Web防火墙 WAF

最新推荐文章于 2023-02-22 14:48:58 发布
VIP文章 最新推荐文章于 2023-02-22 14:48:58 发布
阅读量6.8k 收藏 5
点赞数 1
文章标签: 防火墙 web web服务 应用服务器 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buptisc_txy/article/details/5615299
版权

第 1 章 背景及目的

1.1 背景
1.1.1 Web安全现状

随着互联网技术与应用的不断发展,新的互联网业务增长点与商业模式不断产生,已深入到社会经济、政治等各个层面。因此,各类组织所面临的Web 应用越来越复杂(如图1所示),安全问题以及衍生出的维护、管理问题也日益突出。

clip_image002

图1 web应用层环境

目前针对Web的攻击,主要包括黑客攻击、蠕虫病毒等,以及各种混合攻击,其对信息网络和核心业务造成严重破坏。常见的web攻击手段如表1所示。

表1 web应用层常见攻击

攻击名称

攻击方式

缓冲区溢出

攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令

Cookie假冒

精心修改Cookie数据进行用户假冒

认证逃避

攻击者利用不安全的证书和身份管理

非法输入

在动态网页的输入中使用各种非法数据,获取服务器敏感数据

强制访问

</
最低0.47元/天 解锁文章
buptisc_txy
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
iptables案例:搭建web服务器的防火墙
麦子地的专栏
11-12 1829
iptables案例:搭建web服务器的防火墙防火墙原理图(硬件版)使用iptables实现防火墙(软件版)配置实战# 放行环回口所有数据 [root@localhost ~]# iptables -A INPUT -i lo -j ACCEPT # 放行22、80端口 [root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport
Web一些主要的安全防护措施
DavidLiu的博客
05-05 5679
OWASP (安全防护、漏洞验证工具) 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,...
白帽子发现美军网站SQL注入漏洞,可获取敏感数据
weixin_34242331的博客
07-03 168
去年有报道称,美军收购软件漏洞为网战准备。而美军自己的网站和服务器究竟又有多安全?一名独立安全研究者已经发现了美军网站的几个较为严重的安全漏洞。 安全专家称,这些漏洞说明了美国防部网络安全基础的脆弱性,攻击这些军方公共站点以及职员门户要比进入五角大楼容易得多。   美军网站惊现SQL注入漏洞 漏洞发现者研究者名为MLT,他表示在美军国防合同管理局(DC...
白帽子讲web安全笔记
weixin_34097242的博客
03-13 106
黑客精神:分享,自由,免费 安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。 安全问题:本质是信任问题。 安全过程:安全是一个持续的过程,这个过程中没有银弹。 安全要素:完整性 可用性 机密性(可审计性 不可抵赖性) 安全评估:资产登记划分 威胁分析 风险分析 确认解决方案 资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是...
信安网络渗透测试1
babywhale_bi的博客
10-12 2095
1.等保2.0 参考链接https://www.rising.com.cn/2019/db2/#_Toc12535289 2.
防火墙设计和部署解析
qq_62311779的博客
05-02 3041
目录 拓扑一: 安全性评估: 改善方案: 杀毒网关/ips/WAF工作机制分析: 拓扑修改+安全性提升: 拓扑一: 需求:外网的pc2能够访问内网的web服务器 安全性评估: 需求可以实现,但是如果pc2作为恶意攻击者入侵了公司内网的web服务器,以公司内网的web服务器作为跳板,向内网的OA办公系统、财务系统等发起攻击就很难防御 。很不安全!!缺乏合理的安全架构设计 改善方案: 在OA与核心交换机之间安装IPS(入侵防御检测) web服务器与核心交换机之间安装WAF(we.
web防火墙WAF功能测试方案
10-17
根据国际权威机构WASC(Web Application Security Consortium )和OWASP(Open Web Application Security Project)的分析,国内外的信息安全厂商当前能防范的针对Web服务器的攻击类型主要有SQL注入攻击、XSS攻击、...
WEB应用防火墙铱迅WAF.pdf
08-11
网络安全
lua版waf web防火墙 redis+nginx版
06-23
基于网上大牛的waf版本魔改了一下,宝塔也是用此防火墙..支持redis记录来访ip数据,更好查询记录, 需要安装openresty版本的nginx, 如何安装网上教程一大堆,自己去找吧..
梭子鱼WEB应用防火墙WAF通用项目方案.docx
07-14
梭子鱼WEB应用防火墙WAF通用项目方案.docx梭子鱼WEB应用防火墙WAF通用项目方案.docx梭子鱼WEB应用防火墙WAF通用项目方案.docx梭子鱼WEB应用防火墙WAF通用项目方案.docx梭子鱼WEB应用防火墙WAF通用项目方案.docx...
2015年~4~14web应用防火墙WAF产品白皮书(WAF).doc
10-07
2015年~4~14web应用防火墙WAF产品白皮书(WAF).doc
金融企业Web应用什么防火墙好?
hanniuniu11的博客
03-08 428
随着科技信息技术的发展,市面上有很多做防火墙业务的厂家,如果之前没有接触过这方面确实难以选择。不知道你是否了解Gartner 公司发布的“Web 应用防火墙 (WAF) 魔力象限”。 Gartner是全球最具权威的IT研究与顾问咨询公司,成立于1979年,其研究范围覆盖全部IT产业,为客户提供客观、公正的论证报告及市场调研报告。在2017年8月, F5被列入“Web 应用防火墙 (WAF) 魔力象...
WAF基本原理与部署方式
曹世宏的博客
06-14 5万+
WAF介绍 WAF是什么? WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 WAF常见的部署方式: WAF常见部署方式 WAF一般部署在Web服务器之前,用来保护Web应用。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用
预防Web应用程序的漏洞
收集盒 Book box
07-17 1100
本文最早发表于《Computer》杂志,现在由InfoQ以及IEEE Computer Society合作为你呈现。 如今的Web应用程序可能会包含危险的安全缺陷。这些应用程序的全球化部署使其很容易遭受攻击,这些攻击会发现并恶意探测各种安全漏洞。 Web环境中两个主要的风险在于:注入——也就是SQL注入,它会让黑客更改发往数据库的查询——以及跨站脚本攻击(XSS),它们也是最危险的(Categ
Web安全防护
qq_38774121的博客
09-05 341
Web安全防护 XSS攻击 Cross Site Scripting 跨站脚本攻击 XSS攻击类型 反射型 存储型 XSS攻击注入点 HTML节点内容 节点内容是动态生成的,内容是用户输入的信息,极有可能造成XSS攻击 HTML属性 节点的属性由用户输入的,可能造成XSS攻击 Javascritp JS代码中,由后台注入的变量,或者是由用户输入的信息 富文本 避免XSS...
WAF简介
永远是少年
08-12 6089
今天继续给大家介绍渗透测试相关知识,本文主要内容是WAF简介。 一、WAF定义 二、WAF分类 三、WAF常见功能 四、WAF防护特点
WAF是什么?一篇文章带你全面了解WAF
weixin_44716769的博客
02-22 8700
WAF是什么?一篇文章带你全面了解WAF WAF是什么? 一、WAF的工作原理 二、WAF的分类 三、WAF的特点 四、如何选择和部署WAF
WAF介绍
热门推荐
白清羽的博客
06-24 9万+
一、WAF产生的背景: 过去企业通常会采用防火墙,作为安全保障的第一道防线;当时的防火墙只是在第三层(网络层)有效的阻断一些数据包;而随着web应用的功能越来越丰富的时候,Web服务器因为其强大的计算能力,处理性能,蕴含较高的价值,成为主要的被攻击目标(第五层应用层)。而传统防火墙在阻止利用应用程序漏洞进行的攻击方面,却没有办法;在此背景下,waf(Web Application...
防火墙waf布置的区别
最新发布
07-14
防火墙(Firewall)和Web应用防火墙Web Application Firewall,WAF)是网络安全中常见的两种安全设备,它们有以下区别: 1. 功能:防火墙是一种网络安全设备,用于保护整个网络免受未经授权的访问和恶意活动的侵害。它通过检查网络流量,过滤和阻止不符合规则的数据包。而WAF是一种特定于Web应用程序的安全设备,用于保护Web应用程序免受各种Web攻击,如SQL注入、跨站点脚本(XSS)等。 2. 位置:防火墙通常部署在网络边界,例如在内部网络和外部网络之间的边界处。它监控整个网络流量,并根据配置的规则决定是否允许或阻止数据包通过。WAF则通常部署在Web应用程序的前端,作为应用程序和用户之间的代理。它监控和检查进入Web应用程序的HTTP请求,并根据规则阻止潜在的恶意请求。 3. 目标:防火墙主要关注网络层和传输层的安全,如IP地址、端口号等。它通过检查数据包的源IP地址、目标IP地址、源端口号、目标端口号等信息,来判断是否允许通过。而WAF主要关注应用层的安全,如HTTP请求和响应。它检查HTTP请求的内容、参数、头部等信息,以识别和阻止潜在的Web攻击。 4. 策略:防火墙的策略通常基于网络层和传输层的规则,如源IP地址、目标IP地址、端口号等。它可以根据这些规则来允许或阻止数据包的传输。而WAF的策略基于Web应用程序的特定规则,如输入验证、输出编码、SQL注入检测等。它可以根据这些规则来识别和阻止恶意的Web请求。 综上所述,防火墙WAF在功能、位置、目标和策略等方面存在明显的区别。防火墙主要用于保护整个网络免受未经授权的访问和恶意活动的侵害,而WAF则专注于保护Web应用程序免受各种Web攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值