WAF與傳統(tǒng)防火墻
傳統(tǒng)防火墻的弱點在于:工作在三四層��,攻擊可以從80或443端口順利通過防火墻檢測��。
由于Web應用防火墻(WAF)的名字中有“防火墻”三個字���,所以很多用戶都很困惑��,我的網(wǎng)絡中已經(jīng)有了防火墻�,再引入Web應用防火墻��,是不是屬于重復投資?
實際上�����,Web應用防火墻和傳統(tǒng)意義上的防火墻�,然名字中都有“防火墻”三個字,但它們屬于兩類完全不同的產(chǎn)品����,不能互相替代。
從部署位置上看����,傳統(tǒng)防火墻需要架設在網(wǎng)關處��,而Web應用防火墻則部署在Web客戶端和Web服務器之間����。
從防范內(nèi)容來看�����,傳統(tǒng)防火墻只是針對一些底層(網(wǎng)絡層����、傳輸層)的信息進行阻斷,提供IP����、端口防護,對應用層不做防護和過濾;而Web應用防火墻則專注在應用核心層�����,對所有應用信息進行過濾�����,從而發(fā)現(xiàn)違反預先定義好的安全策略的行為。
Web應用防火墻(WAF)作為一種專業(yè)的Web安全防護工具����,基于對HTTP/HTTPS流量的雙向解碼和分析,可應對HTTP/HTTPS應用中的各類安全威脅����,如SQL注入�、XSS、跨站請求偽造攻擊(CSRF)��、Cookie篡改以及應用層DDoS等�����,能有效解決網(wǎng)頁篡改�����、網(wǎng)頁掛馬�、敏感信息泄露等安全問題,充分保障Web應用的高可用性和可靠性�����。
WAF與IPS
IPS入侵防御的弱點在于它基于已知漏洞和攻擊行為的防護,而且不能終止和處理SSL流量��。
Web應用防火墻(WAF)的與眾不同之處在于它對Web應用的理解����,對HTTP協(xié)議的深刻理解,和對應用層攻擊的理解�。
與傳統(tǒng)防火墻/IPS設備相比,WAF最顯著的技術(shù)差異性體現(xiàn)在:
1.對HTTP有本質(zhì)的理解:能完整地解析HTTP�����,支持各種HTTP編碼�����,提供嚴格的HTTP協(xié)議驗證��,提供HTML限制����,支持各類字符集編碼,具備response過濾能力��。
2.提供應用層規(guī)則:Web應用通常是定制化的�,傳統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應用層規(guī)則,且具備檢測變形攻擊的能力���,如檢測SSL加密流量中混雜的攻擊����。
3.提供正向安全模型(白名單模型):僅允許已知有效的輸入通過�,為Web應用提供了一個外部的輸入驗證機制,安全性更為可靠�����。
4.提供會話防護機制:防護基于會話的攻擊類型����,如Cookie篡改及會話劫持攻擊�����。
WAF不局限于網(wǎng)頁防篡改
網(wǎng)頁防篡改的弱點在于對于攻擊行為并不進行分析����,也不阻止攻擊的發(fā)生。
不可否認����,網(wǎng)頁被篡改是目前最直觀的Web安全問題�����,無論是政府網(wǎng)站����、高校網(wǎng)站����,還是運營商網(wǎng)站、企業(yè)網(wǎng)站�����,都曾出現(xiàn)過嚴重的網(wǎng)頁篡改事件����,這讓網(wǎng)頁防篡改產(chǎn)品開始映入人們的眼簾。
但網(wǎng)頁防篡改系統(tǒng)是一種軟件解決方案��,它的防護效果直接���,但是只能保護靜態(tài)頁面����,而無法保護動態(tài)頁面。
而網(wǎng)頁防篡改系統(tǒng)的不足����,恰恰是Web應用防火墻的優(yōu)勢。
