应用网络服务

Cisco ACE Web应用防火墙

Downloads

产品概述

Cisco ACE Web 应用防火墙 (图 1)是思科应用控制引擎(ACE)产品系列中的最新成员。


许多机构当前都在设法通过实施全新的基于Web的应用、Web 2.0和SOA解决方案,来提高效率和利润。这些全新的基于Web的服务为客户、员工和合作伙伴提供了更大的灵活性和交互性。同时,罪犯也在千方百计地找经常存在问题的全新服务中的漏洞,从而进行金融欺诈、身份和数据盗窃、拒绝服务攻击,以及传播恶意和远程控制代理软件。


根据privacyrights.org的调查结果,自2005年以来,仅在美国就出现了大约2.5亿起违规事件。相应地,在世界各地也不断涌现了 Sarbanes-Oxley、Graham-Leach-Bliley、HIPAA、PCI、Basel II、EU Data Privacy Regulation、J-SOX和PIPEDA等新兴法规。这些法规着重保护对敏感信息的访问、传输和存储,如客户和员工的个人和财务信息等。


保护消费者的财务和个人信息尤为重要。为了应对越来越多的身份盗窃事件和安全漏洞,大型信用卡公司合作创建了信用卡行业(PCI)数据安全标准(DSS),对公司存储和访问信用卡信息的方式进行了简化和标准化。


Cisco ACE Web应用防火墙能够帮助存储、处理和传输信用卡数据的机构达到PCI DSS标准的要求。由于它独特地结合了HTML和XML安全功能,Cisco ACE Web应用防火墙提供了一个完全能够满足PCI DSS标准(版本1.1)6.5和6.6章节中要求的解决方案。


在6.6章节中还特别指出,任何处理或存储信用卡信息的机构都必须在2008年6月30日前安装Web 应用防火墙,以防御在2007年在OWASP排名前10位的攻击 (资料来源:http://www.owasp.org/index.php/Top_10_2007)。


通过对Web应用的深入分析,并与高性能的XML检测和管理相结合,从而真正地解决与全新Web应用服务有关的各种威胁,Cisco ACE Web应用防火墙能够完全满足最新的PCI要求。它能够保护Web应用不受普通攻击的影响,如身份盗窃、数据盗窃、应用运行中断、欺骗和目标式攻击。这些攻击包括跨站脚本(XSS)攻击、SQL和命令注入、权限扩大、跨站请求伪造(CSRF)、缓存溢流、cookie窜改和拒绝服务(DoS)攻击。


Cisco ACE Web应用防火墙的集成XML防火墙功能将对基于HTML的传统Web应用的保护扩展至现代支持XML的Web服务应用。XML数据安全包括XML威胁牵制,如检验XML内容,以阻拦您的Web服务应用流量中消息处理策略的违规行为。


Cisco ACE Web应用防火墙也是一个全面的代理安全解决方案,为请求和响应流量提供了消息级别(message-level)的监控功能。因此,它不仅能够阻拦攻击,还能保护您的Web应用,使其不受黑客的破坏。通过过滤输出流量防止泄漏敏感数据,如信用卡,以及护照或社会保险号等个人身份号码,还能实施安全策略。


Cisco ACE Web应用防火墙软件许可证通过升级,能支持完整的Cisco ACE XML网关软件,后者为基于XML的软件应用提供了非常丰富的XML增强性能和管理工具。Cisco ACE XML网关能够确保在不影响安全、互操作性或可靠性的前提下,使所有XML消息都得以处理。它帮助企业实现市场上最广泛的策略控制和端到端的卓越性能,并高效地保护、加速和集成XML Web服务,从而加快客户产品的面世速度,在业务竞争中占据优势。


图 1. Cisco ACE Web应用防火墙


安全、快速、可靠的HTML和XML应用要求提供有保障的吞吐率、高并发率、低延迟和对如安全性和可用性的关键应用等支持特性。Cisco ACE Web应用防火墙通过下列特性提供了这些优势:

  • 为您的定制应用提供了无懈可击的安全性
  • 针对已知恶意模式提供了广泛的思科验证签名
  • 了解要过滤的Web应用,只允许合法流量通过
  • 人工辅助的自动学习,消除安全配置中的人为猜测因素


Cisco ACE Web应用防火墙在高性能网络设备上提供了业界领先的安全处理特性,能够充分满足您的开发和部署需求。无论您是试用方案,或是保护少量Web应用,还是在整个企业内部署广泛的Web应用,思科都提供了业界领先的Web 应用防火墙解决方案,并能够加以扩展以满足您的应用安全、可用性和性能要求。


特性和优势

  • 大幅度降低关键任务应用在代价高昂的Web攻击下受损的几率
  • 仅用同类产品的一小部分时间和成本即可部署安全的Web项目
  • 能够与SOAP和XML应用共用,因而简化了后续Web安全管理

图2介绍了典型部署,表1概述了Cisco ACE Web应用防火墙的特性和优势。


图2. Cisco ACE Web应用防火墙部署



表1. 特性和优势


特性 优势
Web应用安全
  • 利用监控器模式部署支持人工辅助的自动学习

  • 保护应用不受基于Web的HTML和XML威胁的影响

  • 防御身份盗窃、数据盗窃、内容和格式威胁、接入威胁、法规遵从性、传输,以及针对性攻击,如拒绝服务(DoS)攻击

  • 支持用户创建定制规则和签名

  • 提供了一系列预配置规则,能够满足PCI DSS 1.1标准(OWASP Top 10)6.5和6.6章节中的要求

私密性
  • 为了支持应用接入和数据私密性,实施全面的企业级策略控制

加密和标记
  • 防止cookie窜改,保持存储在浏览器cookies中的信息保密性。

  • 提供完全的FIPS法规遵从性,通过始终在平台硬件中存储专用SSL密钥来防御SSL密钥劫持

审计和记录
  • 借助审计和不可否认性的功能满足法规遵从性要求

监控
  • 利用先进的GUI快速调试和监控Web应用

  • 全面的数据统计和报告功能

基于策略的调配和版本修订

  • 利用先进的回滚和版本修订功能,提高开发商生产率和部署灵活性

  • 单击即可关闭针对某些违规行为错误的防火墙规则,快速消除非正常现象。

  • 通过Web GUI 或SSH界面,在网络任意地点进行企业级管理

  • 能够在一个集中策略管理系统中配置安全策略,无需编程

加速和卸载

  • 通过卸载需大量计算的操作,如传输安全和支持HTTP TCP进程重复使用,加速Web和XML应用处理,提高服务器利用率。

  • 能升级至未来的增强功能,无需购买新硬件


产品规格

表2列出了软件规格,表3列出了Cisco ACE Web应用防火墙的硬件规格。


表2. Cisco ACE Web应用防火墙的产品规格


项目 规格
Web应用安全
  • 完全反向代理

  • 监控器模式部署

  • 缓存溢出控制

  • HTTP参数操作,协议遵从性

  • 零字节阻拦

  • 输入编码规范化

  • 响应过滤和重写

  • 灵活的防火墙活动

  • Cookie和进程窜改

  • 跨站点编程(XSS)

  • 命令注入、SQL注入

  • 防止信息泄漏,保护私密性

  • 实施加密功能

  • 应用和服务器错误消息防御

  • Referrer实施

  • 主动和被动安全模式

  • 定制规则和签名

  • PCI遵从性简况

输出安全

  • 全面的SSL v2/3支持,带可配置的密码套件

  • FIPS 140-2 Level 3平台

加密支持

  • 加密算法包括:

  • AES

  • DES

  • 3DES

  • Blowfish

  • RSA

  • Diffie-Helman

  • DSA

  • SHA-1和 MD5

管理

  • Web用户界面

  • 命令行界面

  • SSH

  • SNMP

  • RBAC

  • 委派管理

  • 集中策略管理和分布式实施

  • 配置、统计数据和记录的输入和输出

记录、监控和审计

  • 系统日志、消息和事件记录

  • 流量和服务水平协议(SLA)监控和报告

  • 用于监控、各种告警和触发的统计数据

  • 管理操作的审计跟踪


表3. 产品规格:Cisco ACE Web应用防火墙硬件


项目 规格
机箱

尺寸

  • 1RU标准机架安装:1.70 x 16.78 x 27.75英寸(4.32 x 42.62 x 70.49厘米)

重量

  • 37磅(16.8公斤)全配置(每个设备,不包括包装运输材料)

处理器
  • 2个Intel双核Xeon处理器

硬件加速器

以下之一:

  • 1个遵从FIPS 140-2 Level 3的4,000 SSL TPS

  • 1个不遵从FIPS (14,000 SSL TPS )

端口
  • 4个千兆以太网端口,以及1个专用熄灯式管理以太网端口

内存
  • 4 GB固定RAM

存储
  • 两个热插拔串行连接SCSI硬盘驱动器(SAS HDD),带RAID (20GB可用)

电源
  • 两个冗余电源;700瓦(W)


思科服务和支持

思科采用了生命周期服务方式,和合作伙伴一起提供广泛的安全服务系列,以便企业能够设计、部署、运行和优化网络平台,防御关键业务流程免遭攻击和中断、保护私密性,并支持政策和法规遵从性管理能力。


思科服务能够帮助您保护网络投资、优化网络运行,让您的网络为新的应用做好充分的准备,从而拓展网络所带来的优势并增强您的业务。思科服务包括:

  • Cisco Security Center提供早期告警智能化威胁和漏洞分析、Cisco IPS签名和牵制技术等的一站式购物。请访问并收藏Cisco Security Center,网址为www.cisco.com/security
  • Cisco Security Intellishield Alert Manager Service提供了可定制的Web威胁和漏洞告警服务,使机构能轻松、及时、准确、可信地访问有关其环境中潜在漏洞的信息。
  • 思科安全优化服务:网络基础设施日益成为灵活业务的基础。思科安全优化服务支持安全系统的持续发展,能够通过结合规划和评估、设计、性能调整以及对于系统更改的后续支持,来应对不断变化的安全威胁。此服务有助于将安全性集成到核心网络基础设施中。
  • Cisco SMARTnet服务使企业能随时直接联系思科工程师、和屡获大奖的在线支持中心,获得针对选定设备诊断以及重要的硬件更换选项,来迅速解决问题。
  • 思科软件应用支持服务和升级[SASU],能确保CSA可用性、功能性和可靠性,可全天候获得技术支持、软件更新和主要升级


联系我们