Web 应用防火墙的功能有哪些
WAF 或 Web Application Firewall 通过过滤和监控 Web 应用程序与 Internet 之间的 HTTP 流量来帮助保护 Web 应用程序。它通常可以保护 Web 应用程序,使其免受跨站点伪造、跨站点脚本 (XSS)、文件包含、SQL 注入及其他一些攻击的影响。WAF 属于协议第 7 层防御策略(OSI 模型),并不能抵御所有类型的攻击。此攻击缓解方法通常隶属于一套工具,整套工具共同针对一系列攻击手段建立整体防御措施。
通过在 Web 应用程序前端部署 WAF,可在 Web 应用程序与 Internet 之间形成一道屏障。虽然代理服务器通过中介保护客户机的身份,但 WAF 是一种反向代理,引导客户端通过 WAF 到达服务器,从而防止暴露服务器。
WAF 通过一组规则(通常称为策略)运行。这些策略旨在过滤恶意流量,防止受到应用程序漏洞的侵害。WAF 的部分价值在于政策修改实施过程快速简便,因而可以更迅速地响应不同的攻击手段;DDoS 攻击期间,可通过修改 WAF 策略快速实施 Rate Limiting。
黑名单与白名单 WAF 之间有什么区别? 基于黑名单(消极安全模型)运行的 WAF 可防范已知攻击。您可以将黑名单 WAF 想象为俱乐部保镖按指示拒绝接待不符合着装要求的客人。相反,基于白名单(积极安全模型)的 WAF 仅允许接受预先批准的流量。类似于奢华派对保镖,只接待出席名单列出的客人。无论黑名单还是白名单,二者都有各自的优缺点,因此很多 WAF 提供混合安全模型,综合实施两种方法。
什么是基于网络、基于主机和基于云的 WAF? WAF 可以通过三种不同的方式来实施,每种方式都有各自的优缺点:
基于网络的 WAF 通常基于硬件。由于采用本地安装模式,因而可以最大限度地缩短延迟,但基于网络的 WAF 费用最昂贵,而且还要安装和维护物理设备。 基于主机的 WAF 可完全集成至应用程序软件。这种解决方案的成本低于基于网络的 WAF,而且还能提供更多定制功能。基于主机的 WAF 的缺点在于,占用本地服务器资源,实施起来复杂,而且还会产生维护成本。这些组件通常需要预留维护时间,可能成本较高。 基于云的 WAF 是一种极易实施的经济型方案;通常提供一站式安装服务,就像更改 DNS 来重定向流量一样简单。另外,基于云的 WAF 的前期成本最低,因为用户按月或按年支付安全即服务费用。基于云的 WAF 还可以提供持续更新解决方案以抵御最新威胁,用户无需额外开展工作或投入成本。基于云的 WAF 的缺点在于,用户将责任转嫁给第三方,因此对他们而言,WAF 的某些功能可能成为黑盒。 内容来自:cloudflare
Web 应用防火墙的功能有以下这些:
多检查点:WAF模块对同一个请求,可以在从请求到响应的过程中设置多个检查点,组合检测(通常的WAF只能设置一个检查点);比如某一条规则在请求(Request)中设置了检查点,同时还可以在该请求的其他位置或响应(Response)中设置检查点。
恶意域名指向拦截网关拦截未登记域名:如果服务器配置不当,有可能会正常响应请求,对公司的声誉造成影响。所以,当非法域名指向过来的时候,应该拒绝响应,只响应已登记的域名,未登记的域名会拒绝访问。
任意后端Web服务器适配:WAF模块不需要在被保护的目标服务器上安装任何组件或私有Agent,后端业务可使用任何类型的Web服务器(包括但不限于Apache、Nginx、IIS、NodeJS、Resin等)。
只针对HTTP和HTTPS的请求进行异常检测:阻断不符合请求的访问,并且严格的限制HTTP协议中没有完全限制的规则。以此来减少被攻击的范围。
建立安全规则库,严格的控制输入验证:以安全规则来判断应用数据是否异常,如有异常直接阻断。以此来有效的防止网页篡改的可能性。