web防火墙抵御攻击是如何实现的

WAF的核心技术在于对web攻击防护能力和对HTTP本质的理解,前者要求WAF能够完整地解析HTTP,包括报文头部、参数及载荷;支持各种HTTP编码;提供严格的http协议验证;提供html限制;支持各类字符集编码;具备http response过滤能力/从而降低安全风险的角度而言,后者要求WAF能有效影响攻击者因素中的机会、群体因子以及漏洞因素中的发现难易度、利用难易度、入侵检测与觉察度因子。

那么,WAF是如何防御Web攻击的呢?

CSRF是一类被广泛利用的web应用安全漏洞,该攻击通过伪造来自受信任用户的服务请求,诱使用户按照攻击者的意图访问网站信息,或者执行一些恶意的操作,比如登出网站,购买物品,改变账户信息,获取账号,或其他任何网站授权给该用户的操作等。

相对于使用特征集的静态防护,web应用防火墙采用的动态防护机制更具智能型和灵活性。基本思路是通过WAF随机产生的隐含表单来打断一个不变的会话,也就是说即使攻击者获取到了用户身份,但是随机变化的验证码让攻击者无法构造一个不必拿的报文。

还有一类影响web应用可用性的攻击也比较典型,即应用层ddos攻击,习惯称为cc攻击。不同于网络层带宽耗尽型的ddos攻击,此类攻击构思更为精巧,意在以相对较小的代价耗尽web服务器侧的系统资源,如磁盘存储、数据库链接、线程等。

基于规则的拒绝服务攻击防护或者调整apache配置均很难应对这种攻击工具。而应用来多种防护技术的AF产品,可天然应对基于这类工具的攻击。


展开阅读全文

没有更多推荐了,返回首页