WAF(Web Application Firewall)
1、生产背景Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。
与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求
进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。 2、应用功能a.审计设备对于系统自身安全相关的下列事件产生审计记录:(1)管理员登陆后进行的操作行为;(2)对安全策略进行添加、修改、删除等操作行为;(3)对管理角色进行增加、删除和属性修改等操作行为;(4)对其他安全功能配置参数的设置或更新等行为。b.访问控制设备用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。c.架构/网络设计工具当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。d.WEB应用加固工具这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能够保护WEB应用编程错误导致的安全隐患。需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)
3、特点a.异常检测协议Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。b.增强的输入验证增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。c.及时补丁修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。(附注:及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信协议都具规范性。)d.基于规则的保护和基于异常的保护基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。e.状态管理WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。f.其他防护技术WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。WAF(Web Application Firewall)相关推荐
- ModSecurity web application firewall (WAF) Research - .Little Hann
转载地址:http://bluereader.org/article/97681813 catalog 引言 OWASP ModSecurity Core Rule Set (CRS) Project ...
- Web应用防火墙(WAF:Web Application Firewall)简介
了解WAF 1.1 什么是WAF Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入.XSS跨站脚本.常见Web服务器插件漏洞 ...
- ModSecurity web application firewall (WAF) Research
catalog 0. 引言1. OWASP ModSecurity Core Rule Set (CRS) Project2. Installation mod_security forApache3 ...
- 【文献翻译】Web应用防火墙:网络安全模型和配置-Web Application Firewall: Network Security Models and Configuration
Web应用防火墙:网络安全模型和配置 Web Application Firewall: Network Security Models and Configuration 摘要 部署Web应用程序防 ...
- WAF(Web应用层防火墙)了解学习
WAF---Web应用层防火墙了解学习 WAF是什么 WAF预防的攻击类型 WAF部署方式 WAF安全模式 开放Web应用安全项目(OWASP) WAF和DDos WAF测试 WAF和传统防火墙的区别 ...
- 微软压力测试工具 web application stress
WEB服务器的压力测试工具~ 115808 2009年8月1日 lbimba 铜牌会员 这里给广大的煤油推荐一个web网站压力测试工具.它可以用来模拟多个用户操作网站,在程序投入运行时,可以用它来进行 ...
- Unable to complete the scan for annotations for web application
2019独角兽企业重金招聘Python工程师标准>>> Unable to complete the scan for annotations for web application ...
- SFB公开课:TMG/IISARR/Web Application Proxy/发布UC(Lync/SFB)-2-通知
SFB公开课:TMG/IISARR/Web Application Proxy/发布UC(Lync/SFB)-2-通知 定于2016-04-08 20:00-22:00讲如下公开课. 1.TMG 20 ...
- Creating a LINQ Enabled ASP.NET Web application template using C#.[转]
原文地址:http://www.wwwcoder.com/Weblogs/tabid/283/EntryID/839/Default.aspx 其他相关地址:Building and using a ...
最新文章
- Lumen开发:Lumen的异常处理机制
- 老司机教你将流量价值提升100倍
- CSS自学笔记(16):CSS3 用户界面
- 机房收费系统学生下机结账小结
- 3、Eternal框架-控制器
- CF1183H Subsequences (hard version)
- Jquery通过遍历数组给checkbox赋默认值
- ubuntu定时执行python脚本方法及实例代码
- 4018-基于非递归的二叉排序树的结点的查找和插入(C++,附思路)
- Exp-00009错误解決
- 如何抓取Camera systrace
- ecshop插件_ECSHOP和SHOPEX快递单号查询中通快递插件V8.6专版
- Qtcreator中经常使用快捷键总结
- Ubuntu下安装nginx支持rtmp和http流媒体方案
- python小结_Python小结
- 惠普136a芯片清零_怎么把惠普打印机芯片清零
- jensen不等式(jensen不等式对于凹函数)
- 编写一个完整的应用程序:从键盘上读入一句英文(只包含英文字母、空格、半角逗号和半角 句号,如:I will choose the presentation..先将该英文句子首字母大写再把句子逆序输出。
- 小程序如何获取用户名和头像?
- 接口管理平台 - APIPOST和APIfox使用 - PUSDN