作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

再開新系列,我們要回到NSX Advanced Load Balancer (Avi Network) 方案來。在本文撰寫的此時,台灣已經有多個包含政府、製造、教育、電信的客戶開始在生產環境內使用NSX Advanced Load Balancer,而且不僅止於標準的負載平衡功能,數個客戶直接把Web Application Firewall (WAF) 開起來用而且很開心。這十年來台灣的客戶許多都意識到在核心的Web應用之前採用 WAF 是必需的基礎安全需求,不同的應用遞送服務廠商也或多或少有提供 WAF 功能,只是通常需要額外的授權 / 購買成本。但在 Avi 方案內,當客戶購買了需求的Service Core 授權,WAF功能是直接可以使用的。本系列內,我想和大家簡單介紹Avi的Web Application Firewall相關功能。

 

但進入正題前,先很快回顧NSX Advanced Load Balancer方案的優勢。各位若有閱讀過前面系列 (No.154~168) 的Avi介紹,可以知道Avi方案是

 

  • 應用遞送方案,提供本地L4/L7負載均衡、Global Load Balancing、網頁應用防火牆等資料中心需求的應用遞送功能

 

  • 軟體定義架構,控制層及轉發層分離,管理者可透過UI / API或以自動化工具集中進行應用遞送需求配置與編程

 

  • 轉發層可以是虛機、實體機,部署於企業私有環境或不同公有雲。用戶可隨時依據應用效能需求進行效能擴充 (Scale-Out / Scale-Up) 以及容量調整

 

  • 提供完整日誌內容 / 健康檢查等供管理者進行統計、分析、與應用效能除錯。

 

而針對應用的安全防護功能,Avi 也並非僅包含Web Application Firewall。若我們從底層到應用來看Avi方案的整體安全防禦功能,於下圖,大家可以看到Avi的相關安全功能包括了 :

基於 IP/Port 的防火牆規則

 

Avi每個虛擬服務內都可以提供基於 IP/Port 的標準L4防火牆功能。此外,由於Avi有支援Geo-Based IP 資料庫,Avi可以基於地區/國別的IP地址來進行網路流允許或阻擋。同時,Avi由20.1版開始也支援IP Reputation資料庫,因此也能夠基於來源 / 目的IP的信用名譽等級來選擇需求的防護。

 

加密SSL/TLS

 

作為重要的應用遞送方案,Avi當然有支援憑證架構及傳輸加解密。目前版本 (20.1) 有支援到最新的TLS 1.3版。

 

基於 URL 的防火牆規則

 

Avi可以根據URL,也就是網址內的path或是特定字元進行檢查,進行轉址、重寫或是阻擋。

 

DDoS防護

 

Avi 提供了包含流量限制及連線數目限制等防護機制來保護應用受到大量惡意連線攻擊。

 

應用連線限制

 

包含了系統面的認證與連線方式控制,同時包含多租戶間的存取控制等

 

網頁應用防火牆

 

這邊當然就是後續要和大家介紹說明的Web Application Firewall功能,包含了像是OWASP Top 10 威脅防禦、應用層攻擊分析日誌等等。

 

後續我們會專注在Avi平台內Web Application Firewall的相關介紹上。但本文結束前,還是簡單的討論一下什麼是 Web Application Firewall。簡而言之,網頁應用防火牆是針對基於HTTP/S表頭的應用傳輸進行檢查與防禦,與標準防火牆針對IP / protocol / port 這一層,或是L7防火牆進行不同application的確認等功能不同。常見的網頁應用攻擊,會由OWASP (Open Web Application Security Project) 社群來提供檢測與建議的防護機制。大家可能會聽過像是 Cross-Site-Scripting (XSS), SQL Injection, Command Injection…等等,都是不同的Web攻擊手法。OWASP會定期公布目前最常出現的Web攻擊方式 (OWASP Top 10),並且提供針對這些攻擊防禦檢測的手法 (OWASP Core-Rule-Set),可以參考下列網址:

 

OWASP Top 10: https://owasp.org/www-project-top-ten/

 

OWASP Core-Rule-Set: https://owasp.org/www-project-modsecurity-core-rule-set/  網頁內也大家可以看到Avi Network是方案的主要sponser之一。

 

因此,網頁應用防火牆一般要可以提供下列的功能,來進行重要Web Application的安全防護:

先到此為止:下篇我們針對Avi的Web Application Firewall相關功能進行介紹。