回答
2
瀏覽
743
WAF 或 Web Application Firewall 通過過濾和監控 Web 應用程序與 Internet 之間的 HTTP 流量來幫助保護 Web 應用程序。它通常可以保護 Web 應用程序,使其免受跨站點偽造、跨站點腳本 (XSS)、文件包含、SQL 注入及其他一些攻擊的影響。WAF 屬于協議第 7 層防御策略(OSI 模型),并不能抵御所有類型的攻擊。此攻擊緩解方法通常隸屬于一套工具,整套工具共同針對一系列攻擊手段建立整體防御措施。
通過在 Web 應用程序前端部署 WAF,可在 Web 應用程序與 Internet 之間形成一道屏障。雖然代理服務器通過中介保護客戶機的身份,但 WAF 是一種反向代理,引導客戶端通過 WAF 到達服務器,從而防止暴露服務器。
WAF 通過一組規則(通常稱為策略)運行。這些策略旨在過濾惡意流量,防止受到應用程序漏洞的侵害。WAF 的部分價值在于政策修改實施過程快速簡便,因而可以更迅速地響應不同的攻擊手段;DDoS 攻擊期間,可通過修改 WAF 策略快速實施 Rate Limiting。
黑名單與白名單 WAF 之間有什么區別?
基于黑名單(消極安全模型)運行的 WAF 可防范已知攻擊。您可以將黑名單 WAF 想象為俱樂部保鏢按指示拒絕接待不符合著裝要求的客人。相反,基于白名單(積極安全模型)的 WAF 僅允許接受預先批準的流量。類似于奢華派對保鏢,只接待出席名單列出的客人。無論黑名單還是白名單,二者都有各自的優缺點,因此很多 WAF 提供混合安全模型,綜合實施兩種方法。
什么是基于網絡、基于主機和基于云的 WAF? WAF 可以通過三種不同的方式來實施,每種方式都有各自的優缺點:
基于網絡的 WAF 通常基于硬件。由于采用本地安裝模式,因而可以最大限度地縮短延遲,但基于網絡的 WAF 費用最昂貴,而且還要安裝和維護物理設備。 基于主機的 WAF 可完全集成至應用程序軟件。這種解決方案的成本低于基于網絡的 WAF,而且還能提供更多定制功能。基于主機的 WAF 的缺點在于,占用本地服務器資源,實施起來復雜,而且還會產生維護成本。這些組件通常需要預留維護時間,可能成本較高。 基于云的 WAF 是一種極易實施的經濟型方案;通常提供一站式安裝服務,就像更改 DNS 來重定向流量一樣簡單。另外,基于云的 WAF 的前期成本最低,因為用戶按月或按年支付安全即服務費用。基于云的 WAF 還可以提供持續更新解決方案以抵御最新威脅,用戶無需額外開展工作或投入成本。基于云的 WAF 的缺點在于,用戶將責任轉嫁給第三方,因此對他們而言,WAF 的某些功能可能成為黑盒。 內容來自:cloudflare
回答所涉及的環境:聯想天逸510S、Windows 10。
暫無個人描述~
- 提了376個問題,383個回答
- 回答了0個問題
相關問題
Web 防火墻部署位置在哪里
[1 個回答]
Web 應用防火墻的功能有以下這些:
多檢查點:WAF模塊對同一個請求,可以在從請求到響應的過程中設置多個檢查點,組合檢測(通常的WAF只能設置一個檢查點);比如某一條規則在請求(Request)中設置了檢查點,同時還可以在該請求的其他位置或響應(Response)中設置檢查點。
惡意域名指向攔截網關攔截未登記域名:如果服務器配置不當,有可能會正常響應請求,對公司的聲譽造成影響。所以,當非法域名指向過來的時候,應該拒絕響應,只響應已登記的域名,未登記的域名會拒絕訪問。
任意后端Web服務器適配:WAF模塊不需要在被保護的目標服務器上安裝任何組件或私有Agent,后端業務可使用任何類型的Web服務器(包括但不限于Apache、Nginx、IIS、NodeJS、Resin等)。
只針對HTTP和HTTPS的請求進行異常檢測:阻斷不符合請求的訪問,并且嚴格的限制HTTP協議中沒有完全限制的規則。以此來減少被攻擊的范圍。
建立安全規則庫,嚴格的控制輸入驗證:以安全規則來判斷應用數據是否異常,如有異常直接阻斷。以此來有效的防止網頁篡改的可能性。
回答所涉及的環境:聯想天逸510S、Windows 10。