產(chǎn)品概述

Cisco ACE Web 應(yīng)用防火墻 (圖 1)是思科應(yīng)用控制引擎(ACE)產(chǎn)品系列中的最新成員。

許多機(jī)構(gòu)當(dāng)前都在設(shè)法通過(guò)實(shí)施全新的基于Web的應(yīng)用、Web 2.0和SOA解決方案，來(lái)提高效率和利潤(rùn)。這些全新的基于Web的服務(wù)為客戶(hù)、員工和合作伙伴提供了更大的靈活性和交互性。同時(shí)，罪犯也在千方百計(jì)地找經(jīng)常存在問(wèn)題的全新服務(wù)中的漏洞，從而進(jìn)行金融欺詐、身份和數(shù)據(jù)盜竊、拒絕服務(wù)攻擊，以及傳播惡意和遠(yuǎn)程控制代理軟件。

根據(jù)privacyrights.org的調(diào)查結(jié)果，自2005年以來(lái)，僅在美國(guó)就出現(xiàn)了大約2.5億起違規(guī)事件。相應(yīng)地，在世界各地也不斷涌現(xiàn)了 Sarbanes-Oxley、Graham-Leach-Bliley、HIPAA、PCI、Basel II、EU Data Privacy Regulation、J-SOX和PIPEDA等新興法規(guī)。這些法規(guī)著重保護(hù)對(duì)敏感信息的訪(fǎng)問(wèn)、傳輸和存儲(chǔ)，如客戶(hù)和員工的個(gè)人和財(cái)務(wù)信息等。

保護(hù)消費(fèi)者的財(cái)務(wù)和個(gè)人信息尤為重要。為了應(yīng)對(duì)越來(lái)越多的身份盜竊事件和安全漏洞，大型信用卡公司合作創(chuàng)建了信用卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)，對(duì)公司存儲(chǔ)和訪(fǎng)問(wèn)信用卡信息的方式進(jìn)行了簡(jiǎn)化和標(biāo)準(zhǔn)化。

Cisco ACE Web應(yīng)用防火墻能夠幫助存儲(chǔ)、處理和傳輸信用卡數(shù)據(jù)的機(jī)構(gòu)達(dá)到PCI DSS標(biāo)準(zhǔn)的要求。由于它獨(dú)特地結(jié)合了HTML和XML安全功能，Cisco ACE Web應(yīng)用防火墻提供了一個(gè)完全能夠滿(mǎn)足PCI DSS標(biāo)準(zhǔn)（版本1.1）6.5和6.6章節(jié)中要求的解決方案。

在6.6章節(jié)中還特別指出，任何處理或存儲(chǔ)信用卡信息的機(jī)構(gòu)都必須在2008年6月30日前安裝Web 應(yīng)用防火墻，以防御在2007年在OWASP排名前10位的攻擊 。

通過(guò)對(duì)Web應(yīng)用的深入分析，并與高性能的XML檢測(cè)和管理相結(jié)合，從而真正地解決與全新Web應(yīng)用服務(wù)有關(guān)的各種威脅，Cisco ACE Web應(yīng)用防火墻能夠完全滿(mǎn)足最新的PCI要求。它能夠保護(hù)Web應(yīng)用不受普通攻擊的影響，如身份盜竊、數(shù)據(jù)盜竊、應(yīng)用運(yùn)行中斷、欺騙和目標(biāo)式攻擊。這些攻擊包括跨站腳本（XSS）攻擊、SQL和命令注入、權(quán)限擴(kuò)大、跨站請(qǐng)求偽造（CSRF）、緩存溢流、cookie竄改和拒絕服務(wù)(DoS)攻擊。

Cisco ACE Web應(yīng)用防火墻的集成XML防火墻功能將對(duì)基于HTML的傳統(tǒng)Web應(yīng)用的保護(hù)擴(kuò)展至現(xiàn)代支持XML的Web服務(wù)應(yīng)用。XML數(shù)據(jù)安全包括XML威脅牽制，如檢驗(yàn)XML內(nèi)容，以阻攔您的Web服務(wù)應(yīng)用流量中消息處理策略的違規(guī)行為。

Cisco ACE Web應(yīng)用防火墻也是一個(gè)全面的代理安全解決方案，為請(qǐng)求和響應(yīng)流量提供了消息級(jí)別（message-level）的監(jiān)控功能。因此，它不僅能夠阻攔攻擊，還能保護(hù)您的Web應(yīng)用，使其不受黑客的破壞。通過(guò)過(guò)濾輸出流量防止泄漏敏感數(shù)據(jù)，如信用卡，以及護(hù)照或社會(huì)保險(xiǎn)號(hào)等個(gè)人身份號(hào)碼，還能實(shí)施安全策略。

Cisco ACE Web應(yīng)用防火墻軟件許可證通過(guò)升級(jí)，能支持完整的Cisco ACE XML網(wǎng)關(guān)軟件，后者為基于XML的軟件應(yīng)用提供了非常豐富的XML增強(qiáng)性能和管理工具。Cisco ACE XML網(wǎng)關(guān)能夠確保在不影響安全、互操作性或可靠性的前提下，使所有XML消息都得以處理。它幫助企業(yè)實(shí)現(xiàn)市場(chǎng)上最廣泛的策略控制和端到端的卓越性能，并高效地保護(hù)、加速和集成XML Web服務(wù)，從而加快客戶(hù)產(chǎn)品的面世速度，在業(yè)務(wù)競(jìng)爭(zhēng)中占據(jù)優(yōu)勢(shì)。

圖 1. Cisco ACE Web應(yīng)用防火墻

安全、快速、可靠的HTML和XML應(yīng)用要求提供有保障的吞吐率、高并發(fā)率、低延遲和對(duì)如安全性和可用性的關(guān)鍵應(yīng)用等支持特性。Cisco ACE Web應(yīng)用防火墻通過(guò)下列特性提供了這些優(yōu)勢(shì)：

◆為您的定制應(yīng)用提供了無(wú)懈可擊的安全性

◆針對(duì)已知惡意模式提供了廣泛的思科驗(yàn)證簽名

◆了解要過(guò)濾的Web應(yīng)用，只允許合法流量通過(guò)

◆人工輔助的自動(dòng)學(xué)習(xí)，消除安全配置中的人為猜測(cè)因素

Cisco ACE Web應(yīng)用防火墻在高性能網(wǎng)絡(luò)設(shè)備上提供了業(yè)界領(lǐng)先的安全處理特性，能夠充分滿(mǎn)足您的開(kāi)發(fā)和部署需求。無(wú)論您是試用方案，或是保護(hù)少量Web應(yīng)用，還是在整個(gè)企業(yè)內(nèi)部署廣泛的Web應(yīng)用，思科都提供了業(yè)界領(lǐng)先的Web 應(yīng)用防火墻解決方案，并能夠加以擴(kuò)展以滿(mǎn)足您的應(yīng)用安全、可用性和性能要求。

特性和優(yōu)勢(shì)

◆大幅度降低關(guān)鍵任務(wù)應(yīng)用在代價(jià)高昂的Web攻擊下受損的幾率

◆僅用同類(lèi)產(chǎn)品的一小部分時(shí)間和成本即可部署安全的Web項(xiàng)目

◆能夠與SOAP和XML應(yīng)用共用，因而簡(jiǎn)化了后續(xù)Web安全管理

圖2介紹了典型部署，表1概述了Cisco ACE Web應(yīng)用防火墻的特性和優(yōu)勢(shì)。

圖2. Cisco ACE Web應(yīng)用防火墻部署

【編輯推薦】

1. 如何評(píng)價(jià)、選擇和實(shí)施Web應(yīng)用防火墻
2. 防火墻加web應(yīng)用防火墻解決趙明問(wèn)題