VPS参考、测评、推荐
分享你关注的VPS主机优惠信息

Web应用防火墙与传统网络设备有何区别?

Web应用防火墙与传统网络设备有何区别?

什么是WAF?

WAF的全称是(Web Application Firewall),即Web应用防火墙,简称WAF。

国际公认的说法是:Web应用防火墙是通过实现一系列HTTP/HTTPS安全策略为Web应用提供保护的产品。

WAF的常见方式:

Web应用防火墙与传统网络设备有何区别?

WAF的常见方式:WAF一般在Web服务器之前,用于保护Web应用。

那么WAF能做什么呢?

WAF 可以过滤 HTTP/HTTPS 协议流量以防止 Web 攻击。

WAF 可以对 Web 应用进行安全审计

WAF可以防止CC攻击

应用交付

CC攻击:通过大量请求消耗应用程序资源最多的应用,如WEB查询数据库应用,导致服务器拒绝服务,更详细的CC攻击介绍:

应用交付:实际上是指Application Delivery Networking (ADN),它利用相应的网络优化/加速设备,保证用户的业务应用能够快速、安全、可靠地交付给内部员工和外部用户的服务组。

从定义可以看出,应用交付的目的是保证企业关键业务的可靠性、可用性和安全性。应用交付应该是各种技术的同一个目标,比如广域网加速、负载均衡、Web应用防火墙……不同的应用需求有不同的产品和侧重点。

WAF 不能做什么?

WAF不能过滤其他协议流量,如FTP、PoP3协议

WAF无法实现传统的防火墙功能,例如地址映射

WAF无法在网络层阻止

防病毒

WAF与传统安全设备的区别:

传统安防设备特点:

IPS:防御蠕虫、网络病毒、后门木马,但不具备WEB应用层的安全防护能力

传统FW:作为内网与外网之间的控制设备,提供3-4层安全防护能力,但不具备WEB应用层的安全防护能力

WAF 特点:

WAF是一款专业的应用层安全防护产品。

具有威胁感知能力

具备 HTTP/HTTPS 深度检测能力。高检出率、低误报率/低误报率

高性能

复杂环境下的高稳定性

WAF的主要功能:

WAF 主要受到许多内置安全规则的保护。

可以防御SQL注入、XSS、网页篡改、中间件漏洞等常见的OWASP TOP10攻击。

当发现攻击时,可以锁定IP,锁定IP后网站服务无法

预防CC攻击,采用浓度和速率双重检测算法。

WAF主要厂家:

国内:安恒、绿盟、七星辰

:Fly Tower、梭子鱼、Imperva

WAF的历史

WAF的发展主要经历了IPS架构、代理、透明代理和流模式。

Web应用防火墙与传统网络设备有何区别?

IPS 架构的特点:

优点:

基于原有的 IPS 架构构建,易于部署

不改变数据包内容

更好的性能

缺点:

误报率和误报率高

HTTP慢速攻击和分片攻击难以解决

难以实现应用交付等复杂应用

反向代理功能:

优点:

单臂部署,无需联网

实现应用交付

良好的安全防护能力

缺点:

会改变数据包内容

表现不佳

更改网络配置,故障恢复慢。

透明代理功能:

优点:

透明部署,无需更改网络配置

实现应用交付

良好的安全防护能力

从故障中快速恢复

缺点:

对数据包内容的更改更少

一般性能

串流模式特点:

优点:

完全透明的部署,无需更改网络配置/数据包内容

实现应用交付

良好的安全防护能力

从故障中快速恢复

表现不错

缺点:

特殊构造攻击取决于 WAF 缓存大小

WAF关键技术

WAF的透明代理技术原理:

Web应用防火墙与传统网络设备有何区别?
图:WAF透明代理技术原理

透明代理技术是基于TCP连接,网络协议栈应用层的代理技术,实现了客户端和服务端双向独立TCP连接的建立,隔离建立客户端和服务器之间的直接 TCP 。通信过程如下:

Web应用防火墙与传统网络设备有何区别?
图:WAF通信流程

WAF主要改变以下数据包内容项:

客户端 TCP 源端口

客户端源MAC/服务器源MAC地址

长短协议

MIME 类型

Web应用安全保护策略:

基于WEB攻击特征库的正则表达式匹配方法;将策略规则组织成规则列表的方法,深入检查请求头、请求提交内容、响应头、响应内容体等内容进行匹配检查。

主要防止以下攻击:

HTTP 协议合规性

SQL 注入阻塞

跨站脚本/攻击防护

表单/cookie 篡改保护

DoS 攻击防护

敏感信息泄露

遍历

反扫描器检测攻击

Web 应用程序安全审计:

WAF 可以审计所有用户的访问行为。通过对访问记录的深入分析,可以发现一些潜在的威胁,攻击防护漏掉的请求仍然可以溯源。

反CC:

CC攻击的原理是攻击者控制部分不断向对方服务器发送大量数据包,导致服务器资源耗尽直至崩溃。 CC主要用于消耗服务器资源。每都有这样的经历:当一个网页被大量的人访问时,打开网页会很慢。 CC就是模拟多用户(多就多用户),继续下去。访问需要大量数据操作(即需要大量 CPU 时间)的页面会导致服务器资源的浪费。 CPU长时间处于100%,总会有未完成的连接,直到网络拥塞,暂停正常访问。

防止CC攻击的原则:

可以定义多个 DOS 策略

支持多种网址匹配算法

支持应用层IP匹配算法

网络到期交付:

“应用交付”实际上是指应用交付网络(ADN),它利用相应的网络优化/加速设备,保证用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务组。

从定义可以看出,应用交付的目的是保证企业关键业务的可靠性、可用性和安全性。应用交付应该是各种技术的同一个目标,比如广域网加速、负载均衡、Web应用防火墙……不同的应用需求有不同的产品支持和侧重点。

WAF一般可以做的应用交付主要通过:

Web 加速和数据压缩优化服务器性能。

WAF的多种部署模式

WAF一般支持透明代理、反向代理、旁路监控、桥接模式部署模式。

透明代理串联模式:

Web应用防火墙与传统网络设备有何区别?
图:WAF部署场景-透明代理级联模式

透明代理部署模式支持透明串行部署模式。它串联在用户网络中,可实现即插即用,无需用户更改网络设备和服务器配置。部署简单易用,在大多数用户网络中都有使用。

部署功能:

无需改变用户的网络结构,对用户透明

强大的安全防护性能

快速恢复和旁路支持

透明代理级联方式是最常用的部署方式,防御效果不错。

反向代理模式:

反向代理分为两种模式,反向代理(代理模式)和反向代理(牵引模式)。

代理模式:

Web应用防火墙与传统网络设备有何区别?
图:WAF部署场景-反向代理(代理模式)

WAF使用反向代理模式绕过访问网络环境。需要更改网络防火墙的目的映射表。网络防火墙映射WAF的服务端口地址,隐藏服务器的IP地址。

图中,外网访问www.test.com时,解析为110.1.1.1。在网络防火墙FW上,nat-server技术会将110.1.1.1的外网地址解析为192.168.1.1的内网地址。其中192.168.1.1是WAF的服务端口地址,WAF会访问后端服务器192.168.1.@ > 100,数据包返回给WAF,WAF返回给用户,用户充当代理,隐藏真实Web服务器地址。

部署功能:

旁路部署,对用户网络不透明,防护能力强

故障恢复时间慢,不支持Bypass,恢复时需要将域名或地址重新映射到原服务器。

此模式用于复杂环境,例如设备无法直接串联的环境。

访问时需要先访问WAF配置的服务端口地址。

支持VRRP主备

牵引模式:

Web应用防火墙与传统网络设备有何区别?
图:WAF部署场景-反向代理(牵引模式)

WAF使用反向代理模式绕过访问网络环境。需要在核心交换机上做策略路由策略路由,将客户端访问服务器的流量拉到WAF,策略路由的下一跳地址表示WAF的服务端口地址。

部署特点:

绕过部署,对用户网络不透明。

故障恢复时间慢,不支持旁路,恢复时需要删除router策略路由配置。

此模式用于复杂环境,例如设备不能直接串联的环境。

访问时访问网络服务器

旁路监控模式:

Web应用防火墙与传统网络设备有何区别?
图:WAF部署场景-旁路监控模式

采用旁路监控方式,在交换机上服务器端口,将流量复制一份到WAF,部署时不影响在线服务。旁路模式下,WAF只会告警,不会阻塞。

透明桥接模式:

Web应用防火墙与传统网络设备有何区别?
图:WAF部署场景-透明桥接模式

透明桥接模式是真正意义上的纯透明,不会改变数据包的任何内容,如源端口、TCP序号,桥接模式不跟踪TCP会话,可以支持路由非对称环境。

WAF可靠性部署——透明代理下的HA主备模式:

Web应用防火墙与传统网络设备有何区别?
图:WAF部署场景——透明代理下的HA主备模式

在双机HA模式下,WAF工作在Active和Standby模式,即当一个WAF处于检测保护模式时,另一个WAF处于待机模式,不工作。当主WAF出现故障,或者连接到主WAF的上下行链路出现故障时,备用WAF会协商进入检测保护模式。

流量的切换:根据流量来判断,流量从哪一边去。

当两边同时有流量时,需要使用主主模式,不需要心跳线。

WAF可靠性部署——反向代理下的HA主备模式:

Web应用防火墙与传统网络设备有何区别?
图:WAF部署场景——反向代理下的HA主备模式

WAF在反向代理下通过VRRP协议协商主从关系。正常情况下只有master工作,standby不工作。当WAF master出现问题时,slave会自动切换到master上工作。

:Web应用防火墙与传统网络设备有何区别?,https://vps.caogenba.com.com/69438.html

如今做站的人不多了,多个朋友多条路子,加入站长论坛和大佬们同道交流,Tips:可以免费打广告哦~ 点击立即加入>>

赞(0) 打赏
未经允许不得转载:草根吧VPS_最新VPS信息参考 » Web应用防火墙与传统网络设备有何区别?
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址