分享

产品来源估计同Cisco并购Reactivity有关，Reactivity是主攻XML Gateway的厂商。Cisco的ACE Web Security Gateway（以后简称ACEW）是并购其大概一年之后推出的，并且基于相同的硬件平台推出了 XML Gateway，时间上吻合。深度挖掘了一把，其Admin Guide中mib库的路径和名称如下：

/etc/reactivity/snmp/REACTIVITY-MIB.txt

还留着老公司的印记，因此推断，这款产品是从Reactivity购入的平台发展出来的，因为该公司名头不大，不像IronPort，Cisco保留该品牌成立了专门的产品线，而是被归入了ACE这个品牌下面。

至于ACE是（Application Control Engine）的简称，为Cisco的噱头，Cisco还有以之冠名的应用模块卡和Switch等几款产品，并不仅仅限于Web安全，但都是同应用安全相关的。

首先看看ACEW部署图

同IronPort的Web安全产品不同，很明显这款产品是保护Web Server的。

首先看看盒子的硬件组成：

参照该文档可知，这款产品硬件如下：

1. 1U的小盒子

2. 4个GE口

3. 两个双核Intel XeonCPU

4. 4G内存

5. 两块热插拔，SCSI硬盘

6. SSL加速卡，原文如下：

The ACE Web Application Firewall appliance supports the nCipher CHIL® (hardware crypto hook) engine module and Cavium Nitrox XL Security Accelerator.

硬件架构本身简单，易于山寨，童叟无欺。

再看看它的安全feature

• Full reverse proxy               —- 运行在反向代理模式
• Monitor mode deployment   — 支持passive模式
• Buffer overflow                   — 以下是一些web安全的features
• HTTP parameter manipulation, Protocol compliance
• Null byte blocking
• Input encoding normalization
• Response filtering and rewriting
• Flexible firewall actions
• Cookie and session tampering
• Cross-site scripting (XSS)
• Command injection, SQL injection
• Privacy enforcement by preventing information leak
• Cryptography enforcement
• Application and server error message cloaking
• Referrer enforcement
• Positive and negative security models   —由此可知，也支持inline的block模式
• Custom rules and signatures
• PCI compliance profiles   — 一个噱头，所有厂商都在提这个东西，翻开一看其实不是技术标准，而是要求所有信用卡商要部署WAF。

安全feature本身创新不多，都是业界已有的东西。

最后看看license声明。

从PCRE到Open SSL，这些Open Source界顶呱呱的产品，在商业界也成了相关领域的标准配置，国内厂商也都莫不如此。看来这款产品我们和Cisco在同一起跑线上，做不好只能怪技不如人了。

我的一些疑问：

对于大型的ASP或者数据中心中的集群Web Server，业界是用什么设备进行安全防护的，这点我没有经验。如果使用这样的小盒子，对于Server成千上万的大客户那需要购买多少台啊。

我猜测的解决方案有三种：

1.在web server上定制软件的WAF模块，不买任何WAF硬件，对于像MS, Google这样的公司有这个实力。

2.部署大量的ACE之类的小Box

3.使用少量的高性能的大Box

如果读者有大型网站（Google，新浪，百度，阿里巴巴之类的）的安全维护人员，还请赐教。（待续）

分享