Category Archives: 业界文章

Top 10 Cloud Computing Service Provider

Posted on by
Reply

cloud-computingIt’s recession hit period where companies are sorting out ways to overcome the downturn. Companies are looking for economical computing styles that could cut down the infrastructural cost and maximize entrepreneurial scalability. Cloud computing has emerged as one such concept that allows an entrepreneur to avoid capital expenditure (CapEx) on hardware, software and services, and pay the provider only for what they use. Cloud computing offers a virtual computing environment that enables use of web service interfaces to launch instances with a variety of operating systems, loading them with the required custom application environment, managing the network, and using the entire  setup using as many or few systems as viable.

Among the other benefits, cloud computing avails shared infrastructure and costs, low management overhead,  time sharing approach enabling low barrier to entry and most importantly, immediate access to a broad range of applications. Service is the key features of cloud computing. For an end user it’s relieving to know that the service provider is handling the worries. To put it simply, Cloud Computing can be anticipated to be a single point of access for all computing needs of consumers. With an aim help those in search of a cloud computing services, I extracted the top 10 cloud computing service providers.

 

1. Amazon web services

Amazon Elastic Compute Cloud offers completely flexible computing environment in the cloud. It is a simple and easy to handle cloud computing service that allows development of application.

Link

2. 3Tera

This cloud computing platform offers AppLogic grid OS that enables infrastructure solutions according to the changing needs of business. AppLogic ensures full control of the cloud environment and online deployment of applications.

Link

3. Force.com

This cloud computing framework by salesforce.com provides one of the fastest platforms for building and deploying enterprise application. Force.com allows  building of core business applications on demand such as enterprise resource planning (ERP), human resource management (HRM) and supply chain management (SCM).

Link

4. Appistry-Cloud computing middleware

It provides one of the simplest cloud computing platform for enterprises. Appistry allows easily scalable cloud computing. Appistry provides and manages a wide variety of applications and services for both public and private clouds.

Link

5. Microsoft Live Mesh

This cloud setup synchronize files with all of your devices like laptop, Mac, mobile phone or others.  Not only does it allow the users to access the files from any device, it also enables sharing of files sharing of files and notifying them whenever needed.

Link

6. AppNexus

This cloud computing set up takes just 30 minutes to reserve  With AppNexus the user can launch a several operating system, run a variety of applications, load balance these applications and store huge amount of secure data.

Link

7. Flexiscale

This is pay-as-you-go utility with multi OS support. It offers automatic scaling to meet the demand in real time. Flexiscale   self service through Control Panel or API. Flexiscale features full self-service – start/stop/delete, change memory/CPU/storage/IPs of Virtual Dedicated Servers.

Link

8.  GoogleApp Engine

This is a free setup that allows the users to run their web application on Google infrastructure. Google App Engine makes it easy to scale the traffic and data storage, as the need grows. Currently the App engine is restricted to Python but has plans to support more languages in future. This app engine requires no servers to maintain and the applications are instantly ready for user just after uploading

Link

9. GoGrid

This is a division of a dedicated hosting company. GoGrid offers unique multi-server control panel that enables the user to deploy and manage load-balanced cloud servers within minutes. Moreover, it offers full control in the cloud by combining several familiar features of dedicated server or managed hosting with the flexibility and scalability of cloud server hosting.

Link

10. Terremark Enterprise Cloud 

The Enterprise is a revolutionary new managed platform that gives you the power to computing resources for your mission-critical applications in minutes, not days.Instead of buying costly, cumbersome servers, Enterprise Cloud services lets you control a resource pool of processing, storage and networking and allows you to deploy server capacity on demand.

Link

Conclusion

Although cloud platform have not yet fully penetrated the enterprise, given the benefits of scalability and reduced cost the cloud computing seems to be the future of enterprise computing. Share your opinions on cloud computing with us.

51CTO独家调查显示:Web安全现状不容乐观

Posted on by
Reply

【51CTO.com 独家特稿】随着网站安全,IM即时通讯安全,邮件安全三个专题的相继推出,终于在2008年年底,安全频道大型Web安全活动月的系列活动也圆满结束了。为了深入了解国内用户应对Web安全威胁的现状,帮助他们找出隐患、提高防范能力,国内领先的中文IT技术网站51CTO.com于2008年12月特别推出了“Web安全威胁在线调查”活动,邀请广大用户参与线上调查,为当前Web安全及威胁现状提供更为有力的数据依据;同时,51CTO.com安全频道为广大用户量身定做了系列Web安全相关技术专题,帮助用户提高自身Web安全防御能力。

调查报告概述

本次调查按照问卷形式进行,分三个主题,共有14道调查选项,由51CTO.com安全频道和业内相关专家共同拟定。分别调查用户在“网站安全”、“IM即时通讯安全”、“邮件安全”三个方面的安全现状。根据用户所选项的比重,将安全状况分为三个等级:

◆低度风险   防护较为完善,遭遇Web威胁的可能性较低;

◆中度风险   可能存在有明显漏洞,有较大可能性遭遇Web威胁;

◆高度风险   存在较大安全隐患,很有可能被入侵,严重情况下可能会造成关键数据丢失。

1:用户总体Web安全风险等级分布

网站安全:SQL注入攻击是最大的安全威胁

“网站安全”偏重于调查用户网站安全威胁和IT管理人员的技术能力。调查显示,目前用户在网站安全管理方面已经有了相当的重视。62.2%的用户具备专业的运维团队在保护网站安全,其中更有8.1%的用户定期外请专业安全服务团队做检查加固等;但也有29.7%的网站处于无人看管的处境,毫无疑问,这些网站往往是被最先攻陷的。

2:网站常见威胁类型

综合分析可以看出,当前用户对网站安全威胁普遍担忧,对用户来说,怎样合理地、有效地保障网站安全是Web安全中令大多数人困惑的事情。

IM安全:一半用户遭受过IM安全威胁

众所周知,网络安全最大的隐患来自内部;要想保证用户的网络安全,必须对内部网络进行管理和规范。“IM即时通讯安全”偏重于遍历性调查,重点了解当前用户内部IM产品使用情况,以及IM安全管理相关策略。本次调查从IM产品、威胁类型、管理策略三个方面进行调查。

图3IM即时通讯软件安全威胁类型

相对而言,IM即时通讯软件是企业Web应用的典型例子,它不仅使企业降低成本,更重要的是,通过即时通讯软件,可以使员工工作效率大大提升,但问题是目前Web安全威胁日益增多,手段多样,使IM软件安全问题浮出水面。可喜的是,有43.2%的企业用户正在从管理及技术手段上努力保障IM即时通讯软件的正常运行。

邮件安全:垃圾邮件仍然是最大安全隐患

“邮件安全”主要偏重于遍历性调查,重点了解用户的邮件系统的安全性及防护措施。本次调查从邮件系统、威胁类型、垃圾邮件和邮件安全防范这四个方面进行评估。

从总体评估的情况看,认为自己邮件系统存在安全威胁的用户占全部调查用户的44.7%。这充分说明了用户当前Web安全威胁下,邮件安全防护严峻形势。

图4:邮件安全威胁类型分布

那么,影响邮件安全的隐患又有哪些呢?用户认为邮件系统面临的最大安全隐患是什么呢?答案是:垃圾邮件!调查显示,有89.2%的用户明确表示垃圾邮件严重浪费企业生产力,浪费企业IT资源,而且其中有78.4%的用户认为,垃圾邮件可能造成病毒传播,信息泄密等其他方面的Web安全威胁。

调查显示,确保企业邮件安全的措施中,用户普遍认为制定安全策略和员工安全意识培训是非常重要的。此外还有67.6%用户认为反垃圾邮件产品是必不可少的安全采购项目,也愿意购买此类产品。值得注意的是,在本次邮件安全调查中,有35.1%的用户认为为保障邮件系统安全,某些员工邮箱不能发送外网。这意味着用户已经发现邮件安全漏洞,有意识的保护自己的信息资源。可以说这是一件好事情。

总结: Web安全现状不容乐观

根据前面的调查,总体看来,可以发现我国用户面临的Web安全威胁是非常严重的;而一旦出现网站挂马、病毒爆发,入侵攻击等问题,完全有可能马上造成灾难性后果。考虑到目前用户正常业务对网络的依存度日益严重,这种后果更让人感到迫在眉睫。在此51CTO.com也呼吁广大用户、网络和安全管理人员,重视前面调查介绍的各个环节,特别是不仅仅强调]]
>

挑选SaaS企业需要注意十要素

Posted on by
Reply

SaaS正在改变整个IT产业的格局。如果把IT行业看成是一个大舞台,原来的IT公司就是演员,而SaaS服务供应商们就是引座员(有时它们也是演员),用户则是观众。在舞台上,各个厂商极力展示自己的优势,如功能、成本、效率,想方设法来吸引用户的注意。这意味着,客户在选择适合自己的IT厂商时,可以挑肥拣瘦。不过,如果用户真的需要选一个SaaS解决方案,首先一定要明确需要重点关注SaaS厂商的哪些方面,千万不要被SaaS服务供应商的宣传所蒙蔽。

  最需要明确的是,尽管迁移到SaaS也许是中小企业为了寻求效率而做出的举动,但只有选择的解决方案符合SaaS应用的一些原则,它才会给你带来相应回报。由于有些SaaS厂商仍采用束缚中小企业手脚的方法,中小企业要在SaaS领域挑选到一个真正满足自己需要的供应商并非易事。其实,只要做一些简单的研究调查,并且遵照下面这10条建议,就能挑选到最适合自己要求的SaaS厂商。

  1.动态计费。我们只应当为使用的那部分服务付费,这是一个基本原则。公司的业务是动态的,很有可能有几个月业务量增长,有几个月业务量减少。如果企业的使用量有变化,那么支付的SaaS费用也应当随之变化。这对零售业或服务业等一些受季节性影响明显的行业尤其重要。另外,千万不要答应支付“软件维护费”或者购买事先确定的“用户许可证”,因为这样一来,改用SaaS模式的一个首要目的简化IT的管理也就无从谈起了。

  2.安全性。安全压倒一切。大多数用户只是问问SaaS厂商是不是采用了安全套接层(SSL)技术,而安全性涵盖的不仅仅只有这个方面。要向潜在的SaaS厂商询问下列问题:

  放置服务器的数据中心有没有24×7全天候的物理安全措施?

  数据中心有没有得到保护(保安是不是24小时在周围至少巡视一次)?

  谁有权访问这些服务器(只有内部员工可以访问,还是承包商也可以访问?)

  有没有日志记录谁何时进入、何时离开?如果有日志,那么隔多长时间审计这些日志?

  应用程序有没有使用基于行业标准的128位加密技术?

  如果多个客户使用的应用程序放在同一台服务器上,那么它们有没有采用逻辑或物理分隔,从而确保你的数据不被未授权的人所看到?

  SaaS厂商中可以访问你企业数据的工作人员有没有经过犯罪背景调查?知道被定罪的重罪犯是不能访问你企业那些敏感的个人数据,这很重要。

  厂商有没有正规的业务连续性方案(BCP)?对方愿不愿意与你共享该方案、它能消除你的担忧吗?

  3.完全基于Web。选择一个能提供完全基于Web的解决方案的SaaS合作伙伴,这个同样很重要。这意味着用户应当远离那些需要把应用程序安装到计算机上的厂商。如果仍要维护客户端软件,基于Web的应用程序带来的一个最主要优点也就荡然无存了。

  另外,问一下SaaS应用程序是不是可以运行在所有浏览器上,还是只能运行在InternetExplorer上?真正的SaaS产品可以运行在任何平台、任何Web浏览器上。由于眼下FireFox、Safari和Chrome等浏览器大行其道,你需要确信:一旦正在使用的计算机崩溃,可以立即在一台新计算机上访问应用程序(不必为本地安装而操心)。真正的无缝切换意味着你的业务连续性不会受到影响。

  4.厂商的经验。你需要确信自己选择的SaaS供应商在运行应用程序和托管应用程序方面都有着丰富经验。许多软件公司试图对现有的客户机/服务器应用进行程序“网络化”,简单地改头换面后就开始托管。实际上,它们只是对传统的软件产品进行一些表面上的改造,并换上SaaS的品牌。这其实是被动而不是主动的软件开发,而且通常解决不了扩展性问题,更重要的是,解决不了安全性问题。你所选择的SaaS厂商应当在应用程序托管方面至少要有3~5年的经验,那样才能避免早期采用者遇到的一些问题。

  5.升级周期。使用SaaS解决方案的主要优点之一是,能够获得自动升级的便利。升级可确保你总是使用最新版本,而且使用最新功能。这种升级应当不需要任何费用,也根本不需要重新培训你的员工。这意味着一旦部署了新功能,它们对你开展业务的方式应当没有任何干扰性影响。

  6.集成能力。该SaaS解决方案能不能与你现有的软件进行集成?SaaS服务应当为你提供这样的功能:只要使用基于文件(Excel文件或.csv文件格式)等方法或者使用Web服务就能与内部部署的应用软件无缝交换数据,从而可以让数据在软件之间自由进出。

  7.备份。企业的数据至关重要,所以,在挑选SaaS厂商时,务必确信对方有相应的备份机制,这一点很关键。最起码,除了每周一次的异地备份外,它还需要每晚进行一次备份。要问的其他问题还有:服务供应商隔多长时间测试数据库恢复,遇到紧急情况这家厂商能不能从容地恢复大量数据。

  8.数据中心。确认托管该解决方案的是谁。有些厂商会自己运行和管理SaaS软件(即内部托管软件),而有一些厂商与第三方(名为管理服务或主机托管提供商)签有托管协议。有必要调查一下该厂商用来托管SaaS解决方案的是哪一个数据中心。数据中心最好通过了某些业内的审计,不妨要求厂商出示一份这样的报告。另外,你要确信数据中心采用了N+1配置,这意味着每个系统至少有一套独立的备份机制。万一出现系统故障,仍可以确保可用性。不过,许多数据中心不允许上门参观,但总是可以上它们的网站虚拟参观一下,以了解更多信息。

  9.可扩展性。可扩展性始终与用户体验息息相关。所选择的SaaS厂商需要证明:它能够与公司一同发展。问一下厂商他们最大的客户有哪些?你企业的要求会不会超出他们当前的最大客户?厂商会不会需要任何特别的准备才能适应你的未来发展?厂商的发展计划又怎样?别想当然地以为所有SaaS厂商都会与你的公司一同成长。事实并非总是如此,你有必要事先认真调查一番。

  10.监控。有没有落实监控SaaS系统的机制很重要。这个关键问题常常被忽视,或者只是一带而过。问问厂商是不是仅仅执行“ping测试”,还是采用了监控软件来检查防火墙内外的系统。毕竟,即使服务器在防火墙内部顺畅运行,要是防火墙或路由设置出了问题,用户同样无法访问外部系统。

  一旦你选定了SaaS服务供应商,并且与对方建立了合作关系,最好每半年评估一次厂商的服务,确保厂商全面符合上述这10个标准。毫无疑问,SaaS会继续改变软件行业乃至整个IT业格局。SaaS厂商们会继续在这个大舞台上争夺用户,所以,用户应该对厂商进行精挑细选。要记住,也是最为重要的是,作为用户要做好份内事,换而言之,用户必须确信SaaS供应商也做好了份内事。

[转]应用安全–不是一个人的战斗

Posted on by
Reply

 

集中式应用框架是解决第一个问题的良方,其通过统一的框架将所有相关业务应用程序所涉及的元素形成统一战线;在此框架中前端的客户端向后端的表现层服务器以事先约定好的约定(Contract)提交相关上下文信息,然后由表现层服务器以服务形式通过各种适配器以及连接器向与之相连接的后台资源服务器、数据库服务器、业务应用服务器等请求服务并将结果以同样的约定(Contract)返回,从而使得攻击者即使利用网络层的种种漏洞突破安全防线也难于侵入部署于后端的重要服务器资源。最为关键的是,如何在提交上下文信息并得到最终结果的业务应用过程中,将整个环节与安全服务系统相连接并贯穿始终?这一系统将与每个应用子系统、每个服务、每个资源都密切相关。不仅如此,部署并集成这一系统高昂的成本将成为CIO们顾虑的又一个问题。

第二个目标也会导致问题,因为在业务应用中安全策略的实施将面临千变万化的场景,也就是说业务逻辑与业务策略之间并不存在简单的一一对应关系;不仅如此,安全管理员、软件开发人员、业务流程优化专家等对业务策略以及安全策略都会有各自完全不同的理解,在业务系统部署之后才来讨论如何统一理解并制定安全策略是一个不可能被完成的任务。除非能够从业务系统定义初期开始就考虑安全策略以及业务策略,并将这一做法持续直至业务系统部署上线并进入正常的运营维护过程。当然,这对业务系统的设计与开发等提出了更为严峻的挑战。CEO和CIO们面对分布式应用模式与集中式计算模式应该转变思路参照应用安全模型以确保最终的业务应用系统能够以更高效率为客户安全的提供服务并得以战胜竞争对手。

应用安全:总结

总而言之,安全是一个持续性的螺旋上升的过程,其与业务应用之间的关系密不可分。当我们发现业务应用系统的复杂程度以及所带来的风险已经远远不是单独的一个进化速度滞后于病毒、漏洞等威胁的增长速度的UTM统一威胁管理方案或者单独的一个网络安全解决方案所能够应对之时,我们必须该换种眼光,换个思路来思考业务应用与安全之间的辩证关系。

表 众多应用安全事件

数据小偷 已知蠕虫攻击 拒绝服务攻击 商业间谍 Cookie欺骗攻击

信用卡大盗 0-Day蠕虫攻击 金融数据泄漏 数据库特权混用 非法修改参数

钓鱼攻击 恶意移动代码 专利数据泄漏 缓冲区溢出 暴力破解攻击

目录遍历攻击 会话劫持攻击 跨站脚本攻击 命令注入攻击 非法编码攻击

数据破坏攻击 非法修改表单 木马 病毒 ……

来源:赛迪网-中国计算机报    作者:李长生

提到网络安全,以前人们想到的是防火墙、入侵检测、加密、认证、VPN等等一系列产品的名字,现在大家逐步认识到需要安全集成。

然而目前的安全集成还处在初级阶段,往往只是产品的叠加,相互间缺乏标准的通信接口,更为重要的是这些安全产品还不能与应用紧密地结合起来。因此,用户迫切需要一个完整的、与应用紧密相关的并且是容易部署、管理和应用的安全解决方案。

值得一提的是,从2004年下半年至2005年,国家相关部门、专家学者以及众多安全厂商都对安全管理本身等提出了各自的看法与实践过程。然而在欣喜之余,我们更应该考虑:信息安全,究竟是为了什么?众多应用安全事件,如文后附表所示。

因此,我们不仅需要建立更为稳固与可靠的信息安全管理体系,有效利用现有安全措施和资源,同时我们也需要从另外一种角度——应用层面来思考安全。

应用安全:最终目的

目前,企业必须要支持各种各样的用户群体,这些用户群体需要访问各种重要程度和敏感程度不同的企业信息。我们需要网络足够的安全,但网络安全为日益增长并更加复杂的用户组管理安全的、经过精心处理的资源进行完全的安全防护就显得力不从心了。这也正是目前应用级别的安全对整个企业的安全策略至关重要的原因。那么应用安全的最终目的是什么呢?

其最终目的是实现企业业务应用程序的安全基础架构,这一架构不仅仅要在简化IT业务管理的复杂性同时提升业务效率,更要保障现有的应用基础措施以及业务资产得到充分的保护;前提是所有的业务应用系统必须按照所制定的应用安全规范:定义-设计-开发-部署-维护,进入一个安全的D4M(Define-Design-Develop-Deploy-Maintain)过程。

应用安全:挑战

从概念上,应用安全的目标非常简单:一是不让攻击者访问到任何受保护的资源,二是实施合法用户能够访问业务资源的安全策略并保证这些策略能够被确切得以执行。

很遗憾,达到这些目标实际上非常的困难。

web防火墙技术介绍

Posted on by
Reply

防止网页被篡改是被动的,能阻断入侵行为才是主动型的,前边提到的IPS/UTM等产品是安全通用的网关,也有专门针对Web的硬件安全网关,国内的如:绿盟的Web防火墙,启明的WIPS(web IPS),国外的有imperva的WAF(Web Application Firewall)等。

 

  Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵,从技术角度都应该称为Web IPS,而不是Web防火墙。这里之所以叫做Web防火墙,是因为大家比较好理解,业界流行的称呼而已。由于重点是防SQL注入,也有人称为SQL防火墙。

  Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。

  Web防火墙的主要技术的对入侵的检测能力,尤其是对Web服务入侵的检测,不同的厂家技术差别很大,不能以厂家特征库大小来衡量,主要的还是看测试效果,从厂家技术特点来说,有下面几种方式:

  ◆代理服务:代理方式本身就是一种安全网关,基于会话的双向代理,中断了用户与服务器的直接连接,适用于各种加密协议,这也是Web的Cache应用中最常用的技术。代理方式防止了入侵者的直接进入,对DDOS攻击可以抑制,对非预料的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司的WAF就是这种技术的代表。

  ◆特征识别:识别出入侵者是防护他的前提。特征就是攻击者的“指纹”,如缓冲区溢出时的Shellcode,SQL注入中常见的“真表达(1=1)”…应用信息没有“标准”,但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别就采用此方式,麻烦的就是每种攻击都自己的特征,数量比较庞大,多了也容易相象,误报的可能性也大。虽然目前恶意代码的特征指数型地增长,安全界声言要淘汰此项技术,但目前应用层的识别还没有特别好的方式。

  ◆算法识别:特征识别有缺点,人们在寻求新的方式。对攻击类型进行归类,相同类的特征进行模式化,不再是单个特征的比较,算法识别有些类似模式识别,但对攻击方式依赖性很强,如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解,而不是靠“长相”识别。

  ◆模式匹配:是IDS中“古老”的技术,把攻击行为归纳成一定模式,匹配后能确定是入侵行为,当然模式的定义有很深的学问,各厂家都隐秘为“专利”。协议模式是其中简单的,是按标准协议的规程来定义模式;行为模式就复杂一些,

  Web防火墙最大的挑战是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如给网页挂马,你很难察觉进来的是那一个,不知道当然也无法统计。对于已知的攻击方式,可以谈识别率;对未知的攻击方式,你也只好等他自己“跳”出来才知道。

  “自学习”功能的发展:

  Imperva公司的WAF产品在提供入侵防护的同时,还提供了另外一个安全防护技术,就是对Web应用网页的自动学习功能,由于不同的网站不可能一样,所以网站自身页面的特性没有办法提前定义,所以imperva采用设备自动预学习方式,从而总结出本网站的页面的特点。具体的做法是这样的:

  通过一段时间的用户访问,WAF记录了常用网页的访问模式,如一个网页中有几个输入点,输入的是什么类型的内容,通常情况的长度是多少…学习完毕后,定义出一个网页的正常使用模式,当今后有用户突破了这个模式,如一般的帐号输入不应该有特殊字符,而XML注入时需要有“<”之类的语言标记,WAF就会根据你预先定义的方式预警或阻断;再如密码长度一般不超过20位,在SQL注入时加入代码会很长,同样突破了网页访问的模式。

  网页自学习技术,从Web服务自身的业务特定角度入手,不符合我的常规就是异常的,也是入侵检测技术的一种,比起单纯的Web防火墙来,不仅给入侵者“下通缉令”,而且建立进入自家的内部“规矩”,这一种双向的控制,显然比单向的要好。

  Citrix公司收购了Teros后,推出的应用防火墙通过分析双向流量来学习Web服务的用户行为模式,建立了若干用户行为模型,一但匹配上你是某个行为,就按该模式行为去衡量你的行为做法,有“越轨”企图立即给予阻断。这个自适应学习引擎与Imperva公司的网页自学习有些类似,不过一个重点是学习网页特点,一个是学习用户访问的规律。

  从安全角度来说,网业自学习技术与入侵防护结合使用,是理想的选择。

  Web防火墙的未来出路:

  有一种说法:因为Web服务器前的负载均衡设备、Web 加速设备是不可缺少的,又是Web服务器群的出口必经之路,所以Web防火墙的功能有可能与这些设备合并。这种发展趋势有些象网关UTM与单独的FW、IPS、AV、VPN等设备进化发展一样,UTM就是这些网关的集合产品。

  但我有一个不同的看法:UTM部署于网络的外连接出口,一般是互联网出口,其网络安全隔离作用,这里的带宽价格昂贵,所以拥有大带宽的用户很有限,而Web服务器群是与网络主交换机连接的,提供的是应用处理能力,要求的参数常是并发用户的数量与在线用户的数量,服务器一般都是千兆接口,目前的交换机就可达到几十个TB的交换能力,在大流量链路上做多功能的安全产品,又是应用层的检测,对产品的硬件压力是巨大的,能达到“线性”流量的产品一定价格昂贵,因此Web防火墙的这种合并思路是有待商榷的。

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/liusan_8310/archive/2009/07/23/4375157.aspx

【转】 web防火墙产品介绍

Posted on by
Reply

首先介绍一下现有的web应用防火墙的开源项目。

1、web防火墙的开源项目首推Apache的插件,mod security。

      mod security是针对Apache的安全组件。用于防护一些典型的web攻击。

      关于mod security的部署和编译的步骤将在后续进行详细的介绍。这里就不进行一一介绍了。

 2、IIS的插件 Web Knight。

      web Knight是基于微软ISAPI协议IIS插件。功能同样是提供一些web攻击的防护。

      这个是纯粹的个人项目。

其次介绍一下目前的商业性质的web应用防火墙。主要的提供厂商有国外厂商,如思科,梭子鱼,F5,国内厂商如绿盟,启明星辰等。

国外的厂商主要是基于反向代理的技术,国内的看其介绍就比较简陋了。不详细分析了。

1、思科的产品:

http://www.cisco.com/web/CN/products/products_netsol/datacenter/products/ace/index.html

具体的可以再到思科的官方网站查看详细信息,我就不多说了。

2、梭子鱼的产品:

http://www.barracudanetworks.com.cn/chanpinyufangan1-1-4.html

3、Citrix 的产品

Citrix Application Firewall——全面保护Web应用和Web服务器 
挫败绕过网络防火墙和IPS设备的攻击
Citrix® Application Firewall可保护Web应用免遭日益增多的应用层攻击,如缓冲区溢出、SQL注入、跨站点脚本攻击等。除了业经验证的出色攻击防御特性外,Citrix Application Firewall还能确保机密的企业信息和敏感的客户数据的安全性,保护身份资料免遭失窃。

性能卓越的Web应用安全解决方案
Citrix Application Firewall提供了业界性能最卓越的Web应用安全解决方案,可有效保护Web服务器的安全,改善应用响应时间,且不会降低数据吞吐率。其出色的性能可满足任何企业或数据中心的需求。

积极的安全模式
基于HTML的HTTP行业标准和最佳编码实践,Citrix Application Firewall的安全技术采用了积极的安全模式。任何背离积极安全模式的Web应用行为都将被当作潜在的威胁对待,并加以阻止。

通过识别正确的应用行为,积极的安全模式不依赖攻击特征符或型样匹配技术就能检测并阻止攻击。Citrix Application Firewall是唯一经过验证的可对未发布攻击实施全天候防御的软件。

适性化学习引擎
除了可对Web威胁提供现成的保护外,Citrix Application Firewall还可定制针对各种应用的安全策略,包括使用客户端Java脚本的策略。思杰的第三代适性化学习引擎能自动识别应用行为,生成建议性可读策略,这会帮助安全管理员更清楚地了解实际的应用行为,然后针对每个应用实施自定义安全策略和严格的接入控制。

保护Web应用
在目前的互联网攻击中,有超过70%是利用了应用程序的漏洞,请详细了解一下屡获殊荣的Citrix Application Firewall吧。

灵活的部署选项
Citrix Application Firewall可单独部署,也可与Citrix NetScaler Application Delivery Systems一起部署。

Application Firewall集群提供了更高的可用型以及线性性能效益,以满足大型Web应用数据中心的要求,并具备出色的active/active可用性。
———————————————————-
高性能的Web应用交付解决方案
作为高性能的安全设备解决方案,Citrix Application Firewall™阻止了所有已知和未知的针对Web应用和基础架构的攻击。Citrix Application Firewall采用了积极的安全模式,只允许执行那些正确的应用行为,而且不依赖攻击特征符。它分析了所有双向流量,包括SSL加密通信,阻止了16大类Web应用漏洞攻击,同时不对应用作出任何更改。

Citrix Application Firewall技术可以作为Citrix NetScaler的一个可选功能或作为一个单独的产品提供。单独的Citrix Application Firewall可用于满足一系列性能需求的设备,并且能够与市面上的多种负载均衡的解决方案兼容。

应对当今的安全挑战
Web应用容易受到来自Internet以及机构内部的功击与威胁,因为它们前端的数据库存储了敏感而且有价值的信息。自定义和分层Web应用很容易受到攻击,采用固定特征符或补丁程序很难保护好这些应用。网络级安全基础架构如防火墙和入侵防御系统不能抵御应用层攻击,从而将Web应用和服务器暴露给了大量已知和未知的攻击和威胁。Citrix Application Firewall通过为所有Web应用提供集中化的应用层安全性而全面应对了这一挑战。

积极的安全模式的好处
Citrix Application Firewall采用了积极的安全模式来确保执行正确的应用行为。这种安全模式不靠攻击特征符或型样匹配技术就能识别“好”的应用行为,并阻止任何背离了正确应用活动的恶意行为。Citrix Application Firewall是唯一经过验证的可对未发布攻击实施全天候防御的软件。

有效的业务对象保护
Citrix Application Firewall实时阻止了敏感应用内容的无意泄露,这种无意的内容泄露会导致身份信息盗用和欺诈行为。业务对象保护模块可保护像信用卡或借记卡号码这种预见确定的对象以及其它管理上定义的数据对象的安全。通过检测错误泄露以及阻止或重写内容,业务对象保护模块协助企业满足了政府制定的隐私法规以及行业法规,如支付卡行业数据安全标准(PCI-DSS)。

采用Citrix适性化学习引擎来自定义安全策略
Citrix Application Firewall融合了第三代自适应学习引擎,这种引擎能识别各个方面的应用行为,即使Web应用允许执行,这些行为也有可能会受到积极的安全模式的阻止。一旦检测到应用行为,Application Firewall就会生成建议性可读策略,这会帮助安全主管更清楚地了解实际的应用行为,然后针对每个应用实施自定义安全策略。

业界领先的性能
与其它高性能Web服务器相比较,Citrix Application Firewall的性能远远高过它们,通过卸载Web服务器的计算和存储密集型TCP连接管理,该软件有效地改善了应用性能和响应时间。Application Firewall与服务器之间的通信只采用了少量持久TCP连接。

基于硅元件开发的专用SSL硬件可检测出加密信道中的恶意流量。通过减少服务器的此类操作,SSL加密和密钥生成卸载改善了总的应用性能。还有另外一个选择就是对Application Firewall到应用服务器的通信过程进行完全加密。

集中保护所有Web应用的安全
Application Firewall可利用每个应用的安全策略、控制、报告细节和记录数据的完全分离来保证企业整个Web应用基础架构的安全。

适应不断变化的业务需求的灵活性
Application Firewall支持灵活的、逐步的Web应用的保护部署。默认的Web应用保护配置抵御最常见的危险威胁的同时,增加了全面的保护,防止数据窃取和4-7层拒绝服务攻击。

高级Web应用保护配置增加了高级Web应用的会话层分析保护功能,此高级Web应用包括了对敏感数据的已验证访问。而且保护范围扩展到Cookie、格式字段和会话专用URL等动态生成的元素。这种保护对于电子商务、在线金融服务和安全的外联网应用都是强制性的,并且它还具备应用学习能力,针对行为可能会违背默认安全策略]
]>

OWASP的 WEB 风险 TOP10

Posted on by
Reply

A1 – Cross Site Scripting (XSS) XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim’s browser which can hijack user sessions, deface web sites, possibly introduce worms, etc.
A2 – Injection Flaws Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker’s hostile data tricks the interpreter into executing unintended commands or changing data.
A3 – Malicious File Execution Code vulnerable to remote file inclusion (RFI) allows attackers to include hostile code and data, resulting in devastating attacks, such as total server compromise. Malicious file execution attacks affect PHP, XML and any framework which accepts filenames or files from users.
A4 – Insecure Direct Object Reference A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, database record, or key, as a URL or form parameter. Attackers can manipulate those references to access other objects without authorization.
A5 – Cross Site Request Forgery (CSRF) A CSRF attack forces a logged-on victim’s browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim’s browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks.
A6 – Information Leakage and Improper Error Handling Applications can unintentionally leak information about their configuration, internal workings, or violate privacy through a variety of application problems. Attackers use this weakness to steal sensitive data, or conduct more serious attacks.
A7 – Broken Authentication and Session Management Account credentials and session tokens are often not properly protected. Attackers compromise passwords, keys, or authentication tokens to assume other users’ identities.
A8 – Insecure Cryptographic Storage Web applications rarely use cryptographic functions properly to protect data and credentials. Attackers use weakly protected data to conduct identity theft and other crimes, such as credit card fraud.
A9 – Insecure Communications Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive communications.
A10 – Failure to Restrict URL Access Frequently, an application only protects sensitive functionality by preventing the display of links or URLs to unauthorized users. Attackers can use this weakness to access and perform unauthorized operations by accessing those URLs directly.

Cisco ACE Web应用防火墙

Posted on by
Reply

产品概述

Cisco ACE Web 应用防火墙 (图 1)是思科应用控制引擎(ACE)产品系列中的最新成员。

 

许多机构当前都在设法通过实施全新的基于Web的应用、Web 2.0和SOA解决方案,来提高效率和利润。这些全新的基于Web的服务为客户、员工和合作伙伴提供了更大的灵活性和交互性。同时,罪犯也在千方百计地找经常存在问题的全新服务中的漏洞,从而进行金融欺诈、身份和数据盗窃、拒绝服务攻击,以及传播恶意和远程控制代理软件。

 

根据privacyrights.org的调查结果,自2005年以来,仅在美国就出现了大约2.5亿起违规事件。相应地,在世界各地也不断涌现了 Sarbanes-Oxley、Graham-Leach-Bliley、HIPAA、PCI、Basel II、EU Data Privacy Regulation、J-SOX和PIPEDA等新兴法规。这些法规着重保护对敏感信息的访问、传输和存储,如客户和员工的个人和财务信息等。

 

保护消费者的财务和个人信息尤为重要。为了应对越来越多的身份盗窃事件和安全漏洞,大型信用卡公司合作创建了信用卡行业(PCI)数据安全标准(DSS),对公司存储和访问信用卡信息的方式进行了简化和标准化。

 

Cisco ACE Web应用防火墙能够帮助存储、处理和传输信用卡数据的机构达到PCI DSS标准的要求。由于它独特地结合了HTML和XML安全功能,Cisco ACE Web应用防火墙提供了一个完全能够满足PCI DSS标准(版本1.1)6.5和6.6章节中要求的解决方案。

 

在6.6章节中还特别指出,任何处理或存储信用卡信息的机构都必须在2008年6月30日前安装Web 应用防火墙,以防御在2007年在OWASP排名前10位的攻击 (资料来源:http://www.owasp.org/index.php/Top_10_2007)。

 

通过对Web应用的深入分析,并与高性能的XML检测和管理相结合,从而真正地解决与全新Web应用服务有关的各种威胁,Cisco ACE Web应用防火墙能够完全满足最新的PCI要求。它能够保护Web应用不受普通攻击的影响,如身份盗窃、数据盗窃、应用运行中断、欺骗和目标式攻击。这些攻击包括跨站脚本(XSS)攻击、SQL和命令注入、权限扩大、跨站请求伪造(CSRF)、缓存溢流、cookie窜改和拒绝服务(DoS)攻击。

 

Cisco ACE Web应用防火墙的集成XML防火墙功能将对基于HTML的传统Web应用的保护扩展至现代支持XML的Web服务应用。XML数据安全包括XML威胁牵制,如检验XML内容,以阻拦您的Web服务应用流量中消息处理策略的违规行为。

 

Cisco ACE Web应用防火墙也是一个全面的代理安全解决方案,为请求和响应流量提供了消息级别(message-level)的监控功能。因此,它不仅能够阻拦攻击,还能保护您的Web应用,使其不受黑客的破坏。通过过滤输出流量防止泄漏敏感数据,如信用卡,以及护照或社会保险号等个人身份号码,还能实施安全策略。

 

Cisco ACE Web应用防火墙软件许可证通过升级,能支持完整的Cisco ACE XML网关软件,后者为基于XML的软件应用提供了非常丰富的XML增强性能和管理工具。Cisco ACE XML网关能够确保在不影响安全、互操作性或可靠性的前提下,使所有XML消息都得以处理。它帮助企业实现市场上最广泛的策略控制和端到端的卓越性能,并高效地保护、加速和集成XML Web服务,从而加快客户产品的面世速度,在业务竞争中占据优势。

 

图 1. Cisco ACE Web应用防火墙

 

安全、快速、可靠的HTML和XML应用要求提供有保障的吞吐率、高并发率、低延迟和对如安全性和可用性的关键应用等支持特性。Cisco ACE Web应用防火墙通过下列特性提供了这些优势:

  • 为您的定制应用提供了无懈可击的安全性
  • 针对已知恶意模式提供了广泛的思科验证签名
  • 了解要过滤的Web应用,只允许合法流量通过
  • 人工辅助的自动学习,消除安全配置中的人为猜测因素

 

 

Cisco ACE Web应用防火墙在高性能网络设备上提供了业界领先的安全处理特性,能够充分满足您的开发和部署需求。无论您是试用方案,或是保护少量Web应用,还是在整个企业内部署广泛的Web应用,思科都提供了业界领先的Web 应用防火墙解决方案,并能够加以扩展以满足您的应用安全、可用性和性能要求。

 

特性和优势

  • 大幅度降低关键任务应用在代价高昂的Web攻击下受损的几率
  • 仅用同类产品的一小部分时间和成本即可部署安全的Web项目
  • 能够与SOAP和XML应用共用,因而简化了后续Web安全管理

图2介绍了典型部署,表1概述了Cisco ACE Web应用防火墙的特性和优势。

 

图2. Cisco ACE Web应用防火墙部署

 

 

表1. 特性和优势

特性 优势
Web应用安全

  • 利用监控器模式部署支持人工辅助的自动学习

  • 保护应用不受基于Web的HTML和XML威胁的影响

  • 防御身份盗窃、数据盗窃、内容和格式威胁、接入威胁、法规遵从性、传输,以及针对性攻击,如拒绝服务(DoS)攻击

  • 支持用户创建定制规则和签名

  • 提供了一系列预配置规则,能够满足PCI DSS 1.1标准(OWASP Top 10)6.5和6.6章节中的要求
私密性

  • 为了支持应用接入和数据私密性,实施全面的企业级策略控制
加密和标记

  • 防止cookie窜改,保持存储在浏览器cookies中的信息保密性。

  • 提供完全的FIPS法规遵从性,通过始终在平台硬件中存储专用SSL密钥来防御SSL密钥劫持
审计和记录