预防责任,该产品为用户提供网络及应用层面最佳检测及最佳防范混合威胁的效果。

       Radware AppWall

由于Web站点网页服务内容本身丰富多变,单单透过对于网络层面的安全防护无法完全根治Web应用层面的攻击,因此需要一种能自行设定调整学习的机制来辨识个别网页(URL)的使用者行为,加以建档分析。若有可疑的入侵行为时即可及时告警并加以阻绝。一般由于网页开发者会比较专注在网页内容及服务的主轴上,很容易因此而忽略了系统及服务器本身的问题而未在开发程序中加以防范,或是不知该如何防范,造成服务危机。Radware AppWall可帮助用户防范来自Web应用层面的安全威胁。

Radware AppWall具有以下功能:

有效防护数据的暴露与识别窃取(SQL Injection、XSS)

骇客利用正常查询网站数据时,将攻击数据库的指令夹藏于网站查询命令中,骇客可以穿透防火墙,并绕过身分认证机制,取得数据库权限,入侵数据系统后,进而窃取数据或破坏数据库。通过部署AppWall能够及时防御该入侵行为,保护企业资源有效运用。

防护客户端安全性(Cookie Tampering、Injection)

AppWall 使用自我学习侦测技术会自动记录由服务器端所送出的Cookie信息,并持续的确认是否符合上次所纪录的信息相同,若发现与记录的信息不同,则可产生相关动作阻止入侵行为的发生。

非法授权人士的存取防御(Legitimate Privilege Abuse)

正常使用者可能会有非授权的行为进行存取。例如:医疗系统的处理人员有权限可以登入医疗数据库存取,却可能会逾越自己的权限,进行非法下载相关数据库的数据供自己或别人使用。AppWall 使用其特有的ACL技术会自动产生一个告警并执行相关动作。

强大的侦测机制

目前的Radware AppWall约可针对以下威胁提供防御:

• SQL injection                           • Cross-site scripting

• Parameter tampering                     • Hidden field manipulation

• Session Manipulation                    • Cookie poisoning

• Stealth commanding                      • Backdoor and debug options

• Application buffer overflow attacks     • Brute force attacks

• Data encoding                           • Unauthorized navigation

• Gateway circumvention                   • Web server reconnaissance

• SOAP and Web services manipulation

Radware AppWall使用自我学习侦测技术和特征码检测技术相结合,有效地防范了来自Web应用层面的威胁,保障了用户核心应用的安全。

Radware 应用安全防护解决方案优势

  • 广泛的安全性覆盖:使用DefensePro和AppWall相结合,通过前瞻性的、基于行为的技术以及通过基于特征码的安全性技术能够实时应对已知的攻击、零分钟攻击以及非基于漏洞的攻击,确保从网络层到应用层的全面防护;
  • 可伸缩性:通过与先进的安全性技术及先进的ODS硬件体系结构,确保用户应用的高效、可靠,并大大减少了用户的流量延迟;
  • 更低的总体拥有成本 :借助Radware先进的基于行为的安全防护方式,实时产生的攻击特征码,减少了用户对人为因素的依赖,实现了用户始终保持较低的总体拥有成本的理念;
  • 准确性:实时环境中,检测和预防技术的高度准确性,向用户保证低比例的误报检测或错误拦截。
  • 全面的监控和详尽的安全报告:利用Radware Vision,可以在多台Radware设备间建立一个无缝的管理环境,为用户提供Radware设备的实时监控和详尽的报表功能,使用户能方便的对数据中心的Radware设备进行管理和监控。