WAF解决Web安全问题的探讨与研究
摘要Web应用防火墙(简称:WAF)是一种专门针对Web应用进行全面防护的设备,它通过对H T TP/HT TP S流量的双向分析,为Web应用提供实时防护。WAF可以用来解决在Web应用中出现的各种安全问题,比如SQL注入、XS S攻击,网页篡改等。本文将针对Web中存在的安全问题,谈谈WAF在防护方面的优势和应用。
关键词防火墙;WAF;Web应用;安全
0引言
目前Web已成为一种普适平台,很多政府部门、高校、企业都将大量应用架设在Web平台上,如电子政务,电子商务、教学管理系统、 网上银行等。Web业务的迅速发展引起了黑客的关注,从而将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。WAF的出现,能很好的解决Web应用的安全问题。
1入侵防御系统(IP S)防护原理
IP S根据报头和流信息,对每个数据包进行分类,然后利用相关的过滤器检查数据包的流状态信息,如果符合事先设定好的安全策略,该数据包将会被标为命中并丢弃。
IP S通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出已知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IP S不能有效的防护。
2 Web应用防火墙简介
Web应用防火墙(Web App lic ation F irewall,简称:WAF),有硬件Web应用防火墙和软件Web应用防火墙之分,一些是基于网络的,另一些则是嵌入Web服务器中的。用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,Web应用防火墙工作在应用层(传统防火墙工作在网络层)(如图2),通过对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断。
对于网络攻击事件,我们可以分为三个时间段:事前、事中、事后。传统的IP S通常只能对事中进行有效的检查和防护,WAF不仅能对事中进行防护,还能对事前进行预防和事后防篡改、数据恢复。 (如图1)
无忧云怎么样?无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点,目前商家开启了夏日清凉补贴活动,商家的机器还是非常...
陆零网络是正规的IDC公司,我们采用优质硬件和网络,为客户提供高速、稳定的云计算服务。公司拥有一流的技术团队,提供7*24小时1对1售后服务,让您无后顾之忧。我们目前提供高防空间、云服务器、物理服务器,高防IP等众多产品,为您提供轻松上云、安全防护 为核心数据库、关键应用系统、高性能计算业务提供云端专用的高性能、安全隔离的物理集群。分钟级交付周期助你的企业获得实时的业务响应能力,助力核心业务飞速成...
justhost.ru官方来消息说已经对网络进行了比较全面的优化,针对中国电信、联通、移动来说,4个机房总有一个适合中国用户,让站长进行一下测试,这不就有了这篇有关justhost的VPS的第四次测评。本帖主要关注的是网络,对于其他的参数一概不管! 官方网站:https://justhost.ru 最低配VPS:8.3元/月,KVM,512M内存,5G硬盘,200M带宽,不限流量 购买链接:...