产品概述
Cisco ACE Web 应用防火墙 (图 1)是思科应用控制引擎(ACE)产品系列中的最新成员。
许多机构当前都在设法通过实施全新的基于Web的应用、Web 2.0和SOA解决方案,来提高效率和利润。这些全新的基于Web的服务为客户、员工和合作伙伴提供了更大的灵活性和交互性。同时,罪犯也在千方百计地找经常存在问题的全新服务中的漏洞,从而进行金融欺诈、身份和数据盗窃、拒绝服务攻击,以及传播恶意和远程控制代理软件。
根据privacyrights.org的调查结果,自2005年以来,仅在美国就出现了大约2.5亿起违规事件。相应地,在世界各地也不断涌现了 Sarbanes-Oxley、Graham-Leach-Bliley、HIPAA、PCI、Basel II、EU Data Privacy Regulation、J-SOX和PIPEDA等新兴法规。这些法规着重保护对敏感信息的访问、传输和存储,如客户和员工的个人和财务信息等。
保护消费者的财务和个人信息尤为重要。为了应对越来越多的身份盗窃事件和安全漏洞,大型信用卡公司合作创建了信用卡行业(PCI)数据安全标准(DSS),对公司存储和访问信用卡信息的方式进行了简化和标准化。
Cisco ACE Web应用防火墙能够帮助存储、处理和传输信用卡数据的机构达到PCI DSS标准的要求。由于它独特地结合了HTML和XML安全功能,Cisco ACE Web应用防火墙提供了一个完全能够满足PCI DSS标准(版本1.1)6.5和6.6章节中要求的解决方案。
在6.6章节中还特别指出,任何处理或存储信用卡信息的机构都必须在2008年6月30日前安装Web 应用防火墙,以防御在2007年在OWASP排名前10位的攻击 。
通过对Web应用的深入分析,并与高性能的XML检测和管理相结合,从而真正地解决与全新Web应用服务有关的各种威胁,Cisco ACE Web应用防火墙能够完全满足最新的PCI要求。它能够保护Web应用不受普通攻击的影响,如身份盗窃、数据盗窃、应用运行中断、欺骗和目标式攻击。这些攻击包括跨站脚本(XSS)攻击、SQL和命令注入、权限扩大、跨站请求伪造(CSRF)、缓存溢流、cookie窜改和拒绝服务(DoS)攻击。
Cisco ACE Web应用防火墙的集成XML防火墙功能将对基于HTML的传统Web应用的保护扩展至现代支持XML的Web服务应用。XML数据安全包括XML威胁牵制,如检验XML内容,以阻拦您的Web服务应用流量中消息处理策略的违规行为。
Cisco ACE Web应用防火墙也是一个全面的代理安全解决方案,为请求和响应流量提供了消息级别(message-level)的监控功能。因此,它不仅能够阻拦攻击,还能保护您的Web应用,使其不受黑客的破坏。通过过滤输出流量防止泄漏敏感数据,如信用卡,以及护照或社会保险号等个人身份号码,还能实施安全策略。
Cisco ACE Web应用防火墙软件许可证通过升级,能支持完整的Cisco ACE XML网关软件,后者为基于XML的软件应用提供了非常丰富的XML增强性能和管理工具。Cisco ACE XML网关能够确保在不影响安全、互操作性或可靠性的前提下,使所有XML消息都得以处理。它帮助企业实现市场上最广泛的策略控制和端到端的卓越性能,并高效地保护、加速和集成XML Web服务,从而加快客户产品的面世速度,在业务竞争中占据优势。
图 1. Cisco ACE Web应用防火墙
安全、快速、可靠的HTML和XML应用要求提供有保障的吞吐率、高并发率、低延迟和对如安全性和可用性的关键应用等支持特性。Cisco ACE Web应用防火墙通过下列特性提供了这些优势:
◆为您的定制应用提供了无懈可击的安全性
◆针对已知恶意模式提供了广泛的思科验证签名
◆了解要过滤的Web应用,只允许合法流量通过
◆人工辅助的自动学习,消除安全配置中的人为猜测因素
Cisco ACE Web应用防火墙在高性能网络设备上提供了业界领先的安全处理特性,能够充分满足您的开发和部署需求。无论您是试用方案,或是保护少量Web应用,还是在整个企业内部署广泛的Web应用,思科都提供了业界领先的Web 应用防火墙解决方案,并能够加以扩展以满足您的应用安全、可用性和性能要求。
特性和优势
◆大幅度降低关键任务应用在代价高昂的Web攻击下受损的几率
◆仅用同类产品的一小部分时间和成本即可部署安全的Web项目
◆能够与SOAP和XML应用共用,因而简化了后续Web安全管理
图2介绍了典型部署,表1概述了Cisco ACE Web应用防火墙的特性和优势。
图2. Cisco ACE Web应用防火墙部署
【编辑推荐】