web應(yīng)用防火墻也被稱為網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)畦幢,按照一些常規(guī)的定義,WAF是指通過一系列針對(duì)HTTP/HTTPS的安全策略專門為web應(yīng)用提供保護(hù)的產(chǎn)品滔驾。它主要用于防御針對(duì)網(wǎng)絡(luò)應(yīng)用層的攻擊,像SQL注入、跨站腳本攻擊扁眯、參數(shù)篡改、應(yīng)用平臺(tái)漏洞攻擊翅帜、拒絕服務(wù)攻擊等姻檀。
同傳統(tǒng)防火墻不同的是,web應(yīng)用防火墻位于兩個(gè)或多個(gè)網(wǎng)絡(luò)之間涝滴,它們是實(shí)施網(wǎng)間訪問控制的一組組建的集合绣版,內(nèi)部和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過防火墻,只有符合安全策略的數(shù)據(jù)才能通過防火墻歼疮,它工作再開放系統(tǒng)互連參考模型的網(wǎng)絡(luò)層杂抽,通過地址轉(zhuǎn)換、訪問控制機(jī)器的狀態(tài)檢測(cè)等功能韩脏,對(duì)企業(yè)網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行保護(hù)缩麸。
Web應(yīng)用防火墻的部署主要有透明模式、路由模式赡矢、旁路監(jiān)控模式以及HA雙擊模式來滿足用戶的各種不同網(wǎng)絡(luò)結(jié)構(gòu)的應(yīng)用需求杭朱。
1)透明部署方式是在Web服務(wù)器和防火墻之間插入WAF,在透明模式下吹散,Web應(yīng)用防火墻只對(duì)流經(jīng)OSI應(yīng)用層的數(shù)據(jù)進(jìn)行分析弧械,而對(duì)其他層的流量不作控制,因此透明模式的最大特點(diǎn)就是快速空民、方便刃唐、簡單。
2)路由部署方式部署網(wǎng)橋透明模式的WAF的設(shè)備,其“透明”概念與網(wǎng)橋透明模式中相似唁桩,可以將其看做一個(gè)路由設(shè)備闭树,將其作為路由器進(jìn)行部署,同時(shí)確保要檢測(cè)的HTTP流量(指定IP和端口)經(jīng)過WAF設(shè)備即可荒澡。這種部署模式是網(wǎng)絡(luò)安全防護(hù)中保護(hù)程度最高的报辱,但是需要對(duì)防火墻和Web應(yīng)用服務(wù)的路由設(shè)置做出一定的調(diào)整,對(duì)網(wǎng)絡(luò)管理員的要求較高单山。
3)旁路部署模式是將WAF置于局域網(wǎng)交換機(jī)下碍现,訪問Web服務(wù)器的所有連接通過安全策略指向WAF。它的優(yōu)點(diǎn)是對(duì)網(wǎng)絡(luò)的影響較小米奸,但是在該模式下昼接,Web服務(wù)器無法獲取訪問者的真實(shí)IP地址。
