產品概述

Cisco ACE Web 應用防火墻 (圖 1)是思科應用控制引擎(ACE)產品系列中的最新成員。

許多機構當前都在設法通過實施全新的基于Web的應用、Web 2.0和SOA解決方案，來提高效率和利潤。這些全新的基于Web的服務為客戶、員工和合作伙伴提供了更大的靈活性和交互性。同時，罪犯也在千方百計地找經常存在問題的全新服務中的漏洞，從而進行金融欺詐、身份和數(shù)據(jù)盜竊、拒絕服務攻擊，以及傳播惡意和遠程控制代理軟件。

根據(jù)privacyrights.org的調查結果，自2005年以來，僅在美國就出現(xiàn)了大約2.5億起違規(guī)事件。相應地，在世界各地也不斷涌現(xiàn)了 Sarbanes-Oxley、Graham-Leach-Bliley、HIPAA、PCI、Basel II、EU Data Privacy Regulation、J-SOX和PIPEDA等新興法規(guī)。這些法規(guī)著重保護對敏感信息的訪問、傳輸和存儲，如客戶和員工的個人和財務信息等。

保護消費者的財務和個人信息尤為重要。為了應對越來越多的身份盜竊事件和安全漏洞，大型信用卡公司合作創(chuàng)建了信用卡行業(yè)(PCI)數(shù)據(jù)安全標準(DSS)，對公司存儲和訪問信用卡信息的方式進行了簡化和標準化。

Cisco ACE Web應用防火墻能夠幫助存儲、處理和傳輸信用卡數(shù)據(jù)的機構達到PCI DSS標準的要求。由于它獨特地結合了HTML和XML安全功能，Cisco ACE Web應用防火墻提供了一個完全能夠滿足PCI DSS標準（版本1.1）6.5和6.6章節(jié)中要求的解決方案。

在6.6章節(jié)中還特別指出，任何處理或存儲信用卡信息的機構都必須在2008年6月30日前安裝Web 應用防火墻，以防御在2007年在OWASP排名前10位的攻擊 。

通過對Web應用的深入分析，并與高性能的XML檢測和管理相結合，從而真正地解決與全新Web應用服務有關的各種威脅，Cisco ACE Web應用防火墻能夠完全滿足最新的PCI要求。它能夠保護Web應用不受普通攻擊的影響，如身份盜竊、數(shù)據(jù)盜竊、應用運行中斷、欺騙和目標式攻擊。這些攻擊包括跨站腳本（XSS）攻擊、SQL和命令注入、權限擴大、跨站請求偽造（CSRF）、緩存溢流、cookie竄改和拒絕服務(DoS)攻擊。

Cisco ACE Web應用防火墻的集成XML防火墻功能將對基于HTML的傳統(tǒng)Web應用的保護擴展至現(xiàn)代支持XML的Web服務應用。XML數(shù)據(jù)安全包括XML威脅牽制，如檢驗XML內容，以阻攔您的Web服務應用流量中消息處理策略的違規(guī)行為。

Cisco ACE Web應用防火墻也是一個全面的代理安全解決方案，為請求和響應流量提供了消息級別（message-level）的監(jiān)控功能。因此，它不僅能夠阻攔攻擊，還能保護您的Web應用，使其不受黑客的破壞。通過過濾輸出流量防止泄漏敏感數(shù)據(jù)，如信用卡，以及護照或社會保險號等個人身份號碼，還能實施安全策略。

Cisco ACE Web應用防火墻軟件許可證通過升級，能支持完整的Cisco ACE XML網關軟件，后者為基于XML的軟件應用提供了非常豐富的XML增強性能和管理工具。Cisco ACE XML網關能夠確保在不影響安全、互操作性或可靠性的前提下，使所有XML消息都得以處理。它幫助企業(yè)實現(xiàn)市場上最廣泛的策略控制和端到端的卓越性能，并高效地保護、加速和集成XML Web服務，從而加快客戶產品的面世速度，在業(yè)務競爭中占據(jù)優(yōu)勢。

圖 1. Cisco ACE Web應用防火墻

安全、快速、可靠的HTML和XML應用要求提供有保障的吞吐率、高并發(fā)率、低延遲和對如安全性和可用性的關鍵應用等支持特性。Cisco ACE Web應用防火墻通過下列特性提供了這些優(yōu)勢：

◆為您的定制應用提供了無懈可擊的安全性

◆針對已知惡意模式提供了廣泛的思科驗證簽名

◆了解要過濾的Web應用，只允許合法流量通過

◆人工輔助的自動學習，消除安全配置中的人為猜測因素

Cisco ACE Web應用防火墻在高性能網絡設備上提供了業(yè)界領先的安全處理特性，能夠充分滿足您的開發(fā)和部署需求。無論您是試用方案，或是保護少量Web應用，還是在整個企業(yè)內部署廣泛的Web應用，思科都提供了業(yè)界領先的Web 應用防火墻解決方案，并能夠加以擴展以滿足您的應用安全、可用性和性能要求。

特性和優(yōu)勢

◆大幅度降低關鍵任務應用在代價高昂的Web攻擊下受損的幾率

◆僅用同類產品的一小部分時間和成本即可部署安全的Web項目

◆能夠與SOAP和XML應用共用，因而簡化了后續(xù)Web安全管理

圖2介紹了典型部署，表1概述了Cisco ACE Web應用防火墻的特性和優(yōu)勢。

圖2. Cisco ACE Web應用防火墻部署

【編輯推薦】

1. 如何評價、選擇和實施Web應用防火墻
2. 防火墻加web應用防火墻解決趙明問題