(TIỂU LUẬN) đặc tính kỹ thuật và tham số kỹ thuật của barracuda web application firewall (BWAF)

Đặc tính Kỹ thuật và tham số kỹ thuật của Barracuda Web Application Firewall BWAF Barracuda Web Application Firewall tính hợp bảo mật, khả năng mở rộng và tăng tốc ứng dụng vào một nền t

MỤC LỤC

I Đặc tính Kỹ thuật và tham số kỹ thuật của Barracuda Web Application

Firewall (BWAF) 1

1 Đặc tính kỹ thuật của Barracuda Web Application Firewall 2

a Bảo mật ứng dụng Web 2

b Authentication, Authoiation, Accounting(AAA) 2

c Application Delivery 2

d Uy tín của sản phẩm( Mature Product) 2

2 Thế hệ tiếp theo của nền tảng Application Delivery 3

a Triển khai linh hoạt (Flexible Deployment) 3

b Sử dụng IPv4/IPv6 3

c Bảo mật toàn diện (Comprehensive Security) 3

d Trung tâm điều khiển cùng với Barracuda Control Center (Centralized control with Barracuda Control Center) 4

3 Bảo mật tầng ứng dụng(Application-Layer Security) 4

a Xác thực đầu vào(Input validation) 4

b Cloaking 4

c Bảo vệ giả mạo Session (Session Tampering Protection) 5

d Bảo vệ Session Riding and Clickjacking 5

e Bảo vệ khỏi Virus và phần mềm độc hại (Anti-virus and malware protection) 5

f Bảo vệ DdoS lớp 7(Layer 7 DDoS Protection) 5

g Bảo vệ khỏi tấn công Brute Force(Brute Force protection) 6

h Bảo vệ tấn công XML/service web(XML / Web Services protection) 6

i Bảo vệ tránh mất dữ liệu (Data Loss Protection) 6

4 Kiểm soát truy cập( Access Control) 6

a Xác thực (Authentication) 7

b Quyền (Authorization) 7

c Hai yếu tố xác thực(Two-factor authentication) 7

d Single Sign On (SSO) 7

5 Mở rộng quy mổ cơ sở hạ tầng ứng dụng(Scaling the Application Infrastructure) 8

a Cân bằng tải (Load balancing) 8

b Định tuyến nội dung lớp 7(Layer 7 content routing) 8

c SSL offloading 9

d Instant SSL 9

e Rate control 9

6 Accelerating application delivery 9

a Caching 9

b Nén(Compression) 9

c Protocol tuning 9

7 Công nghệ Core của Barracuda Web Application Firewall 10

a Hệ điều hành cứng(Hardened operating system) 10

b Bảo mật(Security) 10

c Kiểm soát chi tiết (Granular control) 10

d Đăng nhập và báo cáo (Logging and reporting) 10

e Adaptive profiling 11

f Quản lý dựa trên vai trò (Role-based administration) 11

II Tiêu chuẩn và quy chuẩn kỹ thuật của Barracuda Web Application Firewall 12

1 Tiêu chuẩn kỹ thuật: 12

a Bảo mật ứng dụng web 12

b Nhật ký giám sát báo cáo 13

c Hỗ trợ ứng dụng và giám sát 13

d Chức năng hệ thống 13

2 Thông số kỹ thuật 14

III Tiêu chuẩn và chất lượng dịch vụ của Barracuda Web Application Firewall 15

1 Barracuda Networks Cam kết đổi mới 15

2 Barracuda Energize Updates: 15

3 Các gói tuỳ chọn bảo mật (Security Options): 15

4 Dịch vụ thay thế tức thì (Instant Replacement Service): 15

IV Các biện pháp và giải pháp kỹ thuật của Barracuda Web Application Firewall 16

1 Mô hình triển khai: 16

a mô hình Two-Arm Proxy: 16

b Triển khai On-Arm Proxy 17

c Triển khai Bridge Mode 18

2 Triển khai 20

a Cài đặt Barracuda Web Application Firewall 20

b Cấu hình dịch vụ trên Barracuda Web Application Firewall 23

1 Thời điểm tính bảo hành: 24

2 Cách thông báo về sự cố thiết bị: 24

3 Quy trình bảo hành 24

I Đặc tính Kỹ thuật và tham số kỹ thuật của Barracuda Web

Application Firewall (BWAF)

Barracuda Web Application Firewall tính hợp bảo mật, khả năng mở rộng

và tăng tốc ứng dụng vào một nền tảng Application Delivery Controller (ADC)cho độ an toàn cao và mở rộng của ứng dụng web Tường lửa lớp ứng dụng bảo

vệ các ứng dụng web lớp 7 khỏi các mối đe doạ hiện tại như: Cross Site Scripting(XSS), SQL injections (SQLi) và Cross Site Request Forgery (CSRF)

Các công cụ kiểm soát được tích hợp cho phép các quản trị viên tạo ra cácchính sách truy cập cho Authentication Authorization & Accounting (AAA) màkhông cần phải thay đổi các ứng dụng Với khả năng cân bằng tải trên L4/L7 chophép các doanh nghiệp có thể thêm các máy chủ hỗ trợ để mở rộng quy mô khinhu cầu kinh doanh phát triển khả năng tăng tốc ứng dụng như SSL Offloading,

bộ nhớ đệm, nén và tổng hợp kết nối để đảm bảo phân phối ứng dụng nhanh hơncủa các nội dung ứng dụng web

Có 5 model mà Barracuda Web Application Firewall có thể được sử dụng đểtriển khai các ứng dụng một cách an toàn với mọi kích thước

1 Đặc tính kỹ thuật của Barracuda Web Application Firewall.

Bảo bệ Inbound AttackBảo vệ Outbound Data TheftTích hợp khả năng quét virus (Integrated Anti-Virus Scanning)

b Authentication, Authoiation, Accounting(AAA) Tích hợp hợp chứng thực LDAP, RADIUS Single Sign On (SSO)

Hai yếu tố chứng thực (Two-Factor Authentication)

c Application Delivery

Cân bằng tải L4/L7SSL OffloadingNén và bộ nhớ đêm HTTP (HTTP Caching & Compression)

d Uy tín của sản phẩm( Mature Product)

Hơn 10 năm kinh nghiệm WAF (10+ Years of WAF Experience)

Hang ngàn khách hàng sử dụng trên thế giớiĐược xây dựng dựa trên Bảo mật và kiến trúc cho việc phân giải ngược proxy (Built Ground Up for Security & architected for Reverse-Proxy Deployment )

2 Thế hệ tiếp theo của nền tảng Application Delivery a Triển khai linh

hoạt (Flexible Deployment).

Barracuda Web Firewall Application Firewall cung cấp nhiều tuỳbiến triển khai linh hoạt tối đa trong khi vẫn bảo đảm an toàn Đượcxây dựng cho triển khai Reverse-proxy, Barracuda Web ApplicationFirewall đảm bảo an ninh tối đa và tăng tốc ứng dụng cho phép thựchành tốt nhất cho việc triển khai ứng dụng được an toàn Ngoài ra đểreverse proxy, ứng dụng có thể được triển khai trong one-armed proxyhoặc Bridge modes Với mô hình FIPS 140-2 Level 2HSM cung cấptuân thủ quy định trong các môi trường khắt khe nhất

b Sử dụng IPv4/IPv6.

Barracuda Web Application Firewall hỗ trợ IPv6, cung cấp tíchhợp dễ dàng với IPv6 hoặc môi trường gồm IPv4/IPv6 Điều này chophép các tổ chức linh hoạt để sử dụng các ứng dụng Barracuda WebFirewall như là IPv6 trong khi vẫn giữ IPv4 cho đến khi triển khaiIPv6

c Bảo mật toàn diện (Comprehensive Security).

Barracuda Web Application Firewall cung cấp bảo mật ứng dụngtuyệt vời để giúp các tổ chức bảo vệ tài sản Web quan trọng Các khảnăng bảo mật của Barracuda Web Application Firewal luôn được bổxung bởi mạng lưới của hơn 150.000 Sensors được triển khai trên toànthế giới và đưa vào Barracuda Labs Các Sensors cung cấp các dữ liệu

có giá trị cho nhóm nghiên cứu bảo mật để xây dựng các định nghĩa

an ninh mới và tự động cập nhật vào Barracuda Web ApplicationFirewall

d Trung tâm điều khiển cùng với Barracuda Control Center (Centralizedcontrol with Barracuda Control Center)

Barracuda Control Center là nền tảng quản lý tập trung cho tất cảcác sản phẩm của Barracuda Networks Barracuda Control Centerđóng vai trò quết định chính sách trung tâm, Barracuda WebApplication Firewall hoạt động như một điểm thực thi chính sách.Barracuda Control Center cũng cho phép các quản trị viên có cái nhìntổng hợp của mạng lưới thông qua một giao diện điều khiển trungtâm Giao diện điều khiển này có thể cung cấp báo cáo tổng hợp dựatrên dữ liệu từ tất cả các thiết bị đầu cuối

3 Bảo mật tầng ứng dụng(Application-Layer Security) a Xác thực đầu

vào(Input validation)

Đầu vào xác nhận không đúng là một trong những thủ phạm chínhtrong lỗ hổng bảo mật ở lớp 7 Barracuda Web Application Firewallgiải mã tất cả lưu lượng được mã hoá và bình thuòng hoá đầu vào để

đảm bảo rằng tất cả các dữ liệu được kiểm tra và xác nhận đối với cácmẫu tấn công được được biết đến trước khi gửi đến các máy chủ Xácđịnh giao thức cho phép người quản trị thực thi phiên bản giao thứchoặc tự động cho HTTP, HTTPS, FTP, FTPS.

b Cloaking

Barracuda Web Application Firewall có khả năng ẩn tất cả cácthông tin máy chủ có liên quan như tiêu đề máy chủ và banners máychủ Cấm tất cả các thông tin về cơ sở hạ tầng máy chủ làm hạn chếkhả năng của kẻ tấn công dựa trên thong tin thu thập được từ các loạimáy chủ Web, hệ điều hành, hoặc cơ sở dữ liệu đang sử dụng

c Bảo vệ giả mạo Session (Session Tampering Protection)

Hầu hết các ứng dụng sử dụng các tập tin Cookie hoặc ẩn, để đọccác thông số cho phiên ứng dụng và có thông tin nhạy cảm khác.Barracuda Web Application Firewall có thể mã hoá hoặc ký các thẻ đểngăn chặn các cuộc tấn công mạo danh

d Bảo vệ Session Riding and Clickjacking

Các trang web của bên thứ ba có thể sử dụng JavaScript độc hạikhai thác các máy chủ với trình duyệt của người dùng Barracuda WebApplication Firewall chặn các kiểu tấn công như vậy bằng cách tạo

unique tokens hoặc injection anti-UI để ngăn chặn JavaScript độc hại

từ các cuộc tấn công như Session Riding hoặc Clickjacking

e Bảo vệ khỏi Virus và phần mềm độc hại (Anti-virus and malware

protection)

Barracuda Web Application cho phép quét các tập tin tải lên đểđảm bảo rằng các tập tin bị nhiễm virus sẽ không được tải lên các ứngdụng Web

f Bảo vệ DdoS lớp 7(Layer 7 DDoS Protection)

Kiểu tấn công Distributed Denial of Service attacks (DDoS) có thểthực hiện trên lớp ứng dụng khi họ tác động cao hơn tấn công DDoSlớp mạng Do phạm vi của nó nằm ở lớp ứng dụng, Barracuda WebApplication Firewall thông minh có thể tìm kiếm thông minh và ngănchặn các cuộc tấn công đảm bảo rằng các ứng dụng Web được bảo vệ

và tiếp tục phục vụ người dùng

g Bảo vệ khỏi tấn công Brute Force(Brute Force protection)

Barracuda Web Application theo dõi người dùng truy cập đến cáctài nguyên bị hạn chế và khối khách hàng nếu máy chủ không chấpnhận thông tin được cung cấp Cơ chế Rate Control trong BarracudaWeb Application Firewall cung cấp thêm lớp bảo mật nhằn ngăn chặntấn công Brute force

h Bảo vệ tấn công XML/service web(XML / Web Services protection) Service Oriented Architectures (SOA) với các dịch vụ web được sử

dụng để xây dựng các ứng dụng lớn hơn, phân bố và khả năng mởrộng Các ứng dụng này, cùng với nhiều ứng dụng 2.0 sử dụng XML

để chuyển dữ liệu giữa các máy chủ và giữa client và server FirewallXML được xây dựng trên Barracuda Web Application Firewall thựcthi trên các dịch vụ web và trao đổi dữ liệu XML sử dụng WSDL vàXML Schema cung cấp chống lại các cuộc tấn công XML

i Bảo vệ tránh mất dữ liệu (Data Loss Protection)

Ngoài kiểm tra nội dung đến, BWAF cũng cung cấp kiểm tra nộidung ra bên ngoài phòng chống mất dữ liệu BWAF ngăn chặn rò rỉ dữ

liệu bằng các che hoặc chặn các ứng dụng chứa thông tin nhạy cảm

như thẻ tín dụng hoặc bất kỳ dữ liệu tuỳ chỉnh khác

4 Kiểm soát truy cập( Access Control)

Barracuda Web Application Firewall triển khai một điểm duy nhất choviệc thực thi chính sách và kiểm soát, bao gồm xác thực để đảm bảo rằngngười dùng có tồn tại, chính sách kiểm soát truy cập cho nguồn tài nguyên

và bảo vệ chống rò rỉ dữ liệu Khả năng bao gồm:

a Xác thực (Authentication)

BWAF tích hợp với bất kỳ cơ sở dữ liệu người dùng sử dụngLDAP hoặc RADIUS để xác thực thông tin của người dùng trước khicấp quyền truy cập vào các nguồn tài nguyên được bảo mật Điều nàycho phép các quản trị viên thêm một lớp xác thực hoặc để giảm tải mộtchính sách xác thực ứng dụng hiện có vào BWAF

b Quyền (Authorization)

Xác thực người dùng có thể được cấp quyền truy cập khác nhaubằng cách áp dụng quy tắc kiểm soát truy cập Những đặc quyền này

có thể dựa trên các tài khoản của người dùng hoặc nhóm

c Hai yếu tố xác thực(Two-factor authentication)

Bảo mật bằng mật khẩu có thể được tăng cường bằng cách sử dụngCertificates hoặc thẻ an ninh BWAF tích hợp với RSA SecurID và

Certificates của Client để cung cấp các lớp bảo mật mở rộng

d Single Sign On (SSO)

Đối với nhóm các ứng dụng mà cần phải xác thực trước khi đượccấp quyền truy cập, dấu hiệu duy nhất được sử dụng cung cấp choclient với hệ thống xác thực liền mạnh, theo đó client chỉ cần xác thực

một lần để sử dụng các ứng dụng trong nhóm BWAF kết hợp với CASiteMinder để cho phép các quản trị có thể xây dựng một single sign

on portal cho tất cả các ứng dụng web của họ

5 Mở rộng quy mổ cơ sở hạ tầng ứng dụng(Scaling the Application

Infrastructure)

Barracuda Web Application Firewall cung cấp khả năng quan trọng cho phép các tổ chức mở rộng quy mô cơ sở hạ tầng của họ a Cân bằng tải (Load balancing)

Được xây dựng tích hợp module cân bằng tải phân phối đến máychủ sử dụng một trong nhiều thuật toán có sẵn chẳng hạn như:Weighted Round Robin hoặc Least Connections Sự có sẵn của máychủ được theo dõi với sự giúp đỡ của module giám sát ứng dụng đượctích hợp Lưu lượng truyền có thể được phân phối ở lớp 4 hoặc lớp 7

b Định tuyến nội dung lớp 7(Layer 7 content routing)

BWAF cung cấp sụ linh hoạt rất lớn khi triển khai các ứng dụnglớn trong đó mỗi module ứng dụng có thể được triển khai trên nhiềumáy chủ Yêu cần về nội dung như các URL của các Module, HTTPHeaders và các thông số được sử dụng để thiết lập chính xác đến máychủ

Sử dụng khả năng Instant SSL của BWAF các đội triển khai có thểchuyển đổi các ứng dụng dựa trên HTTP và HTTPS mà không cần phải sửđổi code ứng dụng.

BWAF có thể kiểm soát số lượng các phiên ứng dụng được tạo ra baonhiêu cho một khách hàng truy cập vào một tài nguyên nhất định Nhữngbiện pháp này, kết hợp với các kỹ thuật Rate control như client queuingbảo vệ các ứng dụng Web bị tấn công vào lớp ứng dụng bằng denial ofservice (DoS)

6 Accelerating application delivery

BWAF tăng tốc thời gian phản ứng của ứng dụng bằng bộ nhớ đệmtĩnh và sử dụng nó để đáp ứng với yêu cầu lặp đi lặp lại cho cùng một nộidung Quy tắc Caching có thể được điều chỉnh dựa trên không gian địa chỉURL, kích thước tập tin hoặc các loại tập tin

Các công cụ nén tích hợp trong ứng dụng BWAF nén dữ liệu khi nóđược gửi ra ngoài cho client Khả năng này rất hữu ích trong trường hợp băng thông thấp và làm cho ứng dụng nhanh hơn c Protocol tuning

Các BWAF sử dụng nhiều kỹ thuật như connection-pooling và TCPmultiplexing để tối ưu hoá hiệu suất giao thức Kỹ thuật Connectionpooling cho phép BWAF cắt giảm chi phí liên quan đến việc tạo ra vàchấm dứt kết nối, do đó cắt giảm thời gian cần thiết để đáp ứng yêu cầncủa client

7 Công nghệ Core của Barracuda Web Application Firewall a

Hệ điều hành cứng(Hardened operating system)

Dựa trên mã nguồn mở nhân Linux, được nghiên cứu và giám sát theothời gian, Hệ điều hành Barracuda Web Application Firewall được phầncứng hoá để bảo mật tối đa và ổn định Ngoài thử nghiệm nội bộ, BarracudaNetworks phối hợp với cộng động nghiên cứu “mũ trắng”, liên tục làm việcvới các nhà cung cấp an ninh để phát hiện và giải quyết các lỗ hổng tiềmnăng trong cả hệ điều hành và các tiện ích liên quan Trong khi phần lớn cáccông nghệ của Barracuda Web Application Firewall là độc

quyền, Barracuda Networks luôn tận dụng thay đổi mã nguồn mở an toàn

và chức năng

Barracuda Labs duy trì một mạng lưới lớn của proxy honey pots để thuthập thông tin về botnet và các mối đe doạ mới về Web trên toàn thế giới.Ngoài ra, khách hàng của các sản phẩm Barracuda Networks khác có thể

“opt-in” để báo cáo dữ liệu đe doạ để tạo ra một mạng lưới thu thập dữliệu lớn các dữ liệu thu thập được điều chỉnh áp dụng cho chính sách anninh và cũng để theo dõi và chống lại các cuộc tấn công được phát triển

c Kiểm soát chi tiết (Granular control)

Bắt đầu với bảo mật cở bản, BWAF cho phép quản trị viên điều chỉnhcác thiết lập cấu hình ở mức độ chi tiết khác nhau, các quản trị viên có thểcấu hình ở mức độ chi tiết khác nhau Các quản trị viên có thể cấu hìnhqua tắc anh hưởng đến toàn bộ ứng dụng, một phần của ứng dụng hoạcthậm chí là một URL cụ thể Những quy tắc chi tiết có thể được tạo ra sửdụng các thuật toán phù hợp với nội dung cực kỳ linh hoạt với một danhsách đầy đủ kiểm soát an ninh

d Đăng nhập và báo cáo (Logging and reporting)

BWAF mở rộng khả năng kiểm tra log đăng nhập và báo cáo chongười quản trị và các đội ứng dụng web để điều chình và bảo mật các ứngdụng web của họ Việc xây dựng trong công cụ báo cáo cung cấp tóm tắtbáo cáo về khía cạnh khác nhau của việc triển khai như thống kê băngthông, báo cáo tấn công và các báo cáo liên quan Các bản ghi có thể đượcxuất ra các hệ thống bên ngoài và hoàn toàn là tài liệu dễ dàng tích hợpvới các sản phầm SIEM có sẵn

Việc xây dựng trong Adaptive profiling liên tục đánh giá lưu lượng điqua BWAF Các profiler có thể tạo ra một profiler ứng dụng hoàn chỉnhbao gồm tất cả các URL, hình thức và các thông số để bảo đảm một môhình bảo mật tích cực toàn diện Ngoài ra BWAF cũng sử dụng profilertraffic gây ra bởi các quy tắc cấu hình và sử dụng heuristics-drivenexception profiling để tạo ra các khuyến nghị điều chỉnh các thiết lập Mô

hình chuẩn đoán này tạo ra một cơ chế phản hồi rất chặt chẽ đối với việcđiều chỉnh các chính sách an ninh.

f Quản lý dựa trên vai trò (Role-based administration)

Nhiệm vụ quản lý BWAF có thể được giao dựa theo vai trò, Hệ thốngvới nhiều vai trò quản trị như: administrator, auditor, network managerand application manager Những vai trò này có thể được điều chỉnh hoặcnhững người khác có thể được thêm vào để đáp ứng các yêu cầu của tổchức