梭子鱼WEB应用防火墙WAF通用项目方案.docx资源-CSDN文库

版权申诉

170 浏览量 2022-07-14 19:08:20 上传评论收藏 100KB DOCX 举报

资源推荐

资源详情

资源评论

WEB 应用安全项目建议书

梭子鱼 WEB 应用防火墙通用方案

文档修订记录

标题

WEB 应用安全项目建议书--梭子鱼 WEB 应用防火墙通用方案

文档类型

设计方案

测试文档

梭子鱼（中国)

2012/5/14

更新时间

潘渊

2012/5/14

文档说明

此文档是由梭子鱼公司（中国）于 2012 年制定的内部文档。本文档仅就 Barracuda Networks 内

部与相关合作伙伴和 Barracuda Networks 最终用户使用.

版权说明

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容，除由特别注明，版

权均属于 Barracuda Networks 所有,受到有关产权及版权法保护.任何个人、机构未经 Barracuda

Networks 书面授权许可，不得以任何方式复制或引用本文档的任何片断。

第一章

第二章

前言..........................................................................

WEB 应用安全分析............................................................... 2

1. WEB 应用漏洞定义..................................................................... 2

2. 攻击导致的后果...................................................................... 3

3. 企业&组织所面临的安全挑战 ........................................................... 3

4. 传统安全产品的缺陷.................................................................. 4

第三章

梭子鱼 WEB 应用防火墙的技术优势................................................. 4

WEB 应用安全项目建议书

第1页

Barracuda Networks China

1. 梭子鱼应用防火墙工作原理 ............................................................ 5

2。梭子鱼应用防火墙三层防护机制 ........................................................ 5

第四章

XXX 有限公司 WEB 应用安全需求分析及项目方案 .................................... 11

1。客户背景........................................................................... 11

2. XXX 公司的相关需求.................................................................. 11

5。网络架构和部署..................................................................... 12

6。梭子鱼型号的选择................................................................... 12

第五章

1. 奖项证明........................................................................... 13

第六章梭子鱼 WAF 客户情况 ........................................................... 13

梭子鱼 WEB 应用防火墙产品国际评测.............................................. 13

第一章前言

梭子鱼应用防火墙产品是一款集成化的产品,它能够在完全的获取和管理Web应用过程中进与出

的每一个事务。同时它也是一款高性能,双向HTTP代理设备，允许系统管理员针对每一个应用的每一

个会话指定精确的安全，内容和流量的规则.

梭子鱼提供企业级的应用防火墙。基于梭子鱼私有的操作系统，应用防火墙通过终止，安全，

加速 web 应用会话流量,提供给数据中心一个非常有价值的解决方案，来控制至关重要的 web 应用。

梭子鱼产品的拓扑和管理是非常简单的。最重要的是，梭子鱼应用防火墙是完全遵循 WASC 和

OWASP 组织的协议来开发的。

第二章 WEB 应用安全分析

1. WEB 应用漏洞定义

Web应用由于其具备以下以下特点,经常更改，不彻底的开发编写，没有经过严格的测试；导致web应

用出现了大量的漏洞,这些漏洞甚至将整个企业服务器或网络暴露给了外界。企业不得不定期的检查

服务器设备是否存在web应用漏洞,简单地测试，总结一些对策，以保护web应用不受攻击。下面列举

一些最为典型的攻击类型，这些攻击将会导致非常严重的安全事件：

‧ 缓存溢出 — 差劲的应用编码会尝试将应用数据存储于缓存中，而不是正常的分配，这将最终导致

一个攻击，借此,恶意代码将溢出到另外一个缓存中来执行恶意代码。

‧ 跨站点脚本攻击 — 攻击类型的代码数据被插入到另外一个可信任区域的数据中，最终导致使用可

信任的身份来执行攻击

‧ 服务拒绝攻击 — 这种攻击会导致服务没有能力为正常业务提供服务

‧ 异常错误处理 — 错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中

包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

WEB 应用安全项目建议书

第2页

Barracuda Networks China

‧ 有问题的或者不存在的session ID — 当session ID没有被正常使用时，攻击者可以破坏Web会话，

并且实施多个攻击（通过冒用其他的可信任的凭证），借此来绕开认证机制.

‧ 命令注入 - 如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。

比如在Web表单中输入的内容（SQL语句)，应该保持简单，并且不应该还有可被执行的代码内容。

‧ 脆弱的认证 — 利用脆弱的认证机制或者未加密的数据来获得访问，破坏和控制数据是一个非常严

重的问题。通过正确的开发Web应用可以轻而易举的避免此问题。

‧ 未受保护的参数传递 — 利用统一资源标识符(URL）和隐藏的HTML标记可以传递参数给浏览器,浏

览器在将HTML传回给服务器之前,是不会修改这些参数的.

‧ 不安全的存储－对于Web应用程序来说，妥善的保存密码,用户名，以及其它与身份验证有关的信

息是非常重要的工作。对这些信息进行加密是非常有效的方式,但是一些企业会采用那些未经实践验

证的加密解决方案，其中就可能存在漏洞.

‧ 非法输入 - 在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web

应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。

2. 攻击导致的后果

各类关系国计民生的重要信息系统,如政府网站、媒体网站、或商用网站都可能遭受到SQL注入攻击、

网页篡改，或是网页挂马。2008年北京奥运会将成为各方关注焦点,包括攻击者在内。来自Websense

安全实验室的研究预测②，围绕今年北京奥运,将极有可能针对奥运相关网站爆发大规模的DDoS攻击

以及利用奥运网站媒体平台进行网页挂马。

一旦攻击得逞,必将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。网页篡改还有可能

被用于恶意商业竞争，比如通过篡改某知名媒体网站网页,发布对竞争对手不利的虚假信息。

网页挂马相对比较隐蔽，其攻击目标是各类网站的最终用户。首先攻击者在服务器端插入恶意代码.

用户访问恶意页面时，网页中植入的恶意代码触发客户端的漏洞从而自动下载并执行恶意程序，最终

攻击者盗取客户端的敏感信息（如各类帐号密码），甚而可能用户主机沦为攻击者的肉鸡。这种情况

下，Web服务器成为了传播网页木马的“傀儡帮凶"，严重影响到网站的公信度.

遭受分布式拒绝服务攻击（DDoS）之下的门户网站性能急剧下降，无法正常处理用户的正常访问请求，

造成客户访问失败.其服务质量协议（SLA)也会受到破坏，带来高额的服务赔偿。同时，公司的信誉

也会蒙受损失，而这种危害又常常是长期性的。

3. 企业&组织所面临的安全挑战

1. 公司在有限的时间和预算压力下，开发出的Web应用缺乏对安全的整体考虑

开发人员，执行人员和测试人员都没有接受过专业的安全培训;他们大都关注于Web应用是否符合实际

的需求。公司同时需要耗费其他资源来防止和限制对应用的错误使用。.

2. 相关的行业标准对Web应用安全起到了指导性的作用

WEB 应用安全项目建议书

第3页

Barracuda Networks China

剩余12页未读，继续阅读

评论收藏

内容反馈

版权申诉

春哥111

粉丝: 1w+
资源: 5万+

梭子鱼WEB应用防火墙WAF通用项目方案.docx

梭子鱼WEB应用防火墙WAF通用项目方案.doc

2009系统架构师大会PPT：郑爽：梭子鱼WEB应用防火墙解决方案

梭子鱼下一代防火墙和网络安全产品.pdf

梭子鱼垃圾邮件防火墙应用实例

梭子鱼垃圾邮件防火墙说明.pdf

梭子鱼邮件网关防火墙技术资料[1].pdf

梭子鱼垃圾邮件防火墙技术手册

梭子鱼垃圾邮件防火墙管理员手册

梭子鱼反垃圾邮件防火墙应用

梭子鱼垃圾邮件防火墙300

广州电信选用梭子鱼垃圾邮件防火墙方案

梭子鱼垃圾邮件防火墙200

梭子鱼垃圾邮件防火墙在百事可乐的成功应用

宣武区政府应用梭子鱼垃圾邮件防火墙

梭子鱼反垃圾邮件方案.pdf

梭子鱼反垃圾邮件方案.doc

梭子鱼垃圾邮件防火墙

KepOPC DA2UA实现从OPCDA到OPCUA的转换及读写互操作

Midjourney-关键词大全

“未来工厂”建设导则.pdf

2024年Java基础面试题，附带详细解析答案

腾讯QQ秀立项调研PPT

5G介绍PPT.pptx

海盗派测试分析.pdf

2024年最新最全面的Java后端面试资料

CHATGPT训练指令模板.docx

基于SpringBoot的个人博客系统设计与实现-论文.pdf

OMML2MML.XSL

最新资源