您的位置: 网界网 > 周报全文 > 正文

[周报全文]Web应用防火墙真正护卫Web应用安全

2010年11月17日 13:49:39 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:虽然Web应用防火墙(WAF)的名字中有“防火墙”三个字,但WAF和传统防火墙是完全不同的产品,和Web安全网关也有很大区别。

标签
Web应用防火墙

全面了解Web应用防火墙系列文章

【CNW.com.cn 专稿】虽然Web应用防火墙(WAF)的名字中有“防火墙”三个字,但WAF和传统防火墙是完全不同的产品,和Web安全网关也有很大区别。梭子鱼公司技术总监谷新认为,传统防火墙只是针对一些底层的信息进行阻断,而WAF则更深入到应用层,对所有应用信息进行过滤。WAF与Web安全网关的差异在于,后者保护企业的上网行为免受侵害,而WAF是专门为保护基于Web的应用程序而设计的。

WAF位于Web客户端和Web服务器之间,分析应用程序层的通信,从而发现违反预先定义好的安全策略行为。WAF具备事前预防、事中防护及事后补偿的综合能力。以WAF最为核心的事中防护能力为例,WAF作为一种专业的Web安全防护工具,可应对HTTP/HTTPS应用中的各类安全威胁,如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改,以及应用层DDoS[注]等。能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题。

一个标准的WAF至少需要具备三大功能:

第一,安全防护。不但对于针对Web服务器的攻击要具备防御能力,还要对数据泄密具备监管能力,可以进行IP审计。

第二,加速。除了防护以外,企业用户在网络之中(+本站微信networkworldweixin),需要对应用的运转效率进行控制,比如对TCP协议的缓冲,对SSL VPN的加速,WAF必须能够提供相应的加速能力。

第三,可扩展性。WAF在后台连接的时候和Web服务器相关,但不能仅仅防护一台服务器。

WAF不仅可以检测已知类型的攻击,还可以发现异常的使用模式并阻止目前未知的攻击。例如,通常Web应用与客户端的信息流量是有限的,如果WAF检测到Web服务器正在返回一个比预期大很多的数据量,它就会及时切断传输,以防止更多的数据泄露。

参考资料

1.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]