网络安全 频道

网站防篡改 企业应部署WEB应用防火墙

  网络架构和部署:双臂代理模式

  双臂代理模式是Web应用防火墙部署种的非常好的模式。这个模式也是拓扑过程中推荐的模式,能够提供非常好的的安全性能。

  在此模式中,所有的数据端口都将被开启;端口eth1是对外的,直接面向因特网的端口;端口eth2将会和内部的设备(交换机等)进行连接,是面向内部的。管理端口可以被分配到另一个网段,我们推荐将管理数据和实际的流量分离,避免因为实际流量和管理数据的冲突。

  以下为示例拓扑图:

网站防篡改 立即部署WEB应用防火墙3

  网络实现:

  1、前端端口和后端端口位于不同的网段,所有外部客户将会和应用虚拟IP地址进行连接,此虚拟ip将会和前端端口(eth1)进行绑定

  2、客户的连接将会在设备上终止,进行安全检查和过滤

  3、合法的流量将会由后端端口(eth2)建立新的连接到负载均衡设备

  4、负载均衡进行流量的负载

  5、双臂代理模式可以开启所有的安全功能

  工作特点:基于应用层的检测,同时又拥有基于状态的网络防火墙的优势

  对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利用协议漏洞的攻击和权限提升

  预期数据的完整知识(Complete Knowledge of expected values),防止各种形式的SQL/命令注入,跨站式脚本攻击

  实时策略生成及执行,根据您的应用程序定义相应的保护策略,而不是千篇一律的厂家预定义防攻击策略,无缝的砌合您的应用程序,不会造成任何应用失真。

网站防篡改 立即部署WEB应用防火墙4

  网站全面隐身:黑客再神奇也无法攻击看不见的东西

  Barracuda-NC应用防火墙对外部访问网站进行隐身,可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见,摸不着,探测不到,自然也无从猜测分析和攻击。以下便是一款常用扫描工具扫描经过Barracuda-NC应用防火墙隐藏的网站的结果。

网站防篡改 立即部署WEB应用防火墙5

  同时,它还能识别各种爬行探测程序,只允许正常的搜索引擎爬虫进入,抵御黑客爬行程序于门外,让想通过探测确定攻击目标的黑客彻底无门。

  除此之外,做为一款强大的应用防火墙,Barracuda-NC应用防火墙还有许多应用交付功能:应用数据缓存,数据压缩,TCP连接池,SSL Offloading,7层内容交换负载均衡等等,完全可以替代其他应用层交换设备,做为应用层交换的中流砥柱。

0
相关文章