強化 DDoS 防護工作、踢走自動化彊屍網絡攻擊

一直以來，企業都會透過防火牆針對不同的網絡攻擊進行防護工作，然而當我們需要針對 DDoS、自動化殭屍網絡攻擊，尤其在網頁應用層面，傳統的防火牆往往未能應付得到。近期自動化殭屍網絡攻擊頻頻出現於各大網絡平台，就連 HKITBLOG 亦受到攻擊；同時這類型的攻擊亦瞄準主要銀行及知名的網絡平台如 WordPress 等發動攻擊，因而惡名昭彰。縱使整體攻擊數量沒有太大的波動，可是攻勢愈趨猛烈，而且為時不斷延長。因此，企業必須加強保安，以策萬全。

上述提到傳統的防火牆未必能應付這種高頻率的攻擊，這絕對是事實之全部，因為我們早已體驗過這種攻擊﹐深知傳統防火牆的無奈…所以要有效應付這類型攻擊，新式的應用防火牆或者可以幫到你。近日 Barracuda 便推出一款網絡應用防火牆 (Barracuda Web Application Firewall) 7.8 版，此防火牆的目標便正正針對殭屍網絡 (Botnet) 自動化攻擊進行防護工作。

有關方案已能把分散式阻斷服務 (DDoS) 保安技術擴展至網絡及應用層。它能夠根據地理位置、IP 位址和用戶類型來控制流量，使管理人員得以調節或封鎖惡意程式的連結請求。首先方案提供一個名為 Barracuda IP 信譽評級功能，此功能主要透過覆蓋網絡、網頁和電郵流量等主要安全向量的數十萬部安全裝置，提供受感染電腦、殭屍電腦 (Zombie) 及/或殭屍網絡的分類；透過此功能配合上 Barracuda 網絡應用防火牆，管理員除能識別 DDoS 攻擊之外，更可阻截試圖發動 DDoS 攻擊的殭屍網絡，令企業面對 DDoS 攻擊時可做到更主動。

而針對彊屍網絡偽裝，方案亦加入了用戶指紋功能，所謂的指紋功能主要是利用在網站回應內加入 JavaScript 認證等技術，藉以區分殭屍網絡及真人用戶，以及封鎖殭屍網絡的惡意請求；配合上自動化 CAPTCHA 認證，方案更可自動對可疑的用戶進行 CAPTCHA 認證，而在整個過程中，亦不需刻意對應用進行變更。

最後方案亦提供了用戶瀏覽器控制，透過實施更嚴密的保安控制，從而防止惡意的 javascript、路過式下載 (Drive-by-download) 或其他針對用戶的網絡攻擊，如此一來網絡應用防火牆便能設定用戶瀏覽器行為，藉以減低用戶遭受攻擊的風險；除了這些功能，方案亦針對多項管理及效能進行優化，包括：

在現有硬件平台上的 Barracuda 網絡應用防火牆 960 及更高階型號，增加吞吐量至 4Gbps。
整合 Kerberos 安全協定，最終可在多個不同的後端網絡服務提供單一登入功能。
支援認證撤銷列表 (Certificate Revocation List，簡稱 CRL)，加強 SSL 認證管理。