1、PIOLINK WEBFRONT2PIOLINK Inc.PIOLINK Inc.遠遠景目景目標標 成成為為ADC（應應用交用交換設備換設備）市）市場場的的領領導導者，者， 為為了了這個這個目目標標, 我我們將們將在在2015年在包括中年在包括中國國，韓國韓國，日本在，日本在內內的的亞亞洲洲市市場場成成為為第一第一 。PIOPIOneers of neers of LinkLink Technology Technology成立成立時間時間 : : 2000年7月，韓國首爾分支機分支機構構 : : 東京, 上海, 北京, 廣州, 西安, 沈陽, 成都, 臺北主要主要業務業務 : : 應用交換機

2、 (ADC*) 和應用安全交換機 Red HerringRed Herring（紅鯡魚紅鯡魚）亞亞洲洲100100強強 , Deloitte , Deloitte 德勤德勤亞亞太太 500500強高速成強高速成長長企企業業入入選選3應用交換設備QoS TCP Offload SSL Accel. Compression CachingOptimizationAvailabilitySecurityManageabilityUser- Behavior- Analysis Application Activity- Monitoring Web Application Security Appl

3、ication Firewall DDoS Load BalancingL4-7 Switching High Availability L7 Filtering PAS （帶增值功能）PAS 系列WEBFRONTInFRONT價價值值定位定位The Leader of Application NetworkingWEBFRONTWeb Application FirewallThe Leader of Application Networking攻攻擊擊目目標標Nowadays 70% of Hacking is based on vul. Of Web.Web 攻攻擊擊目的目的Target

4、ing Cyber money, online game, Internet banking, e-ShopSimple curiosity, Information acquisition - military, economical, social purposedWebWeb攻攻擊擊的的趨勢趨勢Curiosity,Boast,HobbyPolitical, MilitaryEconomicalSocial ProblemHTTP (Port 80)HTTP (Port 80)NETBIOS (Port 139)NETBIOS (Port 139)Microsoft-DS (Port 44

5、5)Microsoft-DS (Port 445)Location Service (Port 135)Location Service (Port 135)ICMPICMPOtherOtherThe Leader of Application Networking為為什么么WEB比較較脆弱? 結構結構性弱點性弱點 訪問 : 一般防火墻對于internet訪問要公開 80/443端口 模塊化編程 : Web應用模塊是由具有不同安全級別的第三方程序開發和集成的 遠程控制 : 通過簡單的web瀏覽器你能對Web服務器輸入各種命令DBDBWeb appWebClientWeb appWeb appW

6、eb appHTTP request(cleartext or SSL)HTTP reply (HTML, Javascript, VBscript, etc)Websphere, OAS, Weblogic, JSP, Netscape, Perl,C/C+, etcApache, IIS, IBM, Sun, Zeus, etcOracle, MS-SQL, Informix, MySQL PostgreSQL, Sybase, etcConnectorConnectorIE, Firefox, Netscape,OpreaWebServerFW/IPSADO, ODBC, etc.3 T

7、ier Architecture3 Tier ArchitectureThe Leader of Application NetworkingWEBFRONT-安全功能介安全功能介紹紹 ClientWeb ServerUser RequestServer Reply1. 1. 請請求校求校驗驗Application Access ControlForm Field InspectionRequest FloodingBuffer OverflowSQL/XSS ProtectionFile Upload Inspection4. 4. 適適應應性性學習學習Application Access

8、ControlForm Field/Shell Code/CookieSQL/XSS Learning3. 3. 偽偽裝裝URL TranslationServer MasqueradingImproper Error Handling2. 2. 內內容保容保護護Credit Card Info. ProtectionSocial Security No. ProtectionWeb Page Integrity InspectionResponse Header InspectionBank Account Info. ProtectionWISE FilterWEBFRONTUser Re

9、questUser RequestServer ReplyServer ReplyWeb 安全特征請求校驗, 內容保護, 適應性學習, 偽裝The Leader of Application NetworkingWEBFRONT 主要功能主要功能 - Request Validationq應應用用進進入控制入控制(Application Access Control) q(Form Field Integrity Inspection) q(Form Field Format Inspection)q(Cookie Integrity Inspection)q (Cookie Format I

10、nspection) q(Cookie Access Control)q(Request Flood Inspection) q(Buffer Overflow Prevention) qSQL 注入注入攔攔截截 (SQL Injection Prevention) q跨站腳本保跨站腳本保護護 (Cross Site Scripting Prevention) q(Evasion Detection)q請請求形式求形式檢查檢查 (Request Header Validation)q請請求方法求方法檢查檢查(Request Method Validation)qWISE Filter客戶端WE

11、B服務器User Request通過檢查的數據正常請求請請求判求判斷斷(Request Validation)詳細項詳細項目目針對客戶端惡意的請求及侵入進行感知及攔截的針對客戶端惡意的請求及侵入進行感知及攔截的WEBWEB安全的重要功能安全的重要功能非法請求The Leader of Application NetworkingWEBFRONT 主要功能主要功能 - Content Protection針對針對客客戶戶端的端的請請求確求確認認WEBWEB服服務務器的器的應應答答, , 針對針對信用卡信用卡, , 身身份證份證等等個個人情人情報進報進行保行保護護以防泄露以防泄露的功能的功能客戶端

12、WEB服務器服務務器應應答Server ReplyServer Reply通過檢查過檢查的應應答通過檢查過檢查的應應答內內容保容保護護(Content Protection)q(Web Page Integrity Inspection)q信用卡信息泄露防止信用卡信息泄露防止(Credit Card Information Leakage Prevention) q個個人身人身份證份證信息泄露防止信息泄露防止(Social Security Number Leakage Prevention)q銀銀行行帳號帳號信息泄露防止信息泄露防止 (Bank Account Number Leakage

13、Prevention)q應應答形式答形式檢查檢查(Response Header Validation) q(comment masking)qWISE Filter非法應應答攔截詳細項詳細項目目The Leader of Application NetworkingWEBFRONT 主要功能主要功能 偽偽裝裝Cloaking客戶端WEB服務器服服務務器器應應答答Server Reply偽偽裝后裝后應應答答Cloaking InformationURL 詳細內容IP AddressTCP Port Number服務器種類個數WAS typeOperating SystemVersion Num

14、bersPatch Levels服服務務器器偽偽裝裝(Cloaking)為為了防止了防止WEBWEB服服務務器的信息外泄器的信息外泄, , 針對對針對對客客戶戶端提供非端提供非真實真實的服的服務務器的信息器的信息詳細內詳細內容容q URL 變換變換(Bi-directional URL Translation, WAT) q (Improper Error Handing)q 服服務務器器偽偽裝裝 (Server Masquerading)偽偽裝后裝后應應答答The Leader of Application NetworkingWEBFRONT 主要功能主要功能 - Adaptive Lea

15、rning客戶端WEB服務器User Request服服務務器器應應答答Server Reply檢查檢查后通后通過過檢測檢測后通后通過過檢測檢測后通后通過過User RequestAdaptive Learning“B” = “B”“A” = “A”根據正常服根據正常服務務的的請請求和求和應應答答進進行行學習學習, , 可以可以針對針對大量的安全策略快速適大量的安全策略快速適應應. .q 接近控制學習(Application Access Control)(Application Access Control)q (Form Field) (Form Field)學習學習q (Cookie)

16、(Cookie)學習學習q SQL SQL 使用使用學習學習(SQL Usage) (SQL Usage) q (Scripting Usage) (Scripting Usage)腳本腳本學習學習 q (Shell code Usage) (Shell code Usage)詳細內詳細內容容The Leader of Application NetworkingVLAN1VLAN2統統一一Segment (VLAN1)高可用性高可用性結構結構 High AvailabilityRouterWEBFRONTWEB 服務器 HA 結構結構 Fail-Open (Hardware Bypass)

17、構構成成 高可用高可用( Active-Standby) 構構成成WEBFRONTWEB 服務器The Leader of Application Networking方便的管理模式方便的管理模式Easy/Advanced ModeAdvanced : 專業詳細的配置Easy : 簡單快速模式應用產生的魔法師Real-Time Dashboard全系統的統一監控按應用類別進行監控Professional Analyzer長期的數據收集及分析Database 大量報告提供自動化報告生成The Leader of Application NetworkingWEBFRONTClean Web Zo

18、neHTTP/S網絡網絡安全安全WormFTP, telnetScan, SpoofingPing of DeathSQL injectionCookie PoisoningBuffer OverflowWeb DoSWEBFRONT 特點特點Network SecurityForceful Browsing,Cross Site ScriptWeb Application SecurityWEB應應用安全用安全The Leader of Application Networking構構成要素成要素詳細詳細描述描述Network SecuritySystem 安全安全 對對WEBFRONT設備

19、安全設備安全, DoS 攔攔截截, 認證認證L47 Filter Network Stateful Firewall, ACLAdvancedContent Filter Worm Protection DoS/ DDoS Protection Scan攔攔截截 IP Spoofing攔攔截截System SecurityL47 FilterAdvanced Content FilterAccess ControlDoS/DDoS攔攔截截StatefulFirewallIP Spoofing攔截攔截Scan 攔截攔截DoS/DDoS攔截攔截Worm virusFilterContentFilt

20、erNetwork Security WEBFRONT 特點特點The Leader of Application Networking高效交付硬件平臺（高效交付硬件平臺（ASSP)ASSP)靈靈活的活的, 可可擴擴展的展的應應用交用交換換平臺平臺 多端口交換平臺 多VLAN的劃分 多核心分布式多核心分布式處處理系理系統統 專用的安全引擎(engine), 及管理CPU分離設計使性能大幅度提高模模塊塊化化結構結構設計結構結構設計: 集成了web 防火墻, 網絡防火墻, L4/7 交換負載, IPS, SSL加速等功能.高性能背板速度高性能背板速度 88Gbps Management CPU88

21、 Gbps Switching Backplane16 x 10/100/1000 BASE-T/BASE-SXApplication Security EngineThe Leader of Application NetworkingDPI DPI 加速卡加速卡 ( (專利技術專利技術) )深度包深度包檢測檢測（DPI)協處理器實現快速數據處理協處理器實現快速數據處理基于基于PIOLINK研發研發的的FPGADFA (Deterministic Finite Automata) 方法方法POSIX 兼容兼容高速的高速的內內容可容可尋尋址的址的內內存存查查找找 Minimizing Late

22、ncy timeParallelized engines up to 100 coreHigh speed DMA function高性能的高性能的規則數規則數量量More than 100K signatureMax. 4GB external memory (DDR3 SDRAM)DPI 加速卡硬件加速卡硬件結構結構 FPGA based PCI Express x4 CardMulti-host / Multi-core CPU environment Low power : 4W The Leader of Application NetworkingPIOLINK OS : PLOS

23、PIOLINK OS : PLOS高性能應用代理高性能應用代理 采用同采用同樣計樣計算能力算能力 CPU條條件下的性能比件下的性能比較較PIOLINK : PAS 5016, BCM1250 單核Alteon 2224 : BCM1250 單核Socket Proxy : Pentium 4 1.7GHz比普通的代理技比普通的代理技術術性能高出性能高出100倍倍The Leader of Application NetworkingPIOLINK OS : PLOSPIOLINK OS : PLOS有有競爭競爭力的力的應用安全應用安全(WAF)性能性能對對每一每一個處個處理保理保證證最小的最小的時時延和最小的延和最小的內內存使用率存使用率.卓越的測試性能表現卓越的測試性能表現TPS/CPS 吞吞吐量吐量Latency并發會話數并發會話數PIOLINK WEBFRONT-XG60K6Gbps2MF5 BIG-IP 6800 ASMNetContinuum NC-2000 AGCitrix APS-200iMPERVA SecureSp