CSRF即跨站請(qǐng)求偽造�����,從成因上與XSS漏洞完全相同���,不同之處在于利用的層次上��,CSRF是對(duì)XSS漏洞更高級(jí)的利用�����,利用的**在于通過(guò)XSS漏洞在用戶瀏覽器上執(zhí)行功能相對(duì)復(fù)雜的JavaScript腳本代碼劫持用戶瀏覽器訪問(wèn)存在XSS漏洞網(wǎng)站的會(huì)話�����,攻擊者可以與運(yùn)行于用戶瀏覽器中的腳本代碼交互���,使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操作。AF通過(guò)先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理����,可以準(zhǔn)確地過(guò)濾數(shù)據(jù)包中含有的CSRF的攻擊代碼,防止WEB系統(tǒng)遭受跨站請(qǐng)求偽造攻擊�����。缺乏事前的風(fēng)險(xiǎn)預(yù)知���,事后的持續(xù)檢測(cè)及響應(yīng)能力��。奉賢區(qū)專(zhuān)業(yè)性下一代防火墻一體化
問(wèn)題一:傳統(tǒng)信息安全建設(shè)���,以事中防御為主。缺乏事前的風(fēng)險(xiǎn)預(yù)知���,事后的持續(xù)檢測(cè)及響應(yīng)能力
傳統(tǒng)意義上的安全建設(shè)無(wú)論采用的是多安全產(chǎn)品疊加方案還是采用UTM/NGFW+WAF的整合類(lèi)產(chǎn)品解決方案�,關(guān)注的重點(diǎn)都在于如何防護(hù)資產(chǎn)在被攻擊過(guò)程中不被攻擊入侵成功�,但是并不具備對(duì)于資產(chǎn)的事前風(fēng)險(xiǎn)預(yù)知和事后檢測(cè)響應(yīng)的能力���,從業(yè)務(wù)風(fēng)險(xiǎn)的生命周期來(lái)看,**具備事中的防護(hù)是不完整的�����,如果能在事前做好預(yù)防措施以及在事后提高檢測(cè)和響應(yīng)的能力�,安全事件發(fā)生產(chǎn)生的不良影響會(huì)大幅度降低,所以未來(lái)���,融合安全將是安全建設(shè)發(fā)展的趨勢(shì)��。
奉賢區(qū)口碑好的下一代防火墻信息中心在面臨新的未知攻擊的情況下缺乏有效的防御措施.
主動(dòng)防御可以針對(duì)受保護(hù)主機(jī)接受的URL請(qǐng)求中帶的參數(shù)變量類(lèi)型��,以及變量長(zhǎng)度按照設(shè)定的閾值進(jìn)行自動(dòng)學(xué)����,學(xué)完成后可以抵御各種變形攻擊�����。另外還可以通過(guò)自定義參數(shù)規(guī)則來(lái)更精確的匹配合法URL參數(shù)���,提高攻擊識(shí)別能力����。
Web應(yīng)用系統(tǒng)中通常會(huì)包含有系統(tǒng)管理員管理界面以便于管理員遠(yuǎn)程維護(hù)web應(yīng)用系統(tǒng),但是這種便利很可能會(huì)被攻擊者利用從而入侵應(yīng)用系統(tǒng)�����。通過(guò)AF提供的受限URL防護(hù)功能�����,幫助用戶選擇特定URL的開(kāi)放對(duì)象����,防止由于過(guò)多的信息暴露于公網(wǎng)產(chǎn)生的威脅��。
深信服AF除了能實(shí)現(xiàn)等同于傳統(tǒng)防火墻的訪問(wèn)控制功能之外還能實(shí)現(xiàn)基于應(yīng)用及地域的訪問(wèn)控制��,幫助用戶更好的進(jìn)行精細(xì)控制��。
地域訪問(wèn)控制主要是通過(guò)對(duì)訪問(wèn)者的IP地址進(jìn)行歸屬地判斷�,判斷所屬國(guó)家或地區(qū)是否能夠?qū)I(yè)務(wù)進(jìn)行訪問(wèn)。SANGFOR AF內(nèi)置了一個(gè)全球的IP地址庫(kù)�,并定期更新。地址庫(kù)由三部分組成:黑名單�����、白名單和全球地址庫(kù),用戶可以在WEBUI上對(duì)此地址庫(kù)配置黑白名單和IP歸屬地糾錯(cuò)����。
一、訪問(wèn)者的IP首先會(huì)根據(jù)IP黑名單進(jìn)行匹配����,如果此IP是黑名單的IP則直接拒絕訪問(wèn);
二�、根據(jù)IP白名單進(jìn)行匹配,如果此IP是白名單的IP則直接允許訪問(wèn)����;
三、如果不在黑白名單中�,則通過(guò)IP地址庫(kù)進(jìn)行匹配,得出此IP的歸屬地(那個(gè)國(guó)家或地區(qū))�,然后根據(jù)用戶配置的此國(guó)家或是地區(qū)的訪問(wèn)策略進(jìn)行拒絕或允許訪問(wèn)。
看不到有效攻擊的來(lái)源�,就無(wú)法讓客戶看到網(wǎng)絡(luò)和業(yè)務(wù)的真實(shí)安全情況.
AF對(duì)主要的服務(wù)器(WEB服務(wù)器、FTP服務(wù)器���、郵件服務(wù)器等)反饋信息進(jìn)行了有效的隱藏�����。防止攻擊者利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊����。如:
HTTP出錯(cuò)頁(yè)面隱藏:用于屏蔽Web服務(wù)器出錯(cuò)的頁(yè)面,防止web服務(wù)器版本信息泄露����、數(shù)據(jù)庫(kù)版本信息泄露����、網(wǎng)站路徑暴露,應(yīng)使用自定義頁(yè)面返回����。
HTTP(S)響應(yīng)報(bào)文頭隱藏:用于屏蔽HTTP(S)響應(yīng)報(bào)文頭中特定的字段信息。
FTP信息隱藏:用于隱藏通過(guò)正常FTP命令反饋出的FTP服務(wù)器信息����,防止攻擊者利用FTP軟件版本信息采取有針對(duì)性的漏洞攻擊。
所提供的對(duì)應(yīng)安全技術(shù)手段的融合��。虹口區(qū)運(yùn)營(yíng)下一代防火墻需求
需要評(píng)估現(xiàn)有的安全防護(hù)體系在技術(shù)層面是否存在短板.奉賢區(qū)專(zhuān)業(yè)性下一代防火墻一體化
支持靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Static NAT)和動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Dynamic NAT),實(shí)現(xiàn)內(nèi)網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址后進(jìn)行網(wǎng)絡(luò)通信�。支持目的NAT,將對(duì)外網(wǎng)地址的訪問(wèn)映射為對(duì)內(nèi)網(wǎng)地址訪問(wèn)��,支持將對(duì)一個(gè)公網(wǎng)地址的訪問(wèn)映射為內(nèi)網(wǎng)多個(gè)地址�����,實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器的負(fù)載均衡訪問(wèn)�����,同時(shí)支持目的端口轉(zhuǎn)換��。
支持IPv6安全控制策略設(shè)置���,能針對(duì)IPV6的目的/源地址��、目的/源服務(wù)端口����、服務(wù)�、等條件進(jìn)行安全訪問(wèn)規(guī)則的設(shè)置;支持IPv6靜態(tài)路由����;支持雙棧��、6to4及6in4隧道實(shí)現(xiàn) IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)訪問(wèn)等����。深信服AF產(chǎn)品已獲IPv6-Ready 認(rèn)證��。
奉賢區(qū)專(zhuān)業(yè)性下一代防火墻一體化
上海黑象信息科技有限公司主要經(jīng)營(yíng)范圍是商務(wù)服務(wù)���,擁有一支專(zhuān)業(yè)技術(shù)團(tuán)隊(duì)和良好的市場(chǎng)口碑����。公司業(yè)務(wù)涵蓋技術(shù)開(kāi)發(fā)��,技術(shù)轉(zhuǎn)讓?zhuān)夹g(shù)咨詢�,技術(shù)服務(wù)等���,價(jià)格合理���,品質(zhì)有保證。公司將不斷增強(qiáng)企業(yè)重點(diǎn)競(jìng)爭(zhēng)力����,努力學(xué)習(xí)行業(yè)知識(shí)��,遵守行業(yè)規(guī)范����,植根于商務(wù)服務(wù)行業(yè)的發(fā)展��。黑象立足于全國(guó)市場(chǎng)���,依托強(qiáng)大的研發(fā)實(shí)力�����,融合前沿的技術(shù)理念�,飛快響應(yīng)客戶的變化需求���。