Web防火墙简述（一）

发布时间：2022-12-15 11:23:58 所属栏目：应用来源：

导读：　　开头小幽默，愚公移山的搞笑引申版，愚公在临死前，把儿子叫到床前，拼尽最后的力气说：“移山！移山！”儿子说：“亮晶晶？”，你会唱小星星吗？

　　言归正传，关于Web和Web防火墙，小

　　开头小幽默，愚公移山的搞笑引申版，愚公在临死前，把儿子叫到床前，拼尽最后的力气说：“移山！移山！”儿子说：“亮晶晶？”，你会唱小星星吗？

　　言归正传，关于Web和Web防火墙，小编有一些话来说，从这篇文章后小编将开始研究Web防火墙的知识点。

　　首先，Web顾名思义是网页的意思，用于表示Internet主机上供外界访问的资源。Internet上供外界访问的Web资源分为两种，即静态页面和动态页面。

　　·静态Web资源：在访问过程中浏览的数据始终不发生改变（指代码不会改变，而不是页面）

　　静态资源一般的开发技术为：HTML

　　·动态Web资源：被访问的数据由程序产生，会由不同时间/地点/访问对象而改变（指底层程序产生的代码不同）

　　动态资源一般的开发技术为：JSP/Servlet，ASP，PHP等

　　刚刚在上文小编顺嘴提了Web的一些小知识。接下来就可以续上Web的引申Web防火墙。

　　一．前言

　　Web应用程序防火墙是一种特殊类型的应用程序防火墙，专门应用于Web应用程序。它被部署在Web应用程序前，分析基于Web的双向流量，能检测和阻止任何恶意攻击。简言之是Web防火墙是入侵检测系统，网络渗透/攻击的保护层。

　　·WAF被定义为位于Web应用程序和客户端及端点之间的安全策略执行点，其可应用于软件或者硬件，也可以在设备在运行或者运行公共操作系统的服务器中实现。换一种说法就是，WAF可以看作一个虚拟或物理设备，防止Web应用程序中的漏洞被外部利用，检测跨网站点脚本和SQL注入这类的攻击。

　　·WAF不是最好的安全解决方案，而是需要与其他网络边界安全解决方案一起结合使用。如网络防火墙和入侵防御系统一起使用，加强了整体防御。

　　Web应用程序漏洞扫描程序（Web应用程序安全扫描程序），用于检测Web应用程序是否存在潜在安全漏洞的自动程序。

　　·补救：一些工具还会查找软件编码错误，从而解决漏洞

　　·虚拟补丁：开发者需要在应用程序中对代码进行更正，要想更快的响应，就要提供临时响应的修复。

　　二．历史

　　Web防火墙一共经历了三代。

　　第一代：数据包过滤器

　　·第一个关于防火墙技术的论文被写于1988年，Digital Equipment Corporation的工程师开发了称为“包过滤防火墙”的过滤系统，此后在AT&T贝尔实验室，

　　Bill Cheswich和Steve Bellovin开发了一个工作模型，用于过滤IP地址，通信协议和端口。

　　第二代：有状态过滤器

　　·1989-1990年，AT&T贝尔实验室有三位员工开发了第二代防火墙，称为电路级网关。在第一代的基础上增加了状态。

　　第三代：应用层

　　·Marcus Ranum，Wei Xu和Peter Churchyard于1993年10月发布了Firewall Toolkit（FWTK）的应用程序防火墙，应用层过滤的好处是控制粒度比前两代更加精细。第一家提供专用Web应用程序防火墙的公司是Perfecto Technologies，其产品App Shield（更名为Sanctum），被评为十大网络应用黑客技术，并为WAF市场奠定了基础，像是Hidden Field Manipulation（隐藏攻击），Parameter Tampering（参数篡改），Buffer Overflow（缓冲区溢出）等功能。

　　三．类型

　　WAF具有相似的功能，但在用户界面，部署选项或特定环境要求上有差异。

　　1. 硬件防火墙

　　缺点：成本高，易受厂商的限制，产品迭代不及时

　　·包过滤防火墙

　　·应用网关（互联网应用程序在两台主机之间处理流量）防火墙

　　·状态检测防火墙

　　·复合型防火墙

　　2. 软件防火墙

　　优点：通常作为计算机系统上的程序运行，可定制，允许客户操控其功能。

　　·Akamai Technologies Kona

　　·阿里云WAF

　　·亚马逊AWS WAF

　　·Cloudbric

　　·CloudFlare

　　·F5 Silverline

　　·Fastly

　　·Imperva Incaspula

　　·Radware

　　·Sucuri Firewall

　　3. 开源防火墙

　　·ModSecurity

　　·Naxsi

　　四．功能

　　Web应用防火墙的具有以下四个方面的功能(不是所有的防火墙都有）：

　　1. 审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。

　　2. 访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

　　3. 架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能应用防火墙，集中控制，虚拟基础结构等。

　　4. Web应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护Web应用编程错误导致的安全隐患。

　　五．工作原理

　　黑名单：根据OWASP列出的规则进行过滤拦截。优点：适用于大多数用户而无需适配，会有些误报；缺点：只能拦截已知的攻击类型，无法拦截未知攻击，太过依赖规则库。

　　白名单：根据自身业务生成的规则库，其他请求均被拦截。与其他类型的WAF相比，不存在误杀行为。优点：可以拦截未知攻击；缺点：不够通用，因为用户的业务不同，规则无法重用。

　　关于Web防火墙的此次片段分享完成，欲知后事如何，请听下回分解！还请计算机大佬给出建议和指导。

（编辑：百科站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!