Web Application Reverse Proxy
用于不受信任的 Web 环境
几乎在业务运营的各个方面都在实施基于 Web 的解决方案,但是它们在公共 Web 访问或不受信任的环境中正越来越多地受到攻击。因此,与日俱增的安全问题、低迷的性能以及不断增加的复杂性使现有的 Web 服务器基础设施不堪重负。Web 服务器也越来越多地成为恶意软件传递网络的主要源头,托管恶意软件并且使用户、资源和声誉面临危险。不断扩大的隐私担忧正在增加 SSL 的使用、用户身份识别或者完全身份验证,为Web 基础设施带来了新的需求。为了保护和加速不受信任环境中的公共 Web 应用,企业组织可以采用 Blue Coat 的 Web 应用反向代理保护。
为何选择 ProxySG 实施 Web 应用反向代理部署?
Blue Coat ProxySG 代理设备结合强大的安全性、高性能的内容交付和操作简便性,让您的组织可以为受信任的用户和公众保护和加速公共 Web 应用。
保护 Web 服务器 – ProxySG 可作为 Web 应用和尝试访问这些应用的外部客户端之间的中间人,安全地隔离对通用服务器的直接访问。ProxySG 可提供全面的 Web 服务器保护,包括:支付卡行业 (PCI) 合规性、SQL 结构化查询语言 (SQL) 注入保护、跨站脚本攻击 (XSS) 保护和跨站请求伪造 (CSRF) 保护。此外,ProxySG 提供强大的身份验证和策略支持,可以利用组织的现有安全框架盘查用户或者透明地检查身份验证凭据。为了实现对所有上传到 Web 服务器的内容的高性能、低延迟 Web 威胁保护,ProxySG 与 Blue Coat ProxyAV™ 集成并且允许您自由选择五大领先防恶意软件引擎。与数据丢失防范 (DLP) 解决方案集成,可实现对机密、专有或客户信息的内容感知指纹识别和数据丢失检测。为了确保机密性,可以配置 ProxySG 使用安全套接层 (SSL) 对用户与 Web 应用之间的通信进行加密。
加速 Web 内容 – ProxySG 解决方案的核心是 SGOS,这是一个安全的、基于对象的操作系统,专门设计用来处理 Web 内容和富媒体。SGOS 结合了获得专利的代理缓存技术和优化的 TCP 堆栈,可有效地加速 Web 内容。SGOS 智能地使用它的集成缓存,可将 60-90% 的应用 Web 对象缓存后直接提供给用户,因此进一步增强了站点性能和可扩展性,同时减轻了 Web 服务器的负载。富媒体支持包括媒体分流和点播视频缓存,以及对所有代理服务的带宽控制。此外,SSL 服务还提供硬件加速的密钥协商、加密和解密支持。
简化操作 – ProxySG 是一款结合了代理软件与硬件的集成、优化的设备,易于安装、配置和维护。可视策略管理器 (VPM) 提供直观的图形化界面来定义和管理广泛的策略规则。内容策略语言 (CPL) 可实现高级策略控制,获得应用攻击保护。全面的日志记录和报告功能提供详细的统计信息,为管理员提供评估 Web 使用模式和跟踪安全问题以及满足法规和政策要求所必需的可视性。
ProxySG Web 应用反向代理可以使组织:
- 通过代理架构的各种功能加速 Web 应用和内容的交付,包括集成的缓存、媒体分流、带宽控制、对入站和出站 Web 内容的威胁分析,以及灵活的策略语言和无可比拟的用户身份验证选项。
- 还可以通过卸载用户身份验证、SSL 通道和 Web 内容优化工作,隔离原始服务器与直接互联网访问并扩展 Web服务器群,从而保护 Web 基础设 施。此外,ProxySG 还可以针对 HTTP、HTTPS、TCP、ICAP 和 ICMP 执行健康检查,以监视 Web 内容服务器和代理相关的设备,向管理员发 出警报。其中包括来自服务器和客户端的严格 HTTP/HTML 协议验证。 通过电子邮件、系统日志和 SNMP 提供警报。
- 通过作为 SSL 终结点/起始点保护用户对 Web 应用的访问。使得 ProxySG 作为 SSL 终结点对 Web 服务器进行再次加密,或者“中间人”(MITM) 配置。ProxySG 同时提供服务器和客户端端的认证支持,包括 Web 服务 加密和解密以及数字签名验证。还提供密钥管理和故障转移处理。
- 部署反向代理解决方案,以透明或不透明的方式作为 Web 应用反向代理。 ProxySG Web 应用反向代理提供开放的中继服务器保护策略。ProxySG 还是 IPv6 代理网关,提供 IPv6 到 IPv4 和 IPv4 到 IPv6 的支持。新的 媒体 NOC 将迁移到 IPv6,ProxySG 可提供同时为 IPv6 和 IPv4 公众服 务的能力。
- 提供 HTTP 的压缩支持,以改善 Web 用户体验。ProxySG 可以压缩和 解压缩设备上的内容并以各种形式缓存响应。例如,可以获取未压缩格 式的内容,然后将其以压缩格式传输到客户端。如果该内容可缓存,则 压缩和未压缩格式都会存储在 ProxySG 上以供将来使用。支持的压缩格 式为 Gzip 和 deflate。同样地,如果原始 Web 服务器提供压缩内容并且 客户端无法处理压缩的内容,您可以从原始 Web 服务器获取压缩的内容 并在 ProxySG 上将其解压缩。
- 实施基于用户、群组、时间段、地点、网络地址、用户代理及其他属性 的精细访问策略,以满足独特的业务需求。ProxySG 具有对超过 500 个 标头请求和响应变量的访问权限,并充分利用 40 多个触发器获得高级策 略控制。ProxySG 可通过它的策略控制来过滤、剥离或替换 Web 请求和 响应中的内容。
- 按策略规则和例外来进行日志记录。这对于检测不受信任的网络环境中 的未知用户代理和数字主机非常有用。在创建策略时使用否定选项可以 在一个元素不属于受信任环境的批准列表时记录策略规则。作为 Web 应 用反向代理,可提供允许策略控制来补充阻止策略控制。ProxySG 的灵 活策略配置允许积极的安全模型(利用允许列表毫无保留地阻止一切) 或者消极的安全模型(利用阻止列表允许一切)和这两种策略模型的自 定义组合。ProxySG 还支持自定义日志记录,利用其图形策略管理器中 的字段选择、自定义文本和格式来设置自定义日志的点和单击选择。
- 控制文件类型、文件扩展名、伪装文件的真实文件类型检查、剥离和替 换活动内容(Java、Visual Basic、ActiveX)的能力,限制信息的上 传,指定用户代理类型和版本来控制客户端软件、标头检查、重写和抑 制,以及针对 HTTP、HTTPS 和 FTP 的方法级别的控制。ProxySG 为 标头元素提供超越典型“regex”处理的策略灵活性,获得改善的性能, 必要时可进行完整 URL 解析。
- 使用现有的安全架构验证客户端,包括 Active Directory(NTLM、Kerb eros、LDAP、SSO)、eDirectory(LDAP、SSO)、令牌(SecurID、 Safeword)、身份验证方案(Oracle COREid、CA Siteminder、x.509 证 书、本地密码文件)、凭据支持(NTLM、Basic、HTTPS Basic、HTML Form、HTTPS HTML Form、Explicit Proxy Auth Pop-up Form)、将用 户对应到流量(IP 地址、Cookies、Check with Domain Server (SSO) 和支持的身份验证协议(LDAP、RADIUS、XML Interface、Sequence of Authentication Realms、Assign failed users to Guest)。
- 将用户凭据缓存在其系统内。根据公司和不受信任环境的安全需求,可 以将凭据缓存设置为为任何设定的时间段存储凭据或者在使用之后立即 清除掉。
- 通过对所有上传和下载的内容进行实时防恶意软件分析,保护 Web 基础设 施免受恶意软件、蠕虫和木马的攻击。ProxyAV 通过 ICAP+ 或 S-ICAP 与 ProxySG 集成,充分利用双智能高速缓存设计,优化针对威胁的内容分 析。可缓存对象经过一次分析后提供给用户,并且缓存起来以供后续 的用户请求使用。对防恶意软件分析引擎的任何更新都会在用户需求的基础上对所缓存对象进行标识,从而进行一次新的威胁分析,而 不是清除对象缓存。不可缓存的对象在进行指纹识别后(如果干净) 提供给用户,之后如果再看见相同的指纹,就会直接提供给用户, 以获得更加快速的 Web 体验。对防恶意软件引擎的任何更新都会刷新不可 缓存指纹的缓存。ProxyAV 支持六大领先的防恶意软件引擎(Kaspersky、 McAfee、Sophos、Symantec、Panda 和 Trend Micro),可分析高达 2GB 的文件和 99 层的压缩。ProxyAV 还可以利用 Kaspersky 或 Sophos 防恶意 软件引擎检测压缩档案中的伪装文件。
- 集成的数据丢失防范 (DLP) 可利用机密信息的内容感知指纹识别,或通 过关键字、词汇、正则表达式、校验和模式、文件元数据或统计分析, 来实现防止信息泄露的合规要求。布尔逻辑还允许结合使用所指出的合 规方法和法规,这些法规不断增加以保护消费者和他们的隐私权利。
- 实现高级策略控制,以防范 SQL 注入、跨站脚本攻击 (XSS)、跨站请求 伪造 (CSRF)。ProxySG 还提供 SSL 证书的完全隔离,缓冲区溢出攻击 防护、协议合规检查以及 DoS 保护。
- 提供 Blue Coat WebPulse™ 协作防御能力,识别来自受 ProxySG Web 应 用反向代理保护的 Web 服务器的任何恶意软件下载或者回连恶意流量。 超过 7500 万用户的协作输入使得 Blue Coat 安全实验室可以跟踪恶意软件 传递网络 (MDN),并且在 Web 服务器恶意活动或者为恶意软件传递基础 设施提供托管服务时阻止该服务器的任何参与活动。ProxyAV 检查入站 和出站内容中有无特定威胁,而 WebPulse 检查 MDN 中的 Web 关联、 流量模式和传递方法。虽然提供的每种防御方法都可保护 Web 服务器, 但是在 Web 服务器参与恶意活动时跟踪 MDN,可提供额外的保障。
- 通过流媒体代理为成千上万个同步用户提供高性能流媒体。ProxySG 支 持媒体分流,以减轻使用 RTMP、RTSP 或 MMS 和 HTMLv5 协议的富 媒体服务器上的负载。缓存点播视频为 ProxySG 提供一对多的好处,包 括 RTMP 和 HTML 对象(包括 Flash)。今天,用户都希望获得更佳的 富媒体体验,ProxySG 可以将富媒体内容服务器的工作负载分流到大规 模服务器群并提供改善的用户体验。
- 利用 Blue Coat Reporter 获得可视性,提供从多个 ProxySG 设备聚合日 志文件的能力,获得 Web 应用反向代理利用情况的可视性和趋势分析、 来自 ProxyAV 的威胁检测、用户/组配置文件分析、流媒体和视频使用 情况,以及拒绝访问尝试和自定义日志记录。Reporter 可提供基于角色 的访问(通过 Active Directory 继承)、自定义仪表板和按报告用户提供 的报告,而且可以排定报告并且定期提交标准和自定义报告。
- 减轻 Web 服务器流量负载,降低基础设施成本的同时提供控制、保护和 性能。
ProxySG 设备作为 Web 应用反向代理可让 IT 管理员有效地扩展其 Web 服 务器群,以解决闪现的或高峰期的流量,利用先进的功能,如内容加速、 压缩、拒绝服务攻击防范以及可选的媒体分流和缓存。管理员还可以利用 ProxySG,通过前端 Web 应用来实施可扩展的安全 Web 门户。
为了增加安全性,ProxySG 可以发起和终止 Web 应用和用户之间的 SSL 加密会话。这让组织能够从数据流的双方保护身份验证和消息检查等活动。
为了防止访问特定信息服务亭或工作站的后续用户访问前面用户的帐户, 可以配置 ProxySG 清除缓存的身份验证 Cookie。为了增加保护,ProxySG Web 应用反向代理可以配置为在指定的不活动时间之后自动退出,让管 理员能够加强从公共网络的安全访问。Blue Coat ProxySG 是用于保护和 加速 Web 应用的领先代理设备。ProxySG Web 应用反向代理在一个可扩 展的集中代理架构中集成了强大的 Web 服务器保护和加速的 Web 内容交 付,在简化操作的同时极大地增强网络性能。
主要特点和优势:
保护 Web 服务器
- 安全地隔离通用服务器与直接访问。
- 建立在 SGOS 之上,专门设计用来处理 Web 内容的安全的基于对象的操作 系统。ProxySG 通过 FIPS 140-2 认证和 Common Criteria EAL2 认证(3 个 主要 SGOS 版本)。
- 利用强大的身份验证和策略规则控制用户访问。
- 智能操作系统可区分有效的和恶意的连接,为合法用户提供服务,同时抵制 DoS 攻击。
- 允许使用集成的防恶意软件、DLP 和恶意 Web 流量防御方法对内容进行内 联扫描。
加速 Web 内容
- 优化的 TCP 堆栈可迅速提供大量静态、动态的 Web 内容。
- 智能缓存可将 60-90% 的应用 Web 对象缓存后直接提供给用户。
- HTTP 压缩可降低所需的带宽、节省 CPU 资源,以及更快速地提供先前压缩 的页面。
- 对密钥协商的硬件加速 SSL 处理。
- 流媒体代理可提供对点播视频的分流和缓存,为成千上万个同步用户提供高 性能的视频流。
简化操作
- “设置完就忘记”的代理设备易于部署和管理。
- 集成的设备无需安装应用或操作系统补丁。
- 可扩展的解决方案可减少所需的 Web 服务器数量。
- ProxySG 可以集群和配置,利用负载平衡器获得高可用性。
- 直观的图形界面可简化策略规则的创建和管理。
- 全面的日志记录和报告功能可提供对 Web 使用模式和安全问题的可视性。
- 减轻 IT 基础设施的负载,降低基础设施成本的同时提供控制、保护和性能。
总结
对于不受信任的 Web 环境,ProxySG Web 应用反向代理拥有丰富的身份 验证选项、SSL 负荷卸载以及对象缓存和富媒体优化功能,可扩展 Web 应 用。随着用户转移到平板电脑和智能手机并从未知的网络或者每天从公司 办公室的台式机进行访问,他们期望快速的 Web 体验,没有延迟,可用的 Web 内容和按需可得的富媒体。虚拟化使新数据中心经济有效且可扩展, 优化和扩展传统的 Web 服务器群和虚拟化服务器的能力给面向公众的 Web 服务保留了 Web 应用反向代理的好处。
由于合规和隐私方面的考虑,SSL 的使用继续增加,ProxySG 可扩展 SSL 性能,以减轻 Web 服务器基础设施的负载。ProxySG Web 应用反向代 理使用安全的专有操作系统,可提供更加安全的足迹并且使 Web 原始服 务器在网络内受到安全保护并且远离危险。集成的 AV、DLP 和恶意 Web 流量分析加上高级策略控制,可阻止应用和浏览器攻击,使 ProxySG 成为 独一无二的重要 Web 应用反向代理解决方案。