Barracuda Web Application Web App Firewall...Connect Barracuda Web Application Firewall to Network ... Customized Security for Web sites ... The Barracuda Web Application Firewall is an

  • Published on
    15-May-2018

  • View
    216

  • Download
    2

Embed Size (px)

Transcript

  • RECLAIM YOUR NETWORK

    Administrators Guide

    Barracuda Web Application Firewall

    Barr

    acud

    a N

    etw

    orks

    Tech

    nica

    l Doc

    umen

    tatio

    n

    Version 7.6

  • Copyright NoticeCopyright (c) 2004-2011, Barracuda Networks, Inc., 3175 S. Winchester Blvd, Campbell, CA 95008 USAwww.barracuda.comv7.6-111027-028-1027All rights reserved. Use of this product and this manual is subject to license. Information in this document is subject to change without notice.

    TrademarksBarracuda Web Application Firewall is a trademark of Barracuda Networks. All other brand and product names mentioned in this document are registered trademarks or trademarks of their respective holders.

  • Contents

    Chapter 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . 9

    Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Core Functionality of the Barracuda Web Application Firewall . . . . . . . . . . . 12

    Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Application Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Application Acceleration and Assurance . . . . . . . . . . . . . . . . . . . . 13High Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Administration Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

    Technical Support. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15The Barracuda Web Application Firewall Models. . . . . . . . . . . . . . . . . . 16How to Use This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

    Chapter 2 Web Application Firewall Concepts . . . . . . . . . 19

    Deployment Mode Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Deployment Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20SSL Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Service Types Mapped to Deployment Modes . . . . . . . . . . . . . . . . . 21

    Security for a Web site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Negative and Positive Security Models . . . . . . . . . . . . . . . . . . . . . 22Extended Match and Condition Expressions Introduction. . . . . . . . . . . . 23

    Security Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Security Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

    Bidirectional Content Inspection and Security . . . . . . . . . . . . . . . . . . . 26Inbound Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Outbound Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Security Violation Handling . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Network Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

    Authentication, Authorization, and Access Control . . . . . . . . . . . . . . . . . 29Application Acceleration and Assurance . . . . . . . . . . . . . . . . . . . . . . 30

    Application Acceleration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30High Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

    Chapter 3 Gett ing a Service into Production . . . . . . . . . . 33

    Four Steps to Getting Up and Running . . . . . . . . . . . . . . . . . . . . . . . 34Choosing Your Deployment Mode . . . . . . . . . . . . . . . . . . . . . . . . . 35

    Proxy vs Bridge Operation Mode . . . . . . . . . . . . . . . . . . . . . . . . 36Proxy Deployment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Migration from One-Armed to Full Reverse Proxy . . . . . . . . . . . . . . . 38Bridge Path . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Practical Deployment Configuration Considerations . . . . . . . . . . . . . . 39

    Initial Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

    9

  • Prepare for the Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Connect Barracuda Web Application Firewall to Network. . . . . . . . . . . . 41Configure IP Address and Network Settings . . . . . . . . . . . . . . . . . . 41Configure the Barracuda Web Application Firewall . . . . . . . . . . . . . . . 42Activate Subscription Status. . . . . . . . . . . . . . . . . . . . . . . . . . . 43Update the Barracuda Web Application Firewall Firmware . . . . . . . . . . . 44Update Attack, Virus, and Security Definitions . . . . . . . . . . . . . . . . . 44

    Configuring Your First Service . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Creating and Editing a Service . . . . . . . . . . . . . . . . . . . . . . . . . 45Deploying an HTTP service . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Deploying an HTTPS service . . . . . . . . . . . . . . . . . . . . . . . . . . 46Configuring Load Balance in Proxy Mode. . . . . . . . . . . . . . . . . . . . 46

    Configuring Security for Services . . . . . . . . . . . . . . . . . . . . . . . . . . 47Configuring Basic Security for a Service . . . . . . . . . . . . . . . . . . . . 47Enabling Additional Security for a Service . . . . . . . . . . . . . . . . . . . 48

    Tuning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Introduction to Working with Logs . . . . . . . . . . . . . . . . . . . . . . . . 50Tuning using Web Firewall Logs and the Policy Tuner Tool. . . . . . . . . . . 50

    Enforcing Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

    Chapter 4 Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

    Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Securing an HTTP Web Site with HTTPS. . . . . . . . . . . . . . . . . . . . 55Creating a Redirect Service . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Creating an FTP Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Creating an FTP SSL Service . . . . . . . . . . . . . . . . . . . . . . . . . . 56Creating a Custom Service . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Creating a Custom SSL Service . . . . . . . . . . . . . . . . . . . . . . . . 57Configuring Servers for a Service . . . . . . . . . . . . . . . . . . . . . . . . 57

    Chapter 5 Customized Security for Web sites . . . . . . . . . 59

    Tuning Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Request Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Cookie Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61URL Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Parameter Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Cloaking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Data Theft Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64URL Normalization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Global ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Action Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

    Creating a New Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

    Chapter 6 Granular Security . . . . . . . . . . . . . . . . . . . . . . 67

    Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Web Site Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68URL Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Trusted Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

    10 Barracuda Web Application Firewall Administrators Guide

  • Allowing/Denying Specific URLs . . . . . . . . . . . . . . . . . . . . . . . . . . 70Allowing/Denying Specific Headers . . . . . . . . . . . . . . . . . . . . . . . 71

    Chapter 7 Adaptive Security . . . . . . . . . . . . . . . . . . . . . . 73

    Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Layout of Adaptive Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

    Exception Heuristics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Working with Exception Profiling . . . . . . . . . . . . . . . . . . . . . . . . . . 78

    Configuring Exception Profiling . . . . . . . . . . . . . . . . . . . . . . . . . 78Learning from Trusted Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . 78Learning Concurrently from Trusted and Non-Trusted Traffic . . . . . . . . . . 78Pending Recommendations . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

    Working with Adaptive Profiling. . . . . . . . . . . . . . . . . . . . . . . . . . . 79Configuring Adaptive Profiling. . . . . . . . . . . . . . . . . . . . . . . . . . 79Working with Navigation parameters . . . . . . . . . . . . . . . . . . . . . . 79Configuring URLs to be Excluded from Adaptive Profiling . . . . . . . . . . . 80Understanding Request and Response Learning . . . . . . . . . . . . . . . . 80Viewing Newly Generated Profiles . . . . . . . . . . . . . . . . . . . . . . . 83Enforcing Learned Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Using Strict Profile Checks to Enforce Positive Security . . . . . . . . . . . . 84

    Recommended way to use the Adaptive Security feature . . . . . . . . . . . . . 85

    Chapter 8 Advanced Security . . . . . . . . . . . . . . . . . . . . . 87

    Advanced Attack Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88URL Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Session Tracking to Prevent Session DoS . . . . . . . . . . . . . . . . . . . 89Masking Sensitive Data in Logs . . . . . . . . . . . . . . . . . . . . . . . . . 89

    Chapter 9 Advanced Tuning . . . . . . . . . . . . . . . . . . . . . . 91

    User Defined Data Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Internal Patterns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Creating and Using Custom Identity Theft Patterns. . . . . . . . . . . . . . . 93Creating and Using Custom Attack Types . . . . . . . . . . . . . . . . . . . 93Creating and Using Custom Input Types . . . . . . . . . . . . . . . . . . . . 94Creating and Using Custom Parameter Class . . . . . . . . . . . . . . . . . 94Creating and Using Custom Response Pages . . . . . . . . . . . . . . . . . 95Creating Session Identifiers . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Rate Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

    Chapter 10 Traff ic Management . . . . . . . . . . . . . . . . . . . 99

    Traffic Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Monitoring the Health of the Server . . . . . . . . . . . . . . . . . . . . . . 101Configuring a Backup Server . . . . . . . . . . . . . . . . . . . . . . . . . 102Content Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Configuring Caching. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Configuring Compression . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

    11

  • Chapter 11 Web Site Translation . . . . . . . . . . . . . . . . . . . 107

    Configuring Web Site Translation. . . . . . . . . . . . . . . . . . . . . . . . . 108

    Chapter 12 U...

Recommended

View more >