網站應用安全

【Armorize(阿碼科技)-SmartWAF網站應用程式防火牆】

---

 

      SmartWAF™是主機式網站應用程式防火牆(Web Application Firewall)，簡稱WAF，可以直接安裝於Windows或UNIX作業系統的網站主機，或者安裝於網路閘道的快取伺服器 (Proxy Server) 或防火牆如ISA Server之上。幫助企業阻擋針對網站應用程式的各種攻擊，是下一代邊界防火牆的最新應用。SmartWAF™可以直接與現有Web 伺服器整合，如IIS、Apache，亦可安裝於安全閘道，如Microsoft IAG及網路防火牆之上。SmartWAF™的特色在於提供絕佳的可擴充性，可以取代硬體式防火牆所造成的流量瓶頸與單點失效的問題。SmartWAF™ 同時提供易於操作的管理介面與設定精靈，並可以整合阿碼科技CodeSecure™源碼分析平台，將出現有網站安全漏洞的網頁，用SmartWAF™先行防禦。同時可以透過阿碼科技HackAlert™惡意程式監控服務，從外部24小時持續監控網站安全。

　

 為何需要網站應用程式防火牆?

     網路與系統安全保護不等同於網站應用程式的安全。傳統網路安全或邊界安全(perimeter security)科技只防守網路層與傳輸層的攻擊，然而對於新一代網站應用程式的攻擊手法，如Cross Site Scripting(XSS)或SQL Injection，對網路安全設備而言卻無能為力。這些攻擊手法對商業營運產生衝擊，造成作業錯誤、公司財務損失、客戶資料外洩的法律責任與難以衡量的商譽損失。

    線上服務的風險越來越大，不論在產品銷售或服務提供，一旦決定要搭上Web2.0網際網路的列車，享受其便利性及無遠弗屆的爆發力之時，商業網站就得面對成為網站應用程式攻擊目標的風險，常見的攻擊如資料隱碼(SQL injection)、跨網站腳本(XSS, Cross Site Scripting)與連線劫持(session hijacking)等。

 彈性化佈署:

     SmartWAF™主機式應用防火牆可以彈性地以軟體方式佈署於網站伺服器、逆向快取伺服器(reverse proxy)或是安全閘道上，成本較低廉而不像網路式WAF佈署限制極高。
     SmartWAF™ 可安裝於外部火牆與信任網段之間，以提供對外網站的保護。與閘道式WAF的差異在於閘道式WAF會變成網路流量的瓶頸與發生單點失效的機會大增，一旦網站架構複雜度提升，便需要更多的規則設定來處理多個網站的需求，效能上就沒有辦法提供可接受的回應時間，而造成新的流量瓶頸，當閘道式WAF發生問題時，所有網站伺服器都會受到影響。使用SmartWAF™，以軟體方式安裝於網站伺服器，提供高擴充性的網站安全防護，亦不會有流量瓶頸與發生單點錯誤而造成整個企業網站停擺等問題。

 SmartWAF™ 系統架構:

SmartWAF™可以整合IIS、Apache或 Java-based的網站伺服器，同時
支援 Windows 與多種 UNIX平台，有三大主要系統元件：
•攔截模組：捕捉每個HTTP Request封包且傳遞至Decider進行分析。
•判斷模組：評估判斷HTTP封包是否符合規則(Rule set)，產生稽核記錄與統計資訊。
•管理介面：提供易於使用的網頁式使用者介面，可以同時管理一台或多台使用SmartWAF™的網站伺服器，產生安全管理與存取記錄統計資訊。
    SmartWAF™ 可以輕鬆設定阻擋常見的網站攻擊手法，包含資料隱碼(SQL Injection)、跨網站腳本(Cross Site Scripting)、HTTP Response Splitting、Application Fingerprinting、Directory Indexing、 Session Fixation、 Content Spoofing 及Web Server Fingerprinting。

 SmartWAF™管理功能:

     提供直覺化的網頁管理介面，對於管理者而言可以輕易地完成組態與安全功能設定。在基本模式(Basic Mode)中，提供漸進式的
操作精靈(Wizards)；專家模式(Expert Mode)則提供許多可以手動修改的規則參數，可針對特定的網站應用程是弱點做客製化管
理，可以套用在所有群組中，亦可指定特殊應用程式才開啟特殊的規則。

　

     SmartWAF™提供叢集式管理(cluster management)，達成集中組態管理及透過單一管理介面可同時管理多台網站伺服器上的SmartWAF™。規則管理可選擇套用範圍，記錄規則組態歷史變動，並提供"即刻回復"(Rollbacks)功能，以符合未來稽核及組態管理需求。

 整合CodeSecure™與HackAlert™:

     SmartWAF™可以整合阿碼科技的CodeSecure™與HackAlert™，先找出現有網站存在的弱點與問題網頁，並立即運用SmartWAF™阻擋可利用該網頁弱點之攻擊手法，一方面完整保障網站安全，一方面可優先處理針對弱點而來的攻擊，使SmartWAF™效率大幅提昇。

 報表及稽核記錄分析功能:

     SmartWAF™提供多種報表選擇，可協助落實法規遵循與合約履行，這些功能可以協助分析網站攻擊原因，改善網站安全。

• 統計圖報表可以根據時間與不同用戶，顯示成功與拒絕的網站存取行為分佈。
• 稽核記錄(Log)可查詢特定主機事件與錯誤訊息，顯示所有安全相關的變更記錄。
• 預設的錯誤訊息記錄顯示非法的存取或異常的網站使用行為。

 資安預算投資最佳化:

      SmartWAF™透過獨特的佈署策略使資安預算投資最佳化。網路閘道式的網站應用程式防火牆(NWAF)初次建置成本極高，在佈署上必須做額外的調整，使得網站伺服器的複雜度升高，附加的網路瓶頸需要更多維護效能與備援的成本。SmartWAF™以軟體方式安裝在每一台網站伺服器，隨網站架構大小得以最低的成本進行防護。