Web應(yīng)用的日益普及和Web攻擊的與日俱增，讓W(xué)eb安全問(wèn)題備受關(guān)注。但對(duì)于正常流量中的危險(xiǎn)分子，傳統(tǒng)的安全產(chǎn)品根本無(wú)能為力，此時(shí)，我們?cè)摽渴裁磥?lái)保護(hù)Web應(yīng)用？Web應(yīng)用防火墻無(wú)疑是最佳之選。但Web應(yīng)用防火墻究竟是什么？它和傳統(tǒng)的安全產(chǎn)品有什么不同？應(yīng)用起來(lái)又有要注意什么？請(qǐng)看《走出Web應(yīng)用防火墻認(rèn)識(shí)誤區(qū)》系列文章。

早在2004年，國(guó)外一些安全廠商就提出了Web應(yīng)用防火墻（Web Application Firewall，簡(jiǎn)稱WAF）的概念，并開(kāi)始了逐步的嘗試（例如梭子魚(yú)網(wǎng)絡(luò)有限公司將Netcontinuum公司納入旗下，當(dāng)時(shí)的Netcontinuum就是這一領(lǐng)域的先行者，其解決方案包含網(wǎng)站的網(wǎng)絡(luò)應(yīng)用安全、通信管理和SSL加速等）。支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)也發(fā)布了支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），這讓W(xué)eb應(yīng)用防火墻開(kāi)始被越來(lái)越多的人所熟知。但因?yàn)闃I(yè)界一直缺乏明確的標(biāo)準(zhǔn)，有些安全產(chǎn)品也能夠在一定層次上保護(hù)某些Web應(yīng)用，人們對(duì)Web應(yīng)用防火墻的認(rèn)識(shí)一直處于“霧里看花”的狀態(tài)，在很多問(wèn)題上都很困惑。

那么，Web應(yīng)用防火墻既然也叫“防火墻”，是不是和傳統(tǒng)防火墻差不多？它和IPS產(chǎn)品又有什么區(qū)別？網(wǎng)頁(yè)防篡改產(chǎn)品也能保護(hù)Web應(yīng)用，它是不是也可以算是Web應(yīng)用防火墻的一種？

WAF不同于傳統(tǒng)防火墻

傳統(tǒng)防火墻的弱點(diǎn)在于：工作在三四層，攻擊可以從80或443端口順利通過(guò)防火墻檢測(cè)。

由于Web應(yīng)用防火墻的名字中有“防火墻”三個(gè)字，所以很多用戶都很困惑，我的網(wǎng)絡(luò)中已經(jīng)有了防火墻，再引入Web應(yīng)用防火墻，是不是屬于重復(fù)投資？

實(shí)際上，Web應(yīng)用防火墻和傳統(tǒng)意義上的防火墻，然名字中都有“防火墻”三個(gè)字，但它們屬于兩類完全不同的產(chǎn)品，不能互相替代。

從部署位置上看，傳統(tǒng)防火墻需要架設(shè)在網(wǎng)關(guān)處，而Web應(yīng)用防火墻則部署在Web客戶端和Web服務(wù)器之間。

從防范內(nèi)容來(lái)看，傳統(tǒng)防火墻只是針對(duì)一些底層（網(wǎng)絡(luò)層、傳輸層）的信息進(jìn)行阻斷，提供IP、端口防護(hù)，對(duì)應(yīng)用層不做防護(hù)和過(guò)濾；而Web應(yīng)用防火墻則專注在應(yīng)用核心層，對(duì)所有應(yīng)用信息進(jìn)行過(guò)濾，從而發(fā)現(xiàn)違反預(yù)先定義好的安全策略的行為。

Web應(yīng)用防火墻作為一種專業(yè)的Web安全防護(hù)工具，基于對(duì)HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對(duì)HTTP/HTTPS應(yīng)用中的各類安全威脅，如SQL注入、XSS、跨站請(qǐng)求偽造攻擊（CSRF）、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問(wèn)題，充分保障Web應(yīng)用的高可用性和可靠性。

WAF不同于IPS

IPS入侵防御的弱點(diǎn)在于它基于已知漏洞和攻擊行為的防護(hù)，而且不能終止和處理SSL流量。

Web應(yīng)用防火墻的與眾不同之處在于它對(duì)Web應(yīng)用的理解，對(duì)HTTP協(xié)議的深刻理解，和對(duì)應(yīng)用層攻擊的理解。

與傳統(tǒng)防火墻/IPS設(shè)備相比，WAF最顯著的技術(shù)差異性體現(xiàn)在：

1.對(duì)HTTP有本質(zhì)的理解：能完整地解析HTTP，支持各種HTTP編碼，提供嚴(yán)格的HTTP協(xié)議驗(yàn)證，提供HTML限制，支持各類字符集編碼，具備response過(guò)濾能力。

2.提供應(yīng)用層規(guī)則：Web應(yīng)用通常是定制化的，傳統(tǒng)的針對(duì)已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應(yīng)用層規(guī)則，且具備檢測(cè)變形攻擊的能力，如檢測(cè)SSL加密流量中混雜的攻擊。

3.提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過(guò)，為Web應(yīng)用提供了一個(gè)外部的輸入驗(yàn)證機(jī)制，安全性更為可靠。

4.提供會(huì)話防護(hù)機(jī)制：防護(hù)基于會(huì)話的攻擊類型，如Cookie篡改及會(huì)話劫持攻擊。

WAF不局限于網(wǎng)頁(yè)防篡改

網(wǎng)頁(yè)防篡改的弱點(diǎn)在于對(duì)于攻擊行為并不進(jìn)行分析，也不阻止攻擊的發(fā)生。

不可否認(rèn)，網(wǎng)頁(yè)被篡改是目前最直觀的Web安全問(wèn)題，無(wú)論是政府網(wǎng)站、高校網(wǎng)站，還是運(yùn)營(yíng)商網(wǎng)站、企業(yè)網(wǎng)站，都曾出現(xiàn)過(guò)嚴(yán)重的網(wǎng)頁(yè)篡改事件，這讓網(wǎng)頁(yè)防篡改產(chǎn)品開(kāi)始映入人們的眼簾。

但網(wǎng)頁(yè)防篡改系統(tǒng)是一種軟件解決方案，它的防護(hù)效果直接，但是只能保護(hù)靜態(tài)頁(yè)面，而無(wú)法保護(hù)動(dòng)態(tài)頁(yè)面。

而網(wǎng)頁(yè)防篡改系統(tǒng)的不足，恰恰是Web應(yīng)用防火墻的優(yōu)勢(shì)。WAF部署在網(wǎng)絡(luò)中，深入分析HTTP協(xié)議流量，在全面防御各種Web安全威脅的同時(shí)，對(duì)Web服務(wù)器沒(méi)有任何干擾，從根本上解決了包括網(wǎng)頁(yè)篡改在內(nèi)的主要Web安全問(wèn)題。

標(biāo)簽： ddos https ssl web服務(wù)器 web應(yīng)用防火墻 安全 防火墻 服務(wù)器 漏洞 企業(yè)網(wǎng)站 通信 網(wǎng)絡(luò) 運(yùn)營(yíng)商網(wǎng)站

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。