部署方式
我们建议采用网关模式部署,Astaro Web防火墙工作在网关模式,作为一台Reverse Proxy对内部的Web服务器提供防御。
网关模式对内部网络IP地址的要求
用户必须将Web服务器使用的公网IP地址配置在Astaro Web防火墙的外部接口,然后修改Web服务器的IP地址为某私有IP地址。
Astaro Web防火墙处理通讯的过程
Internet用户对Web服务器的通讯,首先经过DNS域名解析得到Astaro Web防火墙的外口IP地址,然后与Astaro Web防火墙建立通讯连接。Astaro Web防火墙与内部Web服务器再建立通讯连接。
对比网桥部署模式的优势
使用网桥模式的设备一般按透明部署,即用户不需要修改内部Web服务器的IP地址,使用上感觉非常简便。但是如果从Internet上对Web服务器发起对HTTP协议的扫描 时,可以得到Web服务器所运行的操作系统信息。一旦得到了Web服务器所运行的操作系统及其使用的Web应用程序时,黑客有可以利用这些系统及应用程序已知的漏洞库进行攻击。尽管这样的Web防火墙可以对攻击进行拦截,但是这样暴露Web服务器的信息依然是不安全的做法。
Astaro Web防火墙采用Reverse Proxy的运行模式,以网关的形式部署在Web服务器前端。对网站的HTTP协议扫描,将扫描到Astaro Web防火墙内置的Web服务器信息,而不是用户的真正Web服务器信息。Astaor Web防火墙内置的Web服务器的安全性由Astaro公司来保障,我们会通过Up2Date的升级服务,及时地更新设备Web服务器的安全。而用户自己的Web服务器很难做到及时的系统升级。
Astaro Web防火墙的主要功能
· SQL注入防御
o 防止黑客利用SQL注入获取未授权信息,例如管理员帐户及密码,从而获得网站管理权并对网站内容进行修改
· 跨站脚本攻击防御
o 防止黑客提交非法脚本,其他用户浏览时盗取用户帐号等信息
· Reverse Proxy
o 实现对HTTP和HTTPS协议的路由及分析控制
o 实现HTTP和HTTPS协议间的转换
o Web通讯的负载均衡
· 对Web通讯中的上传或下载附件进行病毒扫描
· URL强化管理
o 允许管理员定义哪些URL可以访问或禁止访问
o 防止浏览者肆意探测网站结构
· Cookie保护
o 对Cookie进行数字签名,防止黑客篡改Cookie内容
· 防病毒系统
o 防止黑客通过页面提交含有病毒、木马、间谍软件等恶意代码的文件
o 防止浏览者下载到含有病毒、木马、间谍软件等恶意代码的文件
· 专业的数据包过滤状态检测防火墙系统
o 实现通讯IP地址控制
o 实现通讯端口控制
o 实现地址转换功能
· 实时的攻击特征库升级
Bypass功能与HA的对比
很多用户希望Web防火墙具有Bypass功能,这些用户的担心是一旦部署在Web服务器前端的Web防火墙故障,那么数据流可以通过Bypass功能穿过或绕过故障设备,到达Web服务器,最终的目的是Web服务器依然可以被访问到,不会造成业务的中断。
用户的担心我们是可以理解的,但从一个负责任的安全厂商或安全服务商的角度出发,Bypass功能是必须谨慎使用的。作为安全产品,其设计的目的就是在第一线拦截攻击并保护内部服务器,因此不能因为各种原因而将用户的服务器暴露在Internet上,造成用户Web服务器中的数据丢失。所以,Astaro公司没有在自己的硬件产品线上选择支持Bypass功能的硬件系统。
为了满足用户合理的通讯要求,Astaro公司为用户提供设备双机热备份(HA)的解决方案。即用户可以部署2台Astaro Web防火墙作网关,并以双机热备份的形式运行。这样当主设备应某种原因造成宕机时,从属设备可以立刻接管全部的工作,保证原有会话不会中断。对于Internet上的用户来说,感觉不到Web服务的中断。这样的HA设计,完全可以满足用户对Web业务高可靠性的要求。
ASG 525的冗余设计
· ASG 525采用双冗余电源设计,为设备供电提供保障;
· ASG 525采用双冗余硬盘设计,为设备存储日志数据提供保障;
· ASG 525采用多冗余散热风扇设计,为设备散热降温提供保障;
· ASG 525支持HA模式,为网关级别的高可靠性提供保障;
· ASG 525在构建HA模式时,用户只需要购买同型号的2台硬件设备,并同时购买一套安全模块就可以实现HA组网,2台设备都具有硬件保修服务,在今后的安全模块续费时,也只需为这一套安全模块购买服务,同样的,2台设备都相应享受硬件保修;对比其他竞争对手,他们必须在购买2台硬件设备做HA的同时,一并购买2套安全模块,而在今后的硬件设备续保方面,也必须同时为2台设备购买硬件保修。