360460660860960
-效能-
後端伺服器數量1-55-10 10-2525-150150-300
網頁流量處理效能25 Mbps50 Mbps200 Mbps1 Gbps5 Gbps
HTTP Transactions/sec8,00015,00030,00090,000180,000
SSL Transactions/sec2,5004,00012,00030,00050,000
-硬體-
機架規格1U Mini1U Mini1U Full Size2U Full Size2U Full Sizec
網路介面-乙太網路埠2x10/1002xGbE2xGbE2xGbE2x10GbE
光纖埠2xGbE2xGbE
管理埠1x10/1001x10/1001x10/100/10001x10/100/10001x10/100/1000
-特色-
HTTP/HTTPS/FTP協定
抵擋常見攻擊
Form Field Meta Data檢核
網站偽裝
回應控制
防護外洩資料竊取
HTML元件進階政策設定
通訊協定限制檢查
檔案上傳控制
紀錄、控制與報表
HA備援架構
SSL offloading
認證與授權
整合LDAP與RADIUS
負載平衡
內容型態分配傳輸
XML防火牆
URL加密

全面性的網站安全防護

隨著企業網站日益複雜的應用,在數千行到數萬行的程式碼檢查中 – 漏洞常常是非常細微的,而且很難找到 – 嚴重的資料洩露往往第一個跡象是一個Web應用程序有問題。Barracuda Web Application Firewall (WAF)自2008年上巿以來,已經防護了數以千計的網頁應用,阻擋了超過110億次的攻擊行為,是企業及各型組識尋求網頁應用程序數據防護及網頁置換攻擊最理想的解決方案。在Barracuda Web Application Firewall (WAF)的防護下,網站管理員不需要耗時等待乾淨的程式碼修復,甚至即使不知道自家的網頁應用程序是如何運作的,都一樣可以確保網頁應用程序的安全。不論是硬體設備或是虛擬設備;部署在企業內部或是雲端,Barracuda網頁應用防火牆都可以提供強大的安全性及可靠性來協助企業或組識確保網頁的應用安全。
產品效益

持續防護來自不斷變化的威脅
Barracuda Web Application Firewall (WAF)提供卓越的防護技術,防止資料洩漏、應用層DDoS攻擊和已知及以前未知的零時差應用層攻擊模式。隨著新型態的威脅出現,Barracuda Web Application Firewall (WAF)將獲取新的防護功能來阻止新型態的威脅。這些威脅定義檔將自動更新和自動進行虛擬修復程序,確保關鍵應用程式在任何時候於最高安全狀態。這大大減少了弱點揭露和弱點修復之間的時間。

進階身分認證和存取管理
Barracuda Web Application Firewall (WAF)具備強大的認證和存取控制功能,透過限制授權用戶訪問敏感的應用程式和資料,來確保安全與隱私。在充許存取關鍵網路應用程式之前,結合身分認證和預認證機制管理。用戶存取控制可以從單一綜合設備上的多個應用程式被轉移。詳細的審查日誌記錄提供了所有受保護的應用程式,清楚地了解用戶活動行為。

直覺化的管理與經營
Barracuda Web Application Firewall (WAF)的目的是提供即時安全防護,
90%以上的用戶在部署不到一周的時間主動防護系統。整合最優秀的安全工具保證很容易地部署在現有環境,同時提供詳細的日誌記錄、警告和管理報告、符合規則或預警偵測。Barracuda Web Application Firewall (WAF)可以部署在高可用度叢集中,以回應故障發生提供足夠時間和無縫故障切換功能,從而確保最大應用正常運作。
公有和私有雲可擴展安全
現今雲端運算已經成為一個大多數企業IT界”必須擁有”,其原因從經濟效益到技術優勢。但主要問題之一,自傳統IT過度執行資料和應用程式安全並沒有改變,並且需要相同審查在雲端與內部部署解決方案。幸運的是,Barracuda Web Application Firewall (WAF)可以很容易的置入到私有雲環境,以及第三方雲端平台,如Microsoft Azure或Amazon。

產品特色

應用層攻擊及DDoS防護

Barracuda Web應用防火牆對針對性攻擊和自動攻擊提供了強大的阻擋能力。OWASP十大攻擊類別中,例如SQL注入(SQL Injections)和跨站腳本Cross-Site Scripting(XSS)都可以自動識別並且記錄。管理人員可以有能力透過精細的設定來執行封鎖、限縮、重新導向等等…來回應這些攻擊行為。

先進的DDoS防護功能,可以讓管理員透過使用啟發式指紋識別(heuristic fingerprinting)和IP信譽分析(IP reputation)來區分殭屍網絡和真實用戶,從而使他們能夠封鎖,限縮,或分析可疑流量。Barracuda Web應用防火牆是業界唯一提供完整的IP信譽智能分析的產品,結合即時的情境見解分析和歷史智慧來防護並阻擋應用層的DDoS攻擊;同時運用多種風險評估技術,例如應用程序為中心的起始值(application-centric thresholds),協定檢查(protocol checks),會話的完整性(session integrity),主動和被動用戶的盤查(active and passive client challenges),歷史信譽的客戶端黑名單(historical client reputation blacklists),地理位置(geo-location),和異常閒置時間檢測(anomalous idle-time detection)。

自動學習特徵

管理人員可以建立一個信任的主機類別,透過網路流量的採樣分析讓系統自動學習特徵。一旦啟用,管理者可以從學習到的信任分類中,針對應用程序敏感的部份執行精細的白名單規則,這可以大大的降低網路攻擊的風險,同時透過限制輸入部份必須符合最嚴格的輸入標準,有助於防止零時差漏洞所造成的威脅。

服務器隱蔽

通常情況下任何針對性的攻擊的第一步是探索公開網站的應用程序,了解底層的伺服器,資料庫和操作系統等詳細訊息。服務器隱蔽可以有效抑制- 伺服器banner資訊、網頁錯誤訊息、HTTP表頭、網頁回傳代碼、debug資訊或後端的IP地址等資訊洩漏給一個潛在的攻擊者,阻止受保護應用程序的攻擊偵察。無法得知目標底層架構中的任何細節,就很難執行攻擊,從而減少被突破的風險。

保護Mobile應用,REST API和AJAX

Mobile應用程式和REST API現今非常依賴JSON(JavaScript Object Notation)來做資料交換。然而,這也打開一個全新的攻擊面,這是經常被忽略,而且透過傳統的掃描測試或滲透測試方法難以保護的。Barracuda Web應用防火牆可以針對Mobile應用程式和REST API進行全方位的保護,可以在和JSON payloads的請求中過濾惡意的輸入,有助於確保API SLAs夥伴關係,並提供了防止網址嫁接(Anti-Pharming)保護;而使用JSON的AJAX互動式Web應用程式也同樣可以受到保護。

XML防火牆

建構在XML格式上的應用程式,現在也可以由XML防火牆提供防護,可以保護應用程式抵擋schema 及WSDL poisoning, highly-nested elements, recursive parsing, 和其它 XML的攻擊,這可以確保用戶端和應用程式之間或者不同系統與應用程式之間的通信安全,關閉一個經常被忽視的攻擊途徑。

網頁抓取(Web Scraping)防護

網頁抓取意味者使用自動化的工具程式從網站中複製大量的資料或應用程式。。這通常發生在為了商業利益而惡意損害競爭對手的網站應用程式。典型的攻擊者動機通常是為了削弱競爭能力、竊取商機、綁架網站的行銷活動或蒐集相關的應用程式數據。例子包括盜竊數位出版商的智慧財產權;從電子商務網站蒐集產品和價格的訊息;或是從房仲業、汽車銷售業、旅遊業網站盜取待成交或成交列表資料等等。
Barracuda Web應用防火牆可以透過檢測和封鎖惡意的網路爬蟲工具來阻擋網頁抓取;先進的檢測技術包括運用蜜罐(honey traps)的技術來識別惡意機器人和非正規瀏覽器存取的檢測能力,網站管理員也可以設定白名單允許特定爬蟲機器人 – 如搜尋引擎的爬蟲來訪問網站。Barracuda WAF擁有足夠的特徵碼來辨識這些爬蟲工具,在網路爬蟲訪問網站時,就能快速進行封鎖或放行的的管理動作。

資料外洩防護(Data Loss Prevention)

當部署為反向代理(reverse-proxy)時,Barracuda Web Application Firewall除了可以阻擋入站流量的攻擊行為之外,對於出站流量的敏感資料 – 包含信用卡號碼、身份証字號及其它用戶自定義特徵的資料 – 也可以有效進行辨識,而且不管是對敏感資料進行攔截或遮罩都不需要管理人員介入;更棒的是,這些動作將被完整記錄下來,可以提供管理人員用來尋找潛在的資料外洩漏洞。

運用URL加密強化URL篡改防護

攻擊網頁化的應用程式通常從分析及篡改網站URL開始。Barracuda Web應用防火牆在660及以上的型號都擁有一個獨一無二的URL加密功能,可以讓管理員運用在網站發送到客戶端之前將URL先加密起來。客戶端和網頁應用程式之間的資料交換或是客戶端瀏覽網站全部使用加密的URL,而Barracuda WAF再進行解密和原本的伺服主機進行資料交換。在解密過程中就可以立刻識別是不是正常的URL查詢?參數被篡改?被惡意注入內容或是強迫瀏覽攻擊(Forced browsing Attack)。

符合法規

Barracuda Web應用防火牆提供簡單且經濟有效的產品設計來幫助管理員符合主要應用面法規的要求,如PCI-DSS、HIPAA、FISMA和SOX等。同時它也經由多個第三方測試實驗室(包括ICSA實驗室)認證通過,是一款有效的Web應用防火牆解決方案。Barracuda Web應用防火牆直接滿足PCI-DSS第6.6章規定,而且內建PCI合規性報告。其強大的身份識別及訪問管理和資料外洩防護(DLP)功能可確保敏感資料的機密性;同時,符合FIPS 140-2 標準的HSM硬體加密模組,更可以確保它保護的相關應用達到最高的加密標準。

Web化的身份驗證和存取管理

Barracuda Web應用防火牆完全整合Active Directory、RADIUS或LDAP等認證服務。結合強大的存取控制能力,管理員能夠運用精細的設定來控制哪些用戶或用戶組可以訪問特定的資源。在使用Kerberos的環境中,它也可以對受保護的Web應用程式來執行用戶認證,包括single-sign-on到多個Kerberos服務。

整合驗証供應商(包括Azure的AD)簡化聯合身份驗證程序

Barracuda Web應用防火牆支援SAML v2協定來執行身份驗証及網頁化single sign-on (SSO),這意味著它可以作為一個SAML服務提供商(SP),以SAML標準的驗証提供商(IDP)來執行角色,可以省略掉你在Web主機中實現SAML的複雜性;這有利於促進內部部署的網站應用和雲端部署(Azure AD支援SAML 2.0)可以經由SSO實現更好的互通性。

雙重認證

Barracuda Web應用防火牆整合了一些雙重認證技術,包括客戶端驗証、簡訊驗証和硬體token (例如RSA SecurID)等,提供強大的用戶認證程序。

客戶端IP信譽分析和訪問控制

使用客戶端的源地址,企業可以控制訪問網站的來源。Barracuda Web應用防火牆可根據GeoIP的限制只有特定區域的來源IP才有訪問權限。它還整合了Barracuda IP信譽分析資料庫,可以辨識常常被攻擊者利用來隱藏自己的身份和位置的可疑IP、Bots、匿蹤的TOR網路和其他匿名代理伺服器。一旦IP地址被識別為是一個風險,管理員可以在允許訪問之前進行阻擋,限制,限縮,或發出人機識別系統(CAPTCHA)來辨識。

預建的安全樣板

預建的安全樣板和直覺化的Web界面提供立即性的安全機制,無需耗時的調整或學習如何使用新的應用程式。開機即內建很多常用的應用程式樣板,包括Exchange、SharePoint、Oracle財務、PHP….等。

運用RESTful API實現自動化和延展

隨著雲端計算的到來,資料中心(Data Center)需提供越來越多程式化的需求,同時著重在網路、計算和安全層開發,DevOps現在一個是關鍵領域。Barracuda Web應用防火牆提供REST API,可以讓您設定和監控應用程式的編程設計,設備的功能已經提供符合REST的接口,無論您使用任何程式語言都可以模擬或運行。在有限經濟規模的程式開發環境下, REST API可以讓您實現自動化、減少上巿時間和開發成本。

運用自定義安全樣板提高管理效率

在眾多主機的環境中,要管理應用層的安全政策很容易因為人為的疏失而造成錯誤。Barracuda Web應用防火牆內建的安全樣板特色,是定義許多安全的基準政策設定來建立模組化的安全政策規則,讓管理者可以快速套用。透過使用樣板,可以快速創建保護特定應用,入口網站,平台框架或其組成部分的安全政策;並且可以提高效率,減少人為錯誤和部署時間,並確保符合法規的安全性。

整合弱點掃描程式

著重安全的企業或組織經常使用的弱點掃描工具來尋找他們在應用程式上可被利用的弱點。Barracuda WAF有能力可以整合許多熱門的弱點掃描軟體,例如:Barracuda Vulnerability Manager 、IBM AppScan、HPE Security WebInspect、HPE Security Fortify On Demand、Cenzic Hailstorm、Denim Threadfix等,並將掃描結果自動配置成一個安全政策樣本,來保護被檢測到的弱點問題。只要將弱點掃描的報告匯入,系統就可以自動產生相對應的安全政策,完全不需要管理人員介入,更不需要費時檢視報告足一設定。

直覺化且可以深入探勘的報表系統

強大的圖形化報表可以即時洞察是否符合安全政策、威脅活動記錄、網站流量和法規遵從性等等。有超過50種預先定義的報告可以使用,也可以讓管理者進一步使用多種過濾規則,依照攻擊類型,流量,時間範圍等等方便地自訂報表。

產生的報告是互動式的,具有向下探勘的功能。報表類別涵蓋PCI合規性、安全性分析、稽核分析、網站流量分析和地理位置分析等等。報表可以按需求產生或設定週期性報表透過電子郵件或FTP傳送給多個管理人員。

完整的日誌跟報表

所有客戶端的連線請求,管理人員的修改以及防火牆動作內容都會被完整記錄下來。在符合法規規範及安全政策略調整的過程中,這提供了一個全面性的稽核日誌;日誌上的資料同時也可以讓應用防火牆來建立攻擊行為分析、網站流量分析及法規遵從等圖形化報表系統。此外,日誌也可以透過Syslog或FTP導出到第三方分析軟體。

運用自定義告警執行主動性的風險監測

對於安全管理人員而言,可以自訂警報通知對於風險監測與分析是一個重要需求。這在資料中心面對眾多安全設備的控管是一個勢不可擋趨勢。在沒有任何關聯或整合的分析通報下,類似像APT(Advanced Persistent Threat)的活動是很容易被忽略的。
為了克服這個問題,Barracuda Web應用防火牆提供警報整合和關聯性。自訂告警通知可以使用多個元件像嚴重性、攻擊類型、應用程式、動作門檻和頻率來定義(例如,在某個應用程序上設定門檻,偵測SQL Injection的發生頻率,同時監控是否被大量瀏覽)。這樣可以確保重要的威脅活動不會淹沒在一堆告警通知中,降低風險和營運成本,並且提高生產力。告警通知同時也可以自訂在硬體元件和各別系統模組,例如認證、管理、SSL等。

自動化安全定義檔更新

Barracuda在全球網路廣泛的部署超過15萬個感測器在世界各地,提供Barracuda實驗室充足的數據進行資料分析,增強Web應用防火牆辨識攻擊的定義和特徵。來自這些感測器蒐集有價值的數據訊息提供了Barracuda實驗室創建即時的安全定義檔,這些定義檔會自動更新到全球的Barracuda Web應用防火牆。這些更新可以確保在任何時間針對企業關鍵的應用都保持在最高安全性的姿態,大大降低了漏洞披露和修復系統漏洞之間的時間。自動更新可以讓管理員即時實施安全政策來對抗新的威脅,就能提供時間給開發團隊詳盡地分析底層應用的問題,並在必要時修復漏洞。

高可用性叢集High Availability Clustering

Barracuda Web應用防火牆可以在主動/被動(active / passive)或主動/主動(active / active)對進行叢集故障轉移,以確保即時恢復。安全配置和部署設定可以在叢集群之間自動同步,提供任何中斷就能即時恢復的功能。

應用負載平衡和監控

Barracuda Web應用防火牆支持所有類型應用程序的負載平衡。負載平衡確保來自同一IP位址的連續請求將被路由到相同的後端伺服器,透過伺服器的回應監測,當後端伺服器不再回應時就不再轉送請求到無回應的伺服器。Barracuda Web應用防火牆可以追踪服務器回應請求的狀態,同時透過管理員設定的錯誤門檻來標記停止服務的伺服主機。此外,Barracuda Web應用防火牆可以執行帶外(Out-of-Band)健康檢查,在設定的時間間隔內創建及發送請求到目標伺服器,以驗證伺服器的健康狀態。

支援微軟Azure的雲端版本

當把資料、網站或相關應用遷移到雲端時,管理人員仍然需要安全地管理企業和客戶的資料。在大多數情況下,企業依然要遵從其行業的隱私和法規的規範,無論是HIPAA,SOX,PCI等等。整合了應用層安全防護及資料外洩防護功能的Barracuda Web應用防火牆和微軟Azure雲端主機安全機制,管理人員可以擁有絕佳的優勢可以在Azure中部署安全,可靠和靈活的雲端服務,同時滿足任何監管或法規的規範。要了解更多關於Barracuda Web應用防火牆在微軟的Azure的應用,可以在微軟Azure Marketplace下載試用或請洽中華鴻業客服人員。

支援亞馬遜Amazon雲端版本

Barracuda Web應用防火牆也提供部署在亞馬遜Amazon Web Services的雲端版本, 通過AWS安全認證的Barracuda Web應用防火牆與AWS雲端平台的彈性負載均衡、應用程式範本(AWS CloudFormation)等特色相結合,可以提供管理人員一步一步設定及配置所需的雲端服務。