防火墙技术大致可分为三种/Web防火墙入门_0基本入侵自学路线
基本含义广播
编辑
Web 应用程序防火墙曾经是少数大型项目的保留地,但随着大量低成本和开源试用产品的出现,它终于变得越来越流行。被大多数人使用。在本文中,我们将首先向您介绍Web 应用程序防火墙的功能,然后快速概述其一些最有用的功能。通过阅读本文,大家可以清楚地了解Web应用防火墙这一主题,并掌握相关知识。
从广义上讲,Web应用防火墙是一种综合的应用级网站安全解决方案。然而,深入研究其确切定义可能会引发更多问题。 Web应用防火墙可以是硬件设备、应用软件、基于网络、内置于Web服务器中。
设备类型广播
编辑
在海外市场,有数十种不同的产品名称和描述,以及具有Web应用防火墙功能的产品名称。之所以难以定义,是因为这个名字包含了太多的内容。较低的网络层(Web应用防火墙位于第7层)由许多设备覆盖,每个设备都有自己的功能,例如路由器、交换机、防火墙、入侵检测系统和入侵防御系统。然而,在HTTP 世界中,所有这些功能都内置在一个设备中:Web 应用程序防火墙。
主要专题播出
编辑
Web应用防火墙一般有四个功能:
1.审计设备:用于拦截所有HTTP数据或仅拦截符合一定规则的会话。
2.访问控制设备:用于控制对Web应用程序的访问,包括主动和被动安全模式。
3.架构/网络设计工具:用于在反向代理模式下运行时的功能分配、集中控制、虚拟基础设施等。
4、WEB应用强化工具:这些功能不仅加强了受保护的Web应用的安全性,还可以防范因Web应用程序编程错误而带来的安全风险。
但是,请记住,并非所有称为Web 应用程序防火墙的设备都同时具有上面列出的所有四种功能。
安全状态报告
编辑
由于Web应用防火墙的多面性,不同知识背景的人往往会关注其特性的不同方面。例如,具有网络入侵检测背景的人更有可能将其视为运行在HTTP层的IDS设备,而具有防火墙背景的人则更可能将其视为防火墙的功能模块。另一种理解来自术语“深度检查防火墙”。他们认为深度检查防火墙在功能上等同于Web 应用程序防火墙。然而,虽然这两种设备有一些相似之处,但也存在显着差异。深度检查防火墙通常在网络的第3 层或更高层运行,而Web 应用程序防火墙在第7 层处理HTTP 服务并对其提供适当支持。
虽然直接修改网页代码来解决安全问题肯定更好,但实现起来并不那么容易。
这是因为是否可以通过更改Web 应用程序的代码来提高系统的安全性能,这本身就存在争议。现实情况甚至更加复杂。
*不能保证100%安全。人的能力是有限的,我们难免会犯错误。
异常保护的基本概念是建立一层保护。这一层防护在检测合法应用数据的基础上建立统计模型,该模型可以作为判断实际通信数据是否为攻击的依据。理论上,如果这个基于异常的系统成功构建,它应该能够检测到任何异常情况。这消除了对规则数据库的需求并消除了零日攻击。然而,基于异常保护的系统很难构建,因此并不常见。它不像基于规则的WAF 那样广泛使用,因为用户不理解或不相信它的工作原理。
状态管理
HTTP 的无状态特性对Web 应用程序安全性有许多负面影响。会话只能在应用层实现,但在很多应用中这种附加功能只能满足业务需求,而无需考虑安全因素。 Web 应用程序防火墙侧重于会话保护。其特点是:
强制登录页面。大多数站点允许您通过众所周知的URL 访问该站点,但这通常会使攻击者更容易攻击并且更难以防御。 WAF 可以确定用户是否是首次访问,将请求重定向到默认登录页面,并记录事件。
单独检测每个用户会话。一旦您能够区分不同的会话,就有无限的可能性。例如,您可以监控登录请求或用户页面跳转的频率。通过检测整个用户行为,可以更容易地识别攻击。
识别并响应暴力攻击。典型的Web 应用程序网络无法检测暴力攻击。状态管理模式允许WAF检测异常事件(例如登录失败)并在达到限制时进行处理。此时,身份验证请求时间可能会进一步增加,但这种微小的变化用户无法察觉,但足以对抗自动攻击脚本。如果您的身份验证脚本需要50 毫秒才能完成,则您每秒可以发出大约20 个请求。添加较小的延迟(例如1 秒)可将请求减少到每秒少于1 个请求。同时,对进一步检测发出警告也是一种很好的防御措施。
实施会话超时。会话在默认时间后过期,用户需要重新进行身份验证。如果长时间没有请求,用户将自动注销。
会话劫持的检测和预防。会话劫持通常会更改IP 地址和一些请求数据(但不会更改HTTP 请求标头)。状态监控工具可以检测这些异常并防止未经授权的应用程序发生。在这种情况下,您应该终止会话,要求用户重新进行身份验证,并记录警告日志消息。
仅允许包含在对先前请求的响应中的链接。一些WAF非常严格,只允许用户访问先前请求返回的页面内的链接。这看起来是一个有趣的功能,但很难实现。首先,用户将无法使用多个浏览器窗口,其次,使用自动连接建立的应用程序将不再运行。
其他保护
WAF的其他安全增强功能用于解决由于过度依赖Web程序员输入数据而导致的问题。例如:
隐藏表单字段保护。在某些情况下,内部应用程序数据是通过隐藏表单变量来实现的,但实际上并未隐藏。程序员通常使用隐藏的表单变量来存储执行状态并将数据发送给用户以确保数据返回时不变。这是一个复杂而繁琐的过程,WAF通常使用加密签名技术来处理这个过程。
保护。与隐藏表单一样,它们通常用于传递用户的个人应用程序数据,但不同之处在于其中一些可能包含敏感数据。 WAF 通常会加密整个内容或虚拟化整个机制。通过此设置,只有令牌(例如会话令牌)对最终用户可见,因此它们安全地存储在WAF 中。
入侵规避技术。应对网络攻击的基于网络的IDS面临的挑战是攻击规避技术。重写HTTP输入请求数据(攻击数据)的方法有很多种,各种重写的请求都可以逃避IDS的检测。彻底理解HTTP 将在这方面带来巨大的进步。例如,WAF每次都可以看到整个HTTP请求,从而避免各种HTTP请求碎片攻击。因为它很好地理解HTTP 协议,所以它可以分别处理动态和静态请求,因此您不必花费大量时间来保护静态数据免受攻击。因此,WAF有足够的计算能力来处理各种攻击规避技术,但NIDS需要很长的时间才能完成这些功能。
响应监控和信息泄露预防。防数据泄露是指监控HTTP输出数据。原理与请求监听相同。目的是监视可疑输出并防止可疑的http 输出数据到达用户。最有可能的应用模型是信用卡和社会安全号码监控。此外,该技术的另一个用途是检测成功入侵的迹象。很难阻止如此坚定且熟练的攻击者获取信息,因为经验丰富的攻击者总是对信息进行编码以防止检测。然而,在攻击者无法完全控制服务器并且只想利用Web 应用程序中的安全漏洞的情况下,该技术可以发挥保护作用。
网络安全学习,我们一起交流
#以上防火墙技术主要可分为三类/Web防火墙_0 基本入侵自学路线来源网络相关内容仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93225.html
