Web应用防火墙入门
作者:iisutm安全小组
原文:www.iisutm.com
Web应用防火墙正日趋流行 , 过去这些工具被很少数的大型项目垄断 , 但是 , 随着大量的低成本产品的面市以及可供选择的开源试用产品的出现 , 它们最终能被大多数人所使用 。在这篇文章中 , 先向大家介绍Web应用防火墙能干什么 , 然后快速的概览一下Web应用防火墙最有用的一些特征 。通过这篇文章的阅读 , 大家能清楚地了解web应用防火墙这个主题 , 掌握相关知识 。
;
什么是web应用防火墙? 有趣的是 , 还没有人能真正知道web应用防火墙究竟是什么 , 或者确切的说 , 还没有一个大家认可的精确定义 。从广义上来说 , Web应用防火墙就是一些增强 Web应用安全性的工具 。然而 , 如果我们要深究它精确的定义 , 就可能会得到更多的疑问 。因为一些Web应用防火墙是硬件设备 , 一些则是应用软件;一些是基于网络的 , 另一些则是嵌入WEB服务器的 。
国外市场上具有WEB应用防火墙功能的产品名称就有不同的几十种 , 更不用说是产品的形式和描述了 。它难以界定的原因是这个名称包含的东西太多了 。较低的网络层(Web应用防火墙被安置在第七层)被许多设备所覆盖 , 每一种设备都有它们独特的功能 , 比如路由器 , 交换机 , 防火墙 , 入侵检测系统 , 入侵防御系统等等 。然而 , 在HTTP的世界里 , 所有这些功能都被融入在一个设备里:Web应用防火墙 。
总体来说 , Web应用防火墙的具有以下四个方面的功能:
1. 审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话
2. 访问控制设备:用来控制对Web应用的访问 , 既包括主动安全模式也包括被动安全模式
3. 架构/网络设计工具:当运行在反向代理模式 , 他们被用来分配职能 , 集中控制 , 虚拟基础结构等 。
4. WEB应用加固工具:这些功能增强被保护Web应用的安全性 , 它不仅能够屏蔽WEB应用固有弱点 , 而且能够保护WEB应用编程错误导致的安全隐患 。
但是 , 需要指出的是 , 并非每种被称为Web应用防火墙的设备都同时具有以上四种功能 。
由于WEB应用防火墙的多面性 , 拥有不同知识背景的人往往会关注它不同方面的特点 。比如具有网络入侵检测背景的人更倾向于把它看作是运行在HTTP层上的 IDS设备;具有防火墙自身背景的人更趋向与把它看作一种防火墙的功能模块 。还有一种理解来自于“深度检测防火墙这个术语 。他们认为深度检测防火墙是一种和Web应用防火墙功能相当的设备 。然而 , 尽管两种设备有些相似之处 , 但是差异还是很大的 。深度检测防火墙通常工作在的网络的第三层以及更高的层次 , 而 Web应用防火墙则在第七层处理HTTP服务并且很好地支持它 。
直接更改WEB代码解决安全问题是否更好?这是毋庸置疑的 , 但也没那么容易(实现) 。
因为 , 通过更改WEB应用代码是否一定就能增强系统安全性能 , 这本身就存在争论 。而且现实也更加复杂:
* 不可能确保100%的安全 。人的能力有限 , 会不可避免地犯错误 。
;* 绝大多数情况下 , 很少有人力求100%的安全 。如今的现实生活中那些引领应用发展的人更多注重功能而不是安全 。这种观念正在改变 , 只是有点缓慢 。
;* 一个复杂的系统通常包含第三方产品(组件 , 函数库) , 它们的安全性能是不为人知的 。如果这个产品的源代码是保密的 , 那么你必须依赖商品的厂商提供补丁 。即使有些情况下源代码是公开的 , 你也不可能有精力去修正它们 。
;* 我们不得不使用存在安全隐患的业务系统 , 尽管这些旧系统根本无法改进 。
推荐阅读
- WEB安全---防范XSS跨站式脚本攻击
- 解析MAC地址通知特性应用及相关配置
- vivox60怎么隐藏应用
- 联想小新应用商店在哪
- 荣耀9x如何隐藏应用 荣耀9x如何隐藏应用软件
- 哪些手机支持应用分身
- IISUTM网站防火墙 V1.1 免费试用活动
- 苹果下架对手app应用 副总裁:下架竞品侵犯用户隐私
- 魅族16s管理应用权限教程
- iPhone应用加密怎么设置 苹果手机怎么给应用上密码锁