WEB应用防火墙解决难题
WEB应用防火墙的出现解决了这方面的难题,应用防火墙通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付,形象的来说相当于给原网站加上了一个安全的绝缘外壳。
下面我们就用一款现在业内比较普遍的Barracuda-NC应用防火墙来举例,来看看应用防火墙是如何保护网站防止被恶意注入和篡改的了。
网络架构和部署:双臂代理模式
双臂代理模式是Web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式,能够提供最佳的安全性能。
在此模式中,所有的数据端口都将被开启;端口eth1是对外的,直接面向因特网的端口;端口eth2将会和内部的设备(交换机等)进行连接,是面向内部的。管理端口可以被分配到另一个网段,我们推荐将管理数据和实际的流量分离,避免因为实际流量和管理数据的冲突。
以下为示例拓扑图:
网络实现:
1.前端端口和后端端口位于不同的网段,所有外部客户将会和应用虚拟IP地址进行连接,此虚拟ip将会和前端端口(eth1)进行绑定
2.客户的连接将会在设备上终止,进行安全检查和过滤
3.合法的流量将会由后端端口(eth2)建立新的连接到负载均衡设备
4.负载均衡进行流量的负载
5.双臂代理模式可以开启所有的安全功能
工作特点:基于应用层的检测,同时又拥有基于状态的网络防火墙的优势
•对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利用协议漏洞的攻击和权限提升
• 预期数据的完整知识(Complete Knowledge of expected values),防止各种形式的SQL/命令注入,跨站式脚本攻击
• 实时策略生成及执行,根据您的应用程序定义相应的保护策略,而不是千篇一律的厂家预定义防攻击策略,无缝的砌合您的应用程序,不会造成任何应用失真
网友评论