WAF—Web Application Firewall ,可以用來屏蔽常見的網站漏洞攻擊拂共,如SQL注入唆途,XML注入硬贯、XSS等焕襟。一般針對的是應用層而非網絡層的入侵,從技術角度應該稱之為Web IPS饭豹。其防護重點是SQL注入鸵赖。
Web防火墻產品部署在Web服務器的前面,串行接入拄衰,不僅在硬件性能上要求高它褪,而且不能影響Web服務,所以HA功能翘悉、Bypass功能都是必須的茫打,而且還要與負載均衡、Web Cache等Web服務器前的常見的產品協(xié)調部署。
Web應用防火墻的主要技術的對入侵的檢測能力老赤,尤其是對Web服務入侵的檢測轮洋,Web防火墻最大的挑戰(zhàn)是識別率,這并不是一個容易測量的指標抬旺,因為漏網進去的入侵者弊予,并非都大肆張揚,比如給網頁掛馬嚷狞,你很難察覺進來的是那一個块促,不知道當然也無法統(tǒng)計。對于已知的攻擊方式床未,可以談識別率;對未知的攻擊方式,你也只好等他自己“跳”出來才知道振坚。
現(xiàn)在市場上大多數(shù)的產品是基于規(guī)則的WAF薇搁。其原理是每一個會話都要經過一系列的測試,每一項測試都由一個過多個檢測規(guī)則組成渡八,如果測試沒通過啃洋,請求就會被認為非法并拒絕。
基于規(guī)則的WAFs很容易構建并且能有效的防范已知安全問題屎鳍。當我們要制定自定義防御策略時使用它會更加便捷宏娄。但是因為它們必須要首先確認每一個威脅的特點,所以要由一個強大的規(guī)則數(shù)據(jù)庫支持逮壁。WAF生產商維護這個數(shù)據(jù)庫孵坚,并且他們要提供自動更新的工具。
這個方法不能有效保護自己開發(fā)的WEB應用或者零日漏洞(攻擊者使用的沒有公開的漏洞)窥淆,這些威脅使用基于異常的WAF更加有效卖宠。
異常保護的基本觀念是建立一個保護層,這個保護層能夠根據(jù)檢測合法應用數(shù)據(jù)建立統(tǒng)計模
