WA稱為網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)或Web應(yīng)用防火墻����,是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。
網(wǎng)絡(luò)防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備����。計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描�,這樣能夠過(guò)濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行�。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信��,封鎖木馬���。最后����,它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)��,從而防止來(lái)自不明入侵者的所有通信���。
網(wǎng)絡(luò)防火墻作為訪問(wèn)控制設(shè)備���,主要工作在OSI模型三、四層����,基于IP報(bào)文進(jìn)行檢測(cè)。只是對(duì)端口做限制�,對(duì)TCP協(xié)議做封堵����。其產(chǎn)品設(shè)計(jì)無(wú)需理解HTTP會(huì)話�����,也就決定了無(wú)法理解Web應(yīng)用程序語(yǔ)言如HTML�、SQL語(yǔ)言。因此��,它不可能對(duì)HTTP通訊進(jìn)行輸入驗(yàn)證或攻擊規(guī)則分析�。針對(duì)Web網(wǎng)站的惡意攻擊絕大部分都將封裝為HTTP請(qǐng)求,從80或443端口順利通過(guò)防火墻檢測(cè)���。
一些定位比較綜合�����、提供豐富功能的防火墻�,也具備一定程度的應(yīng)用層防御能力����,如能根據(jù)TCP會(huì)話異常性及攻擊特征阻止網(wǎng)絡(luò)層的攻擊,通過(guò)IP分拆和組合也能判斷是否有攻擊隱藏在多個(gè)數(shù)據(jù)包中,但從根本上說(shuō)他仍然無(wú)法理解HTTP會(huì)話��,難以應(yīng)對(duì)如SQL注入��、跨站腳本�、cookie竊取��、網(wǎng)頁(yè)篡改等應(yīng)用層攻擊���。
Web應(yīng)用防火墻能在應(yīng)用層理解分析HTTP會(huì)話�,因此能有效的防止各類應(yīng)用層攻擊�,同時(shí)他向下兼容,具備網(wǎng)絡(luò)防火墻的功能�����。
傳統(tǒng)防火墻可保護(hù)服務(wù)器之間的信息流���,而Web應(yīng)用程序防火墻則能夠過(guò)濾特定Web應(yīng)用程序的流量����。網(wǎng)絡(luò)防火墻和Web應(yīng)用程序防火墻是互補(bǔ)的�����,可以協(xié)同工作。
傳統(tǒng)的安全方法包括網(wǎng)絡(luò)防火墻����,入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)。它們可有效阻止開(kāi)放系統(tǒng)互連(OSI)模型下端(L3-L4)周邊的不良L3-L4流量��。傳統(tǒng)防火墻無(wú)法檢測(cè)Web應(yīng)用程序中的攻擊�����,因?yàn)樗鼈儾涣私庠贠SI模型的第7層發(fā)生的超文本傳輸協(xié)議(HTTP)��。它們還僅允許從HTTP服務(wù)器發(fā)送和接收請(qǐng)求的網(wǎng)頁(yè)的端口打開(kāi)或關(guān)閉����。這就是為什么Web應(yīng)用程序防火墻可以有效防止SQL注入,會(huì)話劫持和跨站點(diǎn)腳本(XSS)等攻擊����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
