有趣的是�,還沒有人能真正知道web應用防火墻究竟是什么,或者確切的說�����,還沒有一個大家認可的精確定義���。從廣義上來說���,Web應用防火墻就是一些增強 Web應用安全性的工具。然而�,如果我們要深究它精確的定義,就可能會得到更多的疑問���。因為一些Web應用防火墻是硬件設備�,一些則是應用軟件;一些是基于網(wǎng)絡的��,另一些則是嵌入WEB服務器的��。
國外市場上具有WEB應用防火墻功能的產(chǎn)品名稱就有不同的幾十種��,更不用說是產(chǎn)品的形式和描述了�。它難以界定的原因是這個名稱包含的東西太多了�。較低的網(wǎng)絡層(Web應用防火墻被安置在第七層)被許多設備所覆蓋�����,每一種設備都有它們獨特的功能�,比如路由器���,交換機�����,防火墻���,入侵檢測系統(tǒng),入侵防御系統(tǒng)等等��。然而��,在HTTP的世界里��,所有這些功能都被融入在一個設備里:Web應用防火墻�����。
總體來說�,Web應用防火墻的具有以下四個方面的功能:
1. 審計設備:用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話
2. 訪問控制設備:用來控制對Web應用的訪問�,既包括主動安全模式也包括被動安全模式
3. 架構/網(wǎng)絡設計工具:當運行在反向代理模式��,他們被用來分配職能��,集中控制�,虛擬基礎結構等。
4. WEB應用加固工具:這些功能增強被保護Web應用的安全性��,它不僅能夠屏蔽WEB應用固有弱點����,而且能夠保護WEB應用編程錯誤導致的安全隱患。
但是���,需要指出的是�����,并非每種被稱為Web應用防火墻的設備都同時具有以上四種功能�����。
由于WEB應用防火墻的多面性����,擁有不同知識背景的人往往會關注它不同方面的特點��。比如具有網(wǎng)絡入侵檢測背景的人更傾向于把它看作是運行在HTTP層上的 IDS設備;具有防火墻自身背景的人更趨向與把它看作一種防火墻的功能模塊����。還有一種理解來自于“深度檢測防火墻”這個術語。他們認為深度檢測防火墻是一種和Web應用防火墻功能相當?shù)脑O備����。然而,盡管兩種設備有些相似之處���,但是差異還是很大的���。深度檢測防火墻通常工作在的網(wǎng)絡的第三層以及更高的層次,而 Web應用防火墻則在第七層處理HTTP服務并且很好地支持它�����。
直接更改WEB代碼解決安全問題是否更好?這是毋庸置疑的�����,但也沒那么容易(實現(xiàn))�����。
因為,通過更改WEB應用代碼是否一定就能增強系統(tǒng)安全性能��,這本身就存在爭論����。而且現(xiàn)實也更加復雜:
◆不可能確保100%的安全。人的能力有限����,會不可避免地犯錯誤。
◆絕大多數(shù)情況下��,很少有人力求100%的安全����。如今的現(xiàn)實生活中那些引領應用發(fā)展的人更多注重功能而不是安全。這種觀念正在改變����,只是有點緩慢。
◆一個復雜的系統(tǒng)通常包含第三方產(chǎn)品(組件���,函數(shù)庫)�,它們的安全性能是不為人知的。如果這個產(chǎn)品的源代碼是保密的�,那么你必須依賴商品的廠商提供補丁�。即使有些情況下源代碼是公開的,你也不可能有精力去修正它們��。
◆我們不得不使用存在安全隱患的業(yè)務系統(tǒng)��,盡管這些舊系統(tǒng)根本無法改進�。
因此,為了獲得最好的效果����,我們需要雙管齊下:一方面,必須提高管理者和開發(fā)者的安全意識;另一方面����,盡可能提高應用系統(tǒng)的安全性。
Web應用防火墻的特點
異常檢測協(xié)議
如果閱讀過各種RFC��,就會發(fā)現(xiàn)一個被反復強調的主題��。大多數(shù)RFC建議應用自己使用協(xié)議時要保守����,而對于接受其他發(fā)送者的協(xié)議時可以自由些����。Web服務器就是這樣做的����,但這樣的行為也給所有的攻擊者打開了大門���。幾乎所有的WAF對HTTP的請求執(zhí)行某種異常檢測���,拒絕不符合Http標準的請求����。并且���,它也可以只允許HTTP協(xié)議的部分選項通過���,從而減少攻擊的影響范圍。甚至��,一些WAF還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項���。
相關推薦:
計算機軟考網(wǎng)絡工程師必備英語詞匯全集
計算機軟件水平考試網(wǎng)工歷年真題匯總
軟件水平考試網(wǎng)絡工程師學習筆記匯總(完整版)
2010年軟件水平考試網(wǎng)絡工程師模擬試題匯總
