WEB應(yīng)用防火墻的相關(guān)介紹
今天學(xué)習(xí)啦小編要跟大家介紹下WEB應(yīng)用防火墻是什么,下面就是學(xué)習(xí)啦小編為大家整理到的資料,請大家認(rèn)真看看!
WEB應(yīng)用防火墻的相關(guān)介紹
Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。定義利用國際上公認(rèn)的一種說法:總體來說,Web應(yīng)用防火墻的具有以下四大個(gè)方面的功能(參考WAF入門,對內(nèi)容做了一些刪減及改編)。
審計(jì)設(shè)備
用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。
訪問控制設(shè)備
用來控制對Web應(yīng)用的訪問,既包括主動安全模式也包括被動安全模式。
架構(gòu)/網(wǎng)絡(luò)設(shè)計(jì)工具
當(dāng)運(yùn)行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎(chǔ)結(jié)構(gòu)等。
WEB應(yīng)用加固工具
這些功能增強(qiáng)被保護(hù)Web應(yīng)用的安全性,它不僅能夠屏蔽WEB應(yīng)用固有弱點(diǎn),而且能夠保護(hù)WEB應(yīng)用編程錯(cuò)誤導(dǎo)致的安全隱患。
需要指出的是,并非每種被稱為Web應(yīng)用防火墻的設(shè)備都同時(shí)具有以上四種功能。
同時(shí)WEB應(yīng)用防火墻還具有多面性的特點(diǎn)。比如從網(wǎng)絡(luò)入侵檢測的角度來看可以把WAF看成運(yùn)行在HTTP層上的IDS設(shè)備;從防火墻角度來看,WAF是一種防火墻的功能模塊;還有人把WAF看作“深度檢測防火墻”的增強(qiáng)。(深度檢測防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次,而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它。)
功能描述
WEB應(yīng)用防火墻是集WEB防護(hù)、網(wǎng)頁保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的WEB整體安全防護(hù)設(shè)備。它集成全新的安全理念與先進(jìn)的創(chuàng)新架構(gòu),保障用戶核心應(yīng)用與業(yè)務(wù)持續(xù)穩(wěn)定的運(yùn)行。
1、事前主動防御,智能分析應(yīng)用缺陷、屏蔽惡意請求、防范網(wǎng)頁篡改、阻斷應(yīng)用攻擊,全方位保護(hù)WEB應(yīng)用。
2、事中智能響應(yīng),快速P2DR建模、模糊歸納和定位攻擊,阻止風(fēng)險(xiǎn)擴(kuò)散,消除“安全事故”于萌芽之中。
3、事后行為審計(jì),深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價(jià)值,為評估安全狀況提供詳盡報(bào)表。
4、面向客戶的應(yīng)用加速,提升系統(tǒng)性能,改善WEB訪問體驗(yàn)。
5、面向過程的應(yīng)用控制,細(xì)化訪問行為,強(qiáng)化應(yīng)用服務(wù)能力。
6、面向服務(wù)的負(fù)載均衡,擴(kuò)展服務(wù)能力,適應(yīng)業(yè)務(wù)規(guī)模的快速壯大。[1]
特點(diǎn)
Web應(yīng)用防火墻的一些常見特點(diǎn)如下。
異常檢測協(xié)議
Web應(yīng)用防火墻會對HTTP的請求進(jìn)行異常檢測,拒絕不符合HTTP標(biāo)準(zhǔn)的請求。并且,它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過,從而減少攻擊的影響范圍。甚至,一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項(xiàng)。
增強(qiáng)的輸入驗(yàn)證
增強(qiáng)輸入驗(yàn)證,可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。
及時(shí)補(bǔ)丁
修補(bǔ)Web安全漏洞,是Web應(yīng)用開發(fā)者最頭痛的問題,沒人會知道下一秒有什么樣的漏洞出現(xiàn),會為Web應(yīng)用帶來什么樣的危害?,F(xiàn)在WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。當(dāng)然,這種屏蔽掉漏洞的方式不是非常完美的,并且沒有安裝對應(yīng)的補(bǔ)丁本身就是一種安全威脅,但我們在沒有選擇的情況下,任何保護(hù)措施都比沒有保護(hù)措施更好。
(附注:及時(shí)補(bǔ)丁的原理可以更好的適用于基于XML的應(yīng)用中,因?yàn)檫@些應(yīng)用的通信協(xié)議都具規(guī)范性。)
基于規(guī)則的保護(hù)和基于異常的保護(hù)
基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則,WAF生產(chǎn)商會維護(hù)這個(gè)規(guī)則庫,并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對應(yīng)用進(jìn)行全方面檢測。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型,并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到,可現(xiàn)實(shí)中這是十分困難的一件事情。
狀態(tài)管理
WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認(rèn)登錄頁面并且記錄事件。通過檢測用戶的整個(gè)操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件(比如登陸失敗),并且在達(dá)到極限值時(shí)進(jìn)行處理。這對暴力攻擊的識別和響應(yīng)是十分有利的。
其他防護(hù)技術(shù)
WAF還有一些安全增強(qiáng)的功能,可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如:隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。
防護(hù)理念:
安全防護(hù)管控體系:提供區(qū)分攻擊行為類別的多種防御引擎、對攻擊行為進(jìn)行針對性的事件處理策略配置、定義具體攻擊行為的匹配規(guī)則定制,對已知和未知的Web攻擊進(jìn)行全面防護(hù),將攻擊行為的細(xì)節(jié)直觀、詳盡地展示給用戶,達(dá)到防護(hù)、管控Web應(yīng)用業(yè)務(wù)安全的目的。
方便有效網(wǎng)管運(yùn)維:在安全防護(hù)能力給Web應(yīng)用的安全性帶來保障的同時(shí),也為Web應(yīng)用復(fù)雜的網(wǎng)絡(luò)管理、日常運(yùn)維帶來快捷和便利,能夠?qū)崟r(shí)了解網(wǎng)站可用性狀態(tài)、安全性狀態(tài)、客戶端訪問流量、客戶類型和地域分析、服務(wù)器承載壓力;能夠?qū)W(wǎng)站提供負(fù)載均衡加速、緩存頁面加速、數(shù)據(jù)壓縮加速,使Web應(yīng)用完全發(fā)揮其最大性能。
滿足行業(yè)/國家標(biāo)準(zhǔn)、通過安全審計(jì):隨著安全問題的不斷浮現(xiàn)和社會影響的深化,Web應(yīng)用的安全性越來越受到人們的重視和關(guān)注,由此促進(jìn)了部分行業(yè)的安全標(biāo)準(zhǔn)制定,如PCI-DSS標(biāo)準(zhǔn)要求;國家公安部、國務(wù)院下發(fā)的指示。
WAF可協(xié)助Web應(yīng)用程序滿足相關(guān)的安全性要求,確保在線業(yè)務(wù)安全、合規(guī)地運(yùn)作,幫助客戶通過安全審計(jì)。
常見產(chǎn)品
龍盾IIS防火墻
“龍盾IIS防火墻”是一款經(jīng)典的網(wǎng)站安全防護(hù)產(chǎn)品, 經(jīng)過十余年的技術(shù)沉淀, “龍盾IIS防火墻”對于各種流行的網(wǎng)站入侵,均具有顯著的防御效果。 “龍盾IIS防火墻”采用高效、安全的技術(shù)為網(wǎng)站提供了如下保護(hù):
產(chǎn)品功能
防木馬上傳
“龍盾IIS防火墻” 能及時(shí)準(zhǔn)確的識別asp、php、aspx以及aspa等類型的木馬和后門文件,從根本上杜絕了黑客利用網(wǎng)站漏洞,上傳木馬和后門程序;
支持對上傳文件內(nèi)容的過濾;
支持對加密、加殼木馬文件的識別。
FTP目錄監(jiān)控
“龍盾IIS防火墻” 實(shí)時(shí)監(jiān)控通過FTP上傳到服務(wù)器上的文件,實(shí)時(shí)查殺上傳到WEB服務(wù)器上的木馬和后門程序,實(shí)時(shí)查殺時(shí)間為毫秒。
支持對木馬文件內(nèi)容關(guān)鍵字的設(shè)置;
支持對加密、加殼木馬文件的識別,即使是被加密的的木馬文件,也可立即清除。
防掛馬
“龍盾IIS防火墻” 獨(dú)創(chuàng)LRCT專利技術(shù),從根本上阻止了由于網(wǎng)站或系統(tǒng)漏洞導(dǎo)致的網(wǎng)頁或數(shù)據(jù)庫掛馬,有效防御XSS跨站腳本攻擊。
支持掛馬攔截,從根本上阻止黑客對網(wǎng)站和數(shù)據(jù)庫掛馬;
支持掛馬內(nèi)容自動清除,即使服務(wù)器已經(jīng)掛馬,“龍盾IIS防火墻”也會自動清除。
專業(yè)防SQL注入
十年來,“龍盾IIS防火墻” 致力于跟蹤SQL注入技術(shù)的最新動態(tài),防SQL注入策略不斷更新,規(guī)則不斷完善;
支持對GET、POST、COOKIE所有數(shù)據(jù)提交方式的過濾;
過濾規(guī)則分離原則:不同方法(GET、POST、COOKIE)提交的數(shù)據(jù),過濾的規(guī)則相互獨(dú)立,最大限度的加強(qiáng)了對SQL注入的防御,同時(shí),也從根本上杜絕了對正常訪問的誤攔;
支持“模式匹配”,“龍盾IIS防火墻”具有人工智能特性,一條防SQL注入規(guī)則,即可以阻止一類的SQL注入。
系統(tǒng)帳戶保護(hù)
“龍盾IIS防火墻”可阻止黑客創(chuàng)建Windows系統(tǒng)帳戶。
可阻止黑客通過各種方式創(chuàng)建Windows系統(tǒng)管理員帳戶。
遠(yuǎn)程桌面保護(hù)
“龍盾IIS防火墻”可阻止非法IP地址訪問3389 遠(yuǎn)程桌面。
可設(shè)置IP地址白名單,只有白名單內(nèi)的IP地址才可以連接服務(wù)器的遠(yuǎn)程桌面,非IP白名單內(nèi)的IP地址連接遠(yuǎn)程桌面時(shí)將被阻止。
信息監(jiān)控
“龍盾IIS防火墻”實(shí)時(shí)監(jiān)控流入、流出網(wǎng)站的信息,實(shí)時(shí)屏蔽和過濾敏感信息;
用戶提交的敏感信息被立即阻止;
即使網(wǎng)站上已經(jīng)存在敏感信息,龍盾IIS防火墻也可進(jìn)行過濾,確保訪問者看到的內(nèi)容均合法,從而不必?fù)?dān)心服務(wù)器被查封;
支持“模式匹配”。
資源防盜鏈
“龍盾IIS防火墻”可有效保護(hù)網(wǎng)站資源不被其它網(wǎng)站盜鏈。
支持友好域名設(shè)置;
支持自由下載文件夾設(shè)置;
支持防迅雷下載功能。
在線播放防下載
對于只希望在線播放的音頻、視頻網(wǎng)站,“龍盾IIS防火墻”可有效防止網(wǎng)站的音頻或視頻文件被非法下載。
支持對AVI, MPG, RMVB, FLV, MP3, WMA等各類在線音頻和視頻的保護(hù);
支持對嗅探瀏覽器的防御。
下載流量控制
“龍盾IIS防火墻”可任意設(shè)置文件下載的線程個(gè)數(shù)和下載速度,從而保障您的帶寬不被非法吞噬,有效控制下載流量 ,降低服務(wù)器資源的消耗。
適用于各種下載工具,不論是網(wǎng)際快車還是迅雷,均可限制其下載速度和下載線程個(gè)數(shù);
不同網(wǎng)站可設(shè)置不同的下載速度和下載線程數(shù)。
抗CC攻擊
“龍盾IIS防火墻”可有效抵御CC、DDOS軟件的攻擊,有效抵御流量攻擊,防止非法用戶高頻率刷新數(shù)據(jù)庫。
支持“最大并發(fā)連接數(shù)控制”功能;
支持對變種CC的有效防御;
支持文件類型的設(shè)置。
代理服務(wù)器訪問控制
“龍盾IIS防火墻”可阻止代理服務(wù)器的訪問,有效抵御僵尸攻擊,流量攻擊。
防PHP UDP攻擊
“龍盾IIS防火墻”從根本上清除UDP發(fā)包程序,迅速解決帶寬被占滿的問題。
即使加密的UDP發(fā)包木馬程序,也可立即清除;
即使服務(wù)器已經(jīng)存在UDP發(fā)包程序,也可阻止其發(fā)送大量UDP包。
IP地址黑名單
一方面, “龍盾IIS防火墻”的智能分析系統(tǒng),會將參與惡意攻擊的IP地址自動加入黑名單, 另一方面, 用戶也可以手工任意阻止非法IP地址的訪問。
支持IP地址段設(shè)置;
支持自定義黑名單IP地址解封時(shí)間。
IP地址白名單
“龍盾IIS防火墻”可指定不受防火墻限制的客戶端IP地址。
支持IP地址段設(shè)置;
滿足使用“網(wǎng)絡(luò)加速器”用戶的需要;
保證不會對“搜索引擎蜘蛛”的爬行記錄造成影響。
廣告植入
您可以通過“龍盾IIS防火墻”向頁面內(nèi)植入廣告信息。
支持廣告與域名分離,不同的網(wǎng)站和域名可以設(shè)置不同的廣告內(nèi)容。
抗緩沖區(qū)溢出攻擊
“龍盾IIS防火墻”允許您自定義HTTP頭、URL地址 、COOKIE以及查詢串長度, 防止緩沖區(qū)溢出攻擊。
支持對WebDAV,RPC服務(wù)遠(yuǎn)程溢出漏洞的防御;
支持對IDQ溢出漏洞的防御。
禁止運(yùn)行惡意腳本
禁止ASP、PHP、JSP木馬程序服務(wù)器上運(yùn)行。
URL訪問權(quán)限控制
“龍盾IIS防火墻”可根據(jù)不同訪問者的IP地址,設(shè)置不同的URL訪問權(quán)限。
自由域名
可設(shè)置不受防火墻保護(hù)的域名,自由域名列表內(nèi)的站點(diǎn)完全不受防火墻的保護(hù),滿足特殊情況下的需要。
WEB應(yīng)用防火墻相關(guān)文章:
3.防火墻知識