概述

　　公司投入重多資源來研發應用程序和基礎結構向員工，客戶和生意上的伙伴傳遞所制定的經營模式。數據中心有責任確保絕對的安全性，快速響應時間，和這些企業級重要應用程序的高可用性。要全面保護企業級應用程序免受潛在威脅的攻擊，就需要一個既能應用于網絡層，又能應用于應用層安全保護的平臺。基于反向代理技術的應用層控制器代表了一種新的產品，在此基礎上設計的基于安全和控制的web 應用程序。代理可以保護那些傳統的防火墻和基于數據信息包的入侵檢測得系統不能保護的內容。不可思議的是，它同時還可以加快應用程序的響應時間和可用性。應用程序控制器已經成為一個當今web DMZ 結構和web 應用程序保護的一個基本組成部分。數據中心有責任確保數據的正確性。保護應用和高可用性的技術在企業級的DMZ結構已經成為一種“最優方法”。

　　評估最好的應用控制防火墻應該包括的保準：

　　安全

　　應用控制防火墻的體系結構是基于連接的代理還是基于數據包的阻斷控制?

　　安全性能是否符合應用安全的標準，比如說WAFEC & OWASP?

　　真實性能

　　應用控制防火墻可以加快應用程序的響應時間嗎?

　　應用控制防火墻有足夠的吞吐量和處理空間來處理你的連接數嗎?

　　部署簡便

　　應用控制防火墻有靈活的選項來方便地部署在一個網絡布局和環境中?

　　應用控制防火墻是否有向導的功能來快速安裝，保護和操作?

　　管理簡便

　　應用控制防火墻是否有諸如自動和手動等多種方法來應付應用程序的改變?

　　應用控制防火墻是否有能力來支持100s 應用程序?

　　應用控制防火墻是否有容錯設計和fail-over 的能力?

　　應用控制防火墻是否有fail-open 的選項?

　　NetContinuum 提供了世界上最強大的應用控制防火墻，它是建立在NCOS所有的軟件基礎上。NetContinuum的產品終止，安全和加速HTTP(S) 功能基于應用程序的數據來給數據中心一個新的配置、保護和管理企業級應用程序的工具。如圖1所示，應用控制防火墻處于DMZ區，配置在服務器的前端。

　　這個文檔介紹了NetContinuum 應用防火墻產品系列。一個架構上的最優方法，NetContinuum 產品通過以下幾點讓你配置一個更快、更可靠、更安全和性能更高的應用程序：

　　全面控制所有用戶到每個應用程序的連接

　　保護應用程序的安全完整的方案，包括確保執行密碼系統，防攻擊和身份和訪問管理(IAM/ AAA)

　　完整的可用性方案來增強響應時間和確保正常運轉時間

　　在任何網絡環境中展開迅速的自身部署

　　快速的定義應用和適當的策略來保護他們

　　當應用程序開始服務后，對應用程序進行簡便、靈活和持續的管理

　　強大的代理功能

　　全面保護web 應用程序免受所有潛在的威脅攻擊，需要一個不僅能應用在網絡層，同時還能應用在HTTP和應用會話內容的安全平臺。只有基于會話的雙向代理才能在不將內部服務器操作系統和TCP堆棧直接暴露在Internet的情況下提供這種安全功能。

　　圖1: 應用控制防火墻配置在用戶和應用程序服務器的中間

　　NetContinuum 提供了世界上最強大的應用控制防火墻產品線。基于NetContinuum專利的NCOS系統，產品對Web應用進行終止、保護和加速。集中化的GUI 控制界面可以讓系統的配置和管理變得十分簡單。最重要的是,

　　應用控制防火墻可以完全符合WAFEC & OWASP提出的標準。NetContinuum 應用控制防火墻是世界上唯一被ICSA在網絡層和應用層上通過認證的產品。核心功能的介紹，包括終止，保護和加速將會在下面做詳細的介紹。

　　體系結構和性能

　　NetContinuum已經建立并構造了一個完全由自己研發操作系統和協議棧。圖2有做詳細的介紹，NCOS (NetContinuum 操作系統)直接和x86 還有Cavium SSL處理器相連，以保證低延遲率和獨一無二的連接傳輸率。所有應用的終止和執行都在NCOS(NetContinuum 操作系統)中進行。Linux 是用來做為管理框架和日志記錄。

　　很多廠商試圖通過同時報告TCP連接數和高帶寬利用率來改進應用控制器的結構。這是一種對于安全應用的錯誤說法。重要的是應該把重點放在第七層HTTP應用的處理性能上。同時，更重要的是要明白延遲是由于現實的處理負荷和數據的大小所引起的。

　　NetContinuum 根據現實的“重負荷”應用環境生產出應用控制器，因此對于這點信心十足。從另一方面說，這個性能指標能夠反映設備真正運行時的情況。更加詳細的數據統計可以在以下功能都開啟的情況下獲得，它們包

　　括：第2層ACL、第7層ACL、Web地址轉換、URL請求和響應、重寫功能、實時動態應用調試和執行(DAP)、SSL、內容壓縮、內容緩存、內容交換、負載均衡和TCP復用。

　　圖2: NCOS高性能和高安全性的NetContinuum 操作系統

　　NetContinuum 應用防火墻功能

　　全面完善的功能力是NetContinuum產品的最重要的一個方面。

　　NetContinuum努力研發對于全面保護、加速和管理應用流量所需要的功能。我們將這些功能集中描述為“終止、保護和加速”。圖3 對應用流量的管理控制做了概略的描述。

　　圖3: 您可以選擇是否應用會話控制, 安全保證和可用性保證等功能#p#副標題#e#

　　終止

　　所有NetContinuum 產品都有一個基本原則: 所有用戶瀏覽器和應用程序服務器的連接會話都在此終止。這個技術的思路就是對應用流量(內向和外向)進行全面的檢查和管理每一個會話。履行TCP握手同樣可以切斷任何基于TCP的DOS攻擊。在終止會話的同時，應用防火墻可以提供網絡層的NAT、PAT 、ACL 策略和SSL 密碼系統。系統對于HTTP內容有著完全的訪問權和控制權，檢查所有的HTTP 內容，解釋和建立規則。要特別指出的是，“終止”包含了以下一些功能:

　　TCP 會話終止

　　NetContinuum 應用防火墻進行完整的TCP 會話終止。TCP會話終止是唯一為私有網絡來提供完全的安全性的方法, 因為它將隔所有用戶(包括攻擊者)都隔離在外網。唯一連接到服務器的數據都是來自于應用防火墻本身的。應用防火墻收集所有的數據包并重寫每個用戶的HTTP 會話。這樣HTTP會話可以被進行安全篩選和加速并且可以進行內容交換和內容處理。

　　狀態信息網絡防火墻

　　NetContinuum 應用防火墻包含了一個基于狀態信息的網絡防火墻。網絡管理員可以設置策略，NAT, PAT 和網絡ACL的規定. 應用防火墻監控每個TCP連接的狀況(IP 地址, 端口,3次握手等) 并在一個狀態表中編輯信息。過濾決定不僅僅依靠管理員設置的規則(比如靜態包過濾)，同時也取決于之前已經通過防火墻的數據的狀態記錄。這個過程能夠嚴格確保符合TCP/IP RFCs 規則，阻止大量的網絡層攻擊。NetContinuum應用防火墻的網絡層安全性已經得到了ICSA的認證。

　　SSL 終止

　　NetContinuum應用控制防火墻有專利的ASIC 處理芯片來建立和加速用戶的SSL會話，因此能夠卸載應用服務器上的密碼處理。應用防火墻提供了一套完善的SSL和傳輸層安全協議(TLS) 的功能。SSL可以用在任何應用層協議上(HTTP, SOAP, XML, FTP, SMTP, POP3,IMAP, 或自定義)。完全支持PKI管理和密鑰管理。系統可以重新加密發送到后端服務器的流量，詳細描述如下。

　　HTTP 協議符合和標準化

　　NetContinuum 應用防火墻應用一個全面的HTTP 標準化引擎來規范所有應用流量.。隱藏在HTTP 數據編碼和國際編碼字符后的攻擊在到達真實服務器之前就會被這個進程識別和阻擋掉。

　　在世界不通的地方有很多不同的字符串和字符編碼。在美國, 基于拉丁文的字母表, 所有的數字、標點符號使用7位ASCII 編碼標準。相反，亞洲的語言包含很多書面的字節是16 bits 的數據，這些數據必須包含全部的字形。錯誤的處理國際編碼字符見的細微差別可能導致安全漏洞，因為黑客可以將自己“隱藏”在國際編碼字符后面。將所有輸入簡化為規范的字符串，用于準確的評判，這個過程就叫做標準化。

　　標準化還有第二個解釋，它來自管理WEB應用的HTTP協議。一些字節對于web服務器、底層操作系統或HTTP協議有著特別的含義。為了區別這些字符的正常使用和特殊含義，于是就開發了不同的字節編碼方案，比如“URL 編碼”和“基于64位編碼”。攻擊者可以通過一回或多回隱藏編碼來進行攻擊。應用防火墻可以識別這些陰謀并將HTTP 協議元素標準化。

　   F T P 協議符合

　　FTP 生來就是一個脆弱的協議。

　　NetContinuum 的產品同樣可以作到對文件傳輸協議(FTP)的終止。系統可以被配置在現有FTP 服務器的前端來代理進出的FTP流量。FTP 訪問控制列表(ACL)可以封閉進來的FTP 端口, 阻擋某些FTP 命令和為FTP流量提供SSL 加密。此外, 也可以使用不同的算法在后端服務器之間進行FTP流量的負載均衡。

　　HTTP 報頭重寫

　　報頭的請求和回應重寫加深和更加細密的提供了安全構造。NetContinuum 應用防火墻可以在數據到達用戶端前對HTTP 報頭中的敏感內容進行重寫或刪除。報頭重寫技術可以更好的管理流量,或者為應用程序加入一些獨特的功能. 比如說, 設置生成新報頭來覆蓋用戶的一些驗證信息、授權信息等敏感信息。另外一個比較常用的方法是移除瀏覽器插入的“Accept-Encoding:gzip”標記，這樣可以避免服務器在壓縮內容上花費太多的CPU處理時間。

　　URL 轉換

　　將外部世界如何訪問WEB應用與其物理構架分離開來是非常有用的。同時也叫Web 地址轉換(WAT), URL轉換本質上從內部到外部的DNS地址域名的轉換。WAT 允許管理員在簡單的外部名稱規則后隱藏一個復雜并切變化快速的網絡。

　　URL 速率控制

　　NetContinuum 應用防火墻可以識別某些URL并控制發送到應用程序的請求的速率。當應用結構因為超負荷而易于崩潰的情況，這種保護服務器免受超載的技術是至關緊要的。

　　安全

　　一旦一個會話被NetCont inuum應用防火墻終止并被控制，多種檢查就會應用于進來和出去的會話和內容，以此阻止內嵌的攻擊、數據竊取和身份竊取。精確的策略也可以應用于URL、參數和格式區域的檢查。這個“確保安全”的功能在應用防火墻上提供了以下功能:

　　應用程序隱藏

　　NetContinuum 應用防火墻使用應用遮掩技術來使應用程序架構對于掃描服務器漏洞的黑客和蠕蟲不可見。因為應用防火墻有一個全面的終止結構, 對于web服務器類型、應用服務器類型、操作系統和補丁的版本都是不可見的。NAT 和WAT 隱藏所有網路的URL 地址信息。最后, 通過隱藏URL 響應代碼和HTTP 報頭, 隱藏機制可以有效地隱蔽所有可能會被用于攻擊應用程序和應用服務器的信息。

　　AAA—身份和訪問管理

　　By virtue of sheer proximity,應用防火墻處在一個執行AAA服務的絕佳位置。應用防火墻可以進行驗證和單點登陸服務，因為它可以與RADIUS, LDAP,Active Directory 和CA SiteminderTM(Netegrity)掛鉤。其他方式的認證包括客戶端證書、基本HTTP Web驗證、源IP地址驗證等方式。控制器能夠執行已授權用戶在應用和URL級別發起的訪問。最后，控制器記錄所有認證信息和訪問時間，這些內容同時提供全面的內部監控的審計和安全規則的符合。

　　白名單

　　NetContinuum控制器使用一個絕對安全的模型來對訪問進行定義并判斷其是否為惡意連接。任何違背正常行為的會話會被認為是潛在的惡意連接并自動將其阻斷。系統為每個應用創建并管理獨立的白名單。白名單可以被動態創建，或在實時策略推薦向導的幫助下通過安全組手動設置。控制器使用訪問控制列表(ACL)來設置和執行具有良好粒度的安全策略和特殊頁面。

　　窗體保護

　　程序員常見的錯誤理解就是以為Web的形式是不變的，至少對于用戶來說是如此。也就是說，如果一個區域被定義為單選按鈕，來自用戶的輸入只能是事先規定的值，并且能夠依靠用戶的瀏覽器來執行這種約束。這種理解是錯誤的。瀏覽器確實會試圖將用戶輸入限制在正常范圍之內，但是一個惡意的用戶能夠在瀏覽器和應用程序之間放置一個攻擊性的代理，在瀏覽器的可見范圍之外徹頭徹尾地修改區域的類型。這樣單選按扭區域很有可能返回一個帶有可執行的緩沖溢出代碼。這就是臭名昭著窗口篡改。控制器記住針對每個用戶會話所創建的區域類型，并且確保在程序員定義它們的時候將它們保留下來。

　　Cookie保護

　　在cookie代碼的處理過程中對其弱點進行開發是另一種黑客常用的手段。因為cookies是對用戶進行身份識別的最常用的方法，如果黑客能夠猜到用戶的cookie信息，那么這個黑客就從根本上化身為那個用戶。許多應用程序仍然在使用易猜中的cookie。兩種防止此攻擊的技術是：cookie標記和cookie加密。(有兩個步驟：控制器必須在cookie被創建時對其進行標記和加密。這樣在下次請求到來時能夠對其進行識別。如果cookie標記被激活，控制器就能夠檢查進來的cookie，防止被篡改。

　　篡改通過對兩個cookie的比較進行判斷。如果兩個cookie一致，則沒有篡改的行為，會話被允許進入。如果不匹配，則會話被認為是攻擊性的，被控制器阻斷。Cookie加密是一種萬無一失的阻止身份竊取的方法，因為cookie是不可讀的。

　　數據竊取保護

　　NetContinuum 控制器對于保密數據的竊取提供全面的保護，比如信用卡號，社保卡號等其他預先定義好的保密的數據結構。控制器掃描出去的數據，與用正則表達式定義好的數據模式進行匹配。這個技術對敏感的數據在離開Web服務器時進行鑒別并強制執行相應的策略：部分遮掩數據、完全遮掩數據或直接阻斷會話。

　　動態學習/動態應用調試

　　NetContinuum的DAP能夠自動學習應用程序的行為并“實時”執行策略。實時動態應用調試和策略執行(DAP)增加了強大的窗口保護機制。它能學習在用戶訪問WEB界面時應用程序創建的窗口，這樣就能防止黑客的篡改行為。它保存每一個頁面的鏈接，以此來確保用戶僅在訪問應用程序提供的合法的頁面。

　　DAP跟蹤單獨的URL和參數，這些URL和參數被系統學習。用來有效阻斷緩沖區溢出和參數篡改的攻擊。

　　SQL & OS 命令注入，跨站腳本(XSS)攻擊的保護

　　SQL 注入攻擊和跨站腳本攻擊(XSS或釣魚攻擊)是基于Java腳本的注入攻擊。這些攻擊危害性極大，因為它們真正地危急到Web站點的程序代碼的安全，以此來竊取數據或誘騙用戶泄露他們的身份。最終，攻擊來自與程序的錯誤;忘記對用戶的輸入進行驗證。

　　NetContinuum控制器時刻保持警惕并監控所有用戶的SQL和Java腳本語法的輸入。即使程序員忘記對輸入進行驗證，控制器也能夠通過對異常數據正常化來自動保護應用程序。

　　自定義黑名單: 正則表達式

　　NetContinuum控制器同樣提供自定義訪問控制列表和正則表達式來匹配規則。任何模式匹配可以被存入控制器，用來掃描HTTP會話的任何部分。自定義數據類型同樣能夠被加入NetContinuum設備，利用諸如URL的ACL，參數ACL和/或報頭ACL來阻斷惡意流量。自定義數據類型也能夠用來掃描外出流量，從而創建一個強大的防御體系。

　　加速

　　除了WEB應用的安全性，數據中心還負責應用的可用性和響應時間。將加速功能(TCP 池，緩存，GZIP壓縮)和可用性功能(負載均衡，內容交換，健康檢查)在一個單一的節點處結合起來會顯著地簡化數據中心的體系結構，以此來降低成本。“可用性保證”功能提供以下功能：

　　緩存

　　應用器的Web緩存功能為應用的提供者和使用者提供雙贏的效果。當進入的流量通過掃描并未發現任何惡意行為時，NetContinuum控制器將這些流量轉發到合適的Web服務器。然而，如果請求的內容能夠從緩存中得到，控制器就會從緩存中給予相應的回應。內容緩存充分地提高響應的時間，同時又降低服務器的負荷。

　　GZIP 壓縮

　　NetContinuum控制器支持當今先進的GZIP壓縮技術并且能夠卸載服務器CPU高強度的處理。GZIP能夠提供90%的文本壓縮率并降低30%的延遲。

　　TCP 連接池

　　通過在打開的TCP連接和后端服務器之間對TCP連接進行復用，應用控制器能夠通過減少服務器的TCP握手次數來節省大量的時間。這個TCP連接池技術在降低服務器CPU負荷的同時大大縮減了客戶端的響應時間。

　　SSL 加速和后端重加密

　　許多數據中心采用嚴格的要求，傳輸的數據必須被加密。這就要求控制器必須有解密會話、檢查有效負荷，并在與應用程序連接前重新加密那個會話。

　　NetContinuum控制器可以為后端服務器重新加密會話。控制器提供完善的SSL設置和TLS功能。如果客戶端證書在使用中，可以選擇通過HTTP報頭來通過后端服務器。同樣支持PKI管理、安全密鑰存儲和管理。

　　第7層內容交換

　　NetContinuum控制器允許您設置規則來通過URL報頭信息智能地將流量指向合適的服務器：Status-Code,Response-Header, Client-IP, Method, WEB-Dav,HTTP-Version, URI, Parameter, Pathinfo, 和Header value 等字段都能被檢查出和匹配。負載均衡能夠當會話被交換時執行相應的動作。

　　負載均衡

　　NetContinuum控制器的負載均衡功能配置十分簡單。流量通過設置好的負載均衡算法被轉發到指定的服務器。轉發算法包括了輪加權輪訊和最少請求數。其他的到“不工作服務器”連接的重定向和粘滯連接同樣支持。通過對流量的行為進行預先定義，負載均衡能夠提高應用的可用性。控制器也讓管理員輕松實現對服務器的使用和停用，以此來安排服務器的維護工作。

　　服務器& 應用程序健康檢查

　　Out Of Band (OOB) 帶外數據健康檢查是監控服務器和應用程序健康度，獨立于數據流量。可以設置規則在后端服務器不可用時將流量重定向。NetContinuum控制器可以在第4層和第7層對應用程序進行測試。第4層OOB默認開啟，可以被禁用。第7層HTTP監控是根據Method 和URL實現的。

　　NetContinuum部署簡單，詳細信息下載《NetContinuum 技術白皮書》