【IT168 其他】SSL/TLS一直以来都被大量的网络攻击包围着。自2009年开始,每年SSL/TLS都会被发现至少2种严重漏洞。比如我们看到的边带信道攻击,降级攻击,协议及执行漏洞,还有广为人知的Heartbleed漏洞,CRIME, BREACH, POODLE和幸运13等。基于这些问题,近日梭子鱼发布了增强版梭子鱼Web应用防火墙,为系统管理提供额外的管控。
增强版的梭子鱼Web应用防火墙,能够在检测到系统使用被禁用的SSL/TLS协议版本或者加密算法集时,将请求重定向到一个指定的错误页面,同时允许管理员为每一版SSL/TLS协议重新定义加密算法组。
基于协议的重定向
当客户端尝试使用不支持的SSL/TLS协议版本或者不支持的加密算法进行初始化连接时,梭子鱼Web应用防火墙会在自身的连接初步协商阶段中终止该连接。最后的错误页面会显示为一个通用连接失败的错误,导致产生调试这些错误的附加工作,其中就包含浏览日志及复制等。在最新的执行功能中,梭子鱼Web应用防火墙在最初的连接协商阶段就验证了协议和加密组件,如果客户正在使用较旧版本或不支持的协议版本和加密算法,梭子鱼Web应用防火墙会终止该连接并重新引导用户进入一个自定义错误页面。该错误页面能配置到带有特殊信息来体现连接终止的确切原因,从而简化排错流程。这个功能的配置非常简单,同时管理员还可以创建自定义错误页面,并利用他们自定义错误信息。
为了实现这个重定向功能的正常使用,需要在梭子鱼Web应用防火墙上启用被重定向的协议版本。比如,如果使用SSLv3的请求需要被重定向,需要在梭子鱼Web应用防火墙上启用SSLv3并配置在Allow/Deny规则中。如果协议没有被启用,该连接会直接终止并不再发生重定向。
协议特定的加密算法集重载
在早期版本中,梭子鱼Web应用防火墙的加密组件重载列表是一个全局的列表,加密组件的重载会被配置到所有已经启用的协议中。对于那些需要将特定的加密协议和特定算法组合使用的情况,梭子鱼Web应用防护墙现已兼容基于特定协议版本的加密组重载配置。为任意一个协议配置另外的加密组件重载。
重载的加密配置是全局性的,它能应用到每一个可以在梭子鱼Web应用防火墙中实现的协议。完成配置后,针对SSLv3,TLS1.0 和TLS1.1的重载加密配置就可以进行应用。当这些特定协议的加密重载配置成功后,只有该协议特定的加密算法集才会被使用。因此,全局重写将被应用到TLS1.2和没有被选择的特定加密组的协议中。
简化安全管理
梭子鱼全线产品都秉承着同一个设计理念,就是为客户简化IT。在梭子鱼Web应用防火墙的帮助下,企业将轻松便捷地精密控制不同层级的安全和加密,无需在应用中进行任何复杂的变动。同样,梭子鱼Web应用防火墙提供灵活性和精密控制使得更多企业采用并改进了他们的安全,同时适应了如何规避最新的和非人为管控的威胁和风险。