Cisco ACE Web应用防火墙

鸿鹄认证

产品概述Cisco ACE Web 应用防火墙 (图 1)是思科应用控制引擎(ACE)产品系列中的最新成员。

                               
登录/注册后可看大图

许多机构当前都在设法通过实施全新的基于Web的应用、Web 2.0和SOA解决方案，来提高效率和利润。这些全新的基于Web的服务为客户、员工和合作伙伴提供了更大的灵活性和交互性。同时，罪犯也在千方百计地找经常存在问题的全新服务中的漏洞，从而进行金融欺诈、身份和数据盗窃、拒绝服务攻击，以及传播恶意和远程控制代理软件。

根据privacyrights.org的调查结果，自2005年以来，仅在美国就出现了大约2.5亿起违规事件。相应地，在世界各地也不断涌现了 Sarbanes-Oxley、Graham-Leach-Bliley、HIPAA、PCI、Basel II、EU Data Privacy Regulation、J-SOX和PIPEDA等新兴法规。这些法规着重保护对敏感信息的访问、传输和存储，如客户和员工的个人和财务信息等。

保护消费者的财务和个人信息尤为重要。为了应对越来越多的身份盗窃事件和安全漏洞，大型信用卡公司合作创建了信用卡行业(PCI)数据安全标准(DSS)，对公司存储和访问信用卡信息的方式进行了简化和标准化。

Cisco ACE Web应用防火墙能够帮助存储、处理和传输信用卡数据的机构达到PCI DSS标准的要求。由于它独特地结合了HTML和XML安全功能，Cisco ACE Web应用防火墙提供了一个完全能够满足PCI DSS标准（版本1.1）6.5和6.6章节中要求的解决方案。

在6.6章节中还特别指出，任何处理或存储信用卡信息的机构都必须在2008年6月30日前安装Web 应用防火墙，以防御在2007年在OWASP排名前10位的攻击 (资料来源：http://www.owasp.org/index.php/Top_10_2007)。

通过对Web应用的深入分析，并与高性能的XML检测和管理相结合，从而真正地解决与全新Web应用服务有关的各种威胁，Cisco ACE Web应用防火墙能够完全满足最新的PCI要求。它能够保护Web应用不受普通攻击的影响，如身份盗窃、数据盗窃、应用运行中断、欺骗和目标式攻击。这些攻击包括跨站脚本（XSS）攻击、SQL和命令注入、权限扩大、跨站请求伪造（CSRF）、缓存溢流、cookie窜改和拒绝服务(DoS)攻击。

Cisco ACE Web应用防火墙的集成XML防火墙功能将对基于HTML的传统Web应用的保护扩展至现代支持XML的Web服务应用。XML数据安全包括XML威胁牵制，如检验XML内容，以阻拦您的Web服务应用流量中消息处理策略的违规行为。

Cisco ACE Web应用防火墙也是一个全面的代理安全解决方案，为请求和响应流量提供了消息级别（message-level）的监控功能。因此，它不仅能够阻拦攻击，还能保护您的Web应用，使其不受黑客的破坏。通过过滤输出流量防止泄漏敏感数据，如信用卡，以及护照或社会保险号等个人身份号码，还能实施安全策略。

Cisco ACE Web应用防火墙软件许可证通过升级，能支持完整的Cisco ACE XML网关软件，后者为基于XML的软件应用提供了非常丰富的XML增强性能和管理工具。Cisco ACE XML网关能够确保在不影响安全、互操作性或可靠性的前提下，使所有XML消息都得以处理。它帮助企业实现市场上最广泛的策略控制和端到端的卓越性能，并高效地保护、加速和集成XML Web服务，从而加快客户产品的面世速度，在业务竞争中占据优势。

图 1. Cisco ACE Web应用防

                               
登录/注册后可看大图

火墙

安全、快速、可靠的HTML和XML应用要求提供有保障的吞吐率、高并发率、低延迟和对如安全性和可用性的关键应用等支持特性。Cisco ACE Web应用防火墙通过下列特性提供了这些优势：

• 为您的定制应用提供了无懈可击的安全性
• 针对已知恶意模式提供了广泛的思科验证签名
• 了解要过滤的Web应用，只允许合法流量通过
• 人工辅助的自动学习，消除安全配置中的人为猜测因素

Cisco ACE Web应用防火墙在高性能网络设备上提供了业界领先的安全处理特性，能够充分满足您的开发和部署需求。无论您是试用方案，或是保护少量Web应用，还是在整个企业内部署广泛的Web应用，思科都提供了业界领先的Web 应用防火墙解决方案，并能够加以扩展以满足您的应用安全、可用性和性能要求。

特性和优势

• 大幅度降低关键任务应用在代价高昂的Web攻击下受损的几率
• 仅用同类产品的一小部分时间和成本即可部署安全的Web项目
• 能够与SOAP和XML应用共用，因而简化了后续Web安全管理

图2介绍了典型部署，表1概述了Cisco ACE Web应用防火墙的特性和优势。

图2. Cisco ACE Web应用防火

                               
登录/注册后可看大图

墙部署


表1. 特性和优势

特性	优势
Web应用安全	利用监控器模式部署支持人工辅助的自动学习 保护应用不受基于Web的HTML和XML威胁的影响 防御身份盗窃、数据盗窃、内容和格式威胁、接入威胁、法规遵从性、传输，以及针对性攻击，如拒绝服务(DoS)攻击 支持用户创建定制规则和签名 提供了一系列预配置规则，能够满足PCI DSS 1.1标准(OWASP Top 10)6.5和6.6章节中的要求
私密性	为了支持应用接入和数据私密性，实施全面的企业级策略控制
加密和标记	防止cookie窜改，保持存储在浏览器cookies中的信息保密性。 提供完全的FIPS法规遵从性，通过始终在平台硬件中存储专用SSL密钥来防御SSL密钥劫持
审计和记录	借助审计和不可否认性的功能满足法规遵从性要求
监控	利用先进的GUI快速调试和监控Web应用 全面的数据统计和报告功能
基于策略的调配和版本修订	利用先进的回滚和版本修订功能，提高开发商生产率和部署灵活性 单击即可关闭针对某些违规行为错误的防火墙规则，快速消除非正常现象。 通过Web GUI 或SSH界面，在网络任意地点进行企业级管理 能够在一个集中策略管理系统中配置安全策略，无需编程
加速和卸载	通过卸载需大量计算的操作，如传输安全和支持HTTP TCP进程重复使用，加速Web和XML应用处理，提高服务器利用率。 能升级至未来的增强功能，无需购买新硬件

  

产品规格表2列出了软件规格，表3列出了Cisco ACE Web应用防火墙的硬件规格。

表2. Cisco ACE Web应用防火墙的产品规格

项目	规格
Web应用安全	完全反向代理 监控器模式部署 缓存溢出控制 HTTP参数操作，协议遵从性 零字节阻拦 输入编码规范化 响应过滤和重写 灵活的防火墙活动 Cookie和进程窜改 跨站点编程（XSS） 命令注入、SQL注入 防止信息泄漏，保护私密性 实施加密功能 应用和服务器错误消息防御 Referrer实施 主动和被动安全模式 定制规则和签名 PCI遵从性简况
输出安全	全面的SSL v2/3支持，带可配置的密码套件 FIPS 140-2 Level 3平台
加密支持	加密算法包括： AES DES 3DES Blowfish RSA Diffie-Helman DSA SHA-1和 MD5
管理	Web用户界面 命令行界面 SSH SNMP RBAC 委派管理 集中策略管理和分布式实施 配置、统计数据和记录的输入和输出
记录、监控和审计	系统日志、消息和事件记录 流量和服务水平协议(SLA)监控和报告 用于监控、各种告警和触发的统计数据 管理操作的审计跟踪

  

表3. 产品规格：Cisco ACE Web应用防火墙硬件

项目	规格
机箱	尺寸 1RU标准机架安装：1.70 x 16.78 x 27.75英寸(4.32 x 42.62 x 70.49厘米) 重量 37磅(16.8公斤)全配置(每个设备，不包括包装运输材料)
处理器	2个Intel双核Xeon处理器
硬件加速器	以下之一： 1个遵从FIPS 140-2 Level 3的4,000 SSL TPS 1个不遵从FIPS (14,000 SSL TPS )
端口	4个千兆以太网端口，以及1个专用熄灯式管理以太网端口
内存	4 GB固定RAM
存储	两个热插拔串行连接SCSI硬盘驱动器（SAS HDD），带RAID (20GB可用)
电源	两个冗余电源；700瓦（W）