Web應用與Web應用防火墻之網絡安全產品追述
網絡安全產品之防火墻(FireWall)
防火墻是最早采用互聯網安全防護產品。但是在應用過程中逐漸發現基于網絡端口防護和包過濾防護技術的防火墻產品無法有效的對應用安全進行攔截(在Web應用方面由其突出)。但防火墻產品目前依然未退出安全市場,反而因為其強大的數據轉發能力、防攻擊能力和靈活的安全策略設置功能被越來越多的運用在企業內網隔離、安全區域劃分和網絡地址轉換(NAT)之中。
網絡安全產品之入侵檢測/防御(IDS/IPS)
出于對防泛黑客攻擊及安全漏洞攔截的需求,又開發出了入侵檢測/防御產品(IDS/IPS)但早期IDS/IPS產品需要過多人為對檢測問題進行分析,并具有很高的誤判率,難以操控。同時IDS/IPS產品在防范網絡病毒、Web應用安全認證等問題上依然沒有很好的解決方案。但是IDS/IPS技術為今后的網絡安全打下了良好的技術基礎,當前新推出的Web應用防火墻、下一代防火墻所采用技術中有很多是從IDS/IPS中引申出來的。并且IDS/IPS的進一步技術發展前景依然十分廣闊。
網絡安全產品之統一威脅管理(UTM)
為了應對多方面網絡安全的挑戰,安全廠商又推出了統一威脅管理(UTM)產品。統一威脅管理產品將防火墻、網絡病毒防護、IPS、反垃圾郵件和網絡內容管理等一系列功能整合在了一起,可以為企業提供全面的網絡防護能力,是一種綜合安全防護能力很高的網絡安全產品。但在針對網站系統安全防護上,統一威脅管理產品的功能顯得有些多而不當,不能很好的為Web應用安全提供服務。
網絡安全產品之Web安全網關(WSG)
Web安全網關是一種在統一威脅管理產品基礎上發展出來的一類全新的網絡應用安全防護產品。具備對Web應用安全更加深入的全面防護能力。可以對網絡病毒、SQL注入、跨站、惡意腳本等攻擊進行防護。Web安全網關在功能上與Web應用防火墻十分相近,但它保護的對象更多是面向網絡用戶而不是Web服務器。
網絡安全產品之Web應用防火墻(WAF)
于是近年來又有新的Web應用安全防護技術推出——Web應用防火墻(WAF)。利用國際上公認的一種說法:Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。
總體來說,Web應用防火墻的具有以下四大個方面的功能(參考WAF入門,對內容做了一些刪減及改編):
1)審計設備:用來截獲所有HTTP數據或者僅僅滿足某些規則的會話。
2)訪問控制設備:用來控制對Web應用的訪問,既包括主動安全模式也包括被動安全模式。
3)架構/網絡設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。
4)Web應用加固工具:這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽Web應用固有弱點,而且能夠保護Web應用編程錯誤導致的安全隱患。
需要指出的是,并非每種被稱為Web應用防火墻的設備都同時具有以上四種功能。
Web應用防火墻還具有多面性的特點。比如從網絡入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火墻角度來看,WAF是一種防火墻的功能模塊;還有人把WAF看作“深度檢測防火墻”的增強。(深度檢測防火墻通常工作在的網絡的第三層以及更高的層次,而Web應用防火墻則在第七層處理HTTP服務并且更好地支持它。)
【編輯推薦】
