蓝盟IT小贴士,来喽!
WAF不能做什么?
WAF不能过滤其他协议流量,如FTP、PoP3协议。
WAF不能实现地址映射等传统的防护墙功能
WAF无法防止网络层的DDoS攻击
防病毒措施
WAF与传统安全设备的区别:
传统安全设备的特点:
IPS :蠕虫、网络病毒和后门木马的保护不具备WEB应用层的安全功能。
传统的FW :作为内部网和外部网之间的访问控制设备,提供3-4层的安全功能,不具备WEB应用层的安全功能。
WAF的特点:
WAF是专业的应用层安全产品。
有感知威胁的能力
具有HTTP/HTTPS的深度检测能力。 检出率高,误报率低/漏报率低。
高性能
复杂环境下的高稳定性
WAF的主要功能:
WAF主要受内置的许多安全规则的防御。
保护OWASP TOP10攻击性,包括常见的SQL注入、XSS、网页篡改和中间件漏洞。
如果发现攻击,可以锁定IP,IP锁定后将无法访问站点服务。
也支持CC攻击防止,采用集中度和速率的双重检测算法。
WAF的主要制造商:
国内:安恒,绿盟,启星
海外:飞塔,纺锤子鱼,Imperva
WAF的发展过程
WAF的发展主要经历了IPS架构、反向代理、透明代理和流式模式。
IPS体系结构的特点:
好处:
构建在原始的IPS架构上,部署简单。
不变更数据包内容
性能好
劣势:
误报和漏报率很高
很难解决HTTP慢速攻击和瓷砖攻击
很难实现复杂的应用程序,例如提供应用程序。
反向代理的特点:
好处:
部署不需要连接到网络的单臂
提供应用程序的实现
安全防护能力好
劣势:
数据包的内容会改变
性能差
需要更改网络配置,故障恢复很慢。
透明代理的特征:
好处:
在不改变网络配置的情况下半透明地部署
提供应用程序的实现
安全防护能力好
故障恢复得快
劣势:
数据包内容的变更很少
性能一般。
流模式的特点:
好处:
完全透明地部署而不改变网络配置/包内容
提供应用程序的实现
安全防护能力好
故障恢复得快
性能好
劣势:
特殊的结构攻击取决于WAF缓存大小
WAF主要更改以下包内容项目。
客户端TCP源端口
客户端源MAC/服务器源MAC地址
长短连接协议版本。
MIME类型
Web应用程序安全策略:
基于WEB攻击特征库的正则表达式匹配方式策略规则是组织成规则链表的方式,深度检查请求头、请求提出内容、响应头、响应内容体等内容进行项目符号检查。主要可以防止以下攻击。
HTTP协议合规性
SQL注入切断
跨站点脚本/CSRF攻击保护
防止表单/曲奇篡改
DoS攻击防护
机密情报的泄露
目录扫描。
防止扫描仪检测攻击
Web应用程序安全审计:
WAF可以审计所有用户的访问行为,通过访问记录的深度分析,可以发现一些潜在的威胁状况,对于攻击防护泄露的要求,依然可以达到刨根问底的目的。
CC对策:
CC攻击的原理是攻击者继续控制某些主机向对方服务器发送大量的数据包,直到服务器资源耗尽,停机时间崩溃。 CC主要用于消耗服务器资源,如果一个web页面的访问次数特别多,则打开web页面会变慢,CC会不断访问多个用户(线程数是多少用户)需要大量数据操作的页面,服务器资源
防止CC攻击的原理:
可以定义多个DOS策略
可以支持多种URL匹配算法
支持应用层IP匹配算法。
需要网络发布:
“应用程序分发”实际上是应用程序分发网络(ADN ),利用适当的网络优化/加速设备,用户的业务应用以迅速、安全、可靠的方式提供内部员工和外部服务
从定义中可以看出,提供应用的宗旨是保证企业重要业务的可靠性、可用性和安全性。 应用程序的提供应该根据广域网络的加速、负载均衡、Web应用程序防火墙…应用程序的需要而有不同的产品依赖和重点。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
