WEB应用防火墙优缺点浅析

随着网络的普及,网站的安全也面临着很大的挑战;几乎一夜间千树万树梨花开,“网站保护”、“防篡改”、“应用防火墙”等关键字成为了安全的代名词。

应用防火墙也叫Web应用防火墙(Web Application Firewall,缩写WAF),是一种新兴的网站安全产品,主要功能为防跨站攻击、防SQL注入攻击等。WAF的火爆登场,各式各样的应用防火墙层出不穷。从存在型态上来分,可以为硬件式和软件式;根据技术原理的不同,硬件型态的又分为旁路式和串联式,软件型态的又分为代理式和嵌入式。四种不同实现技术,各有其优缺点,下面将一一分别解说。

一、硬件型态

1. 旁路式

优点:

部署简单:将WAF 设备通过一根网线直接联接到核心交换机上,就可以完成部署。

不影响网速:旁路式主要是通过实时的从交换机上复制数据包,然后进行分解、分析有无攻击行为。

缺点:

无法独立完成防御功能:旁路式的实现方式无法完成对攻击行为阻断,必须通过防火墙的协助才能完成阻断功能。

丟包的概率较高:丢包率取决于当前网络流量和WAF 分析的效率;单位流量越大WAF 处理速度越慢,丢包率就越大。

无法支持HTTPS :不同的网站所采用的key 都是不同的,所以旁路式的WAF 是无法解析HTTPS 数据包。

免费使用:

2. 串联式(网关式)

优点:

部署简单:顾名思义,串联就是串联于网关处。

可主动防御:由于是串联的方式接入,所以所有访问的数据都要先经过它的过滤器 才可到达目的地。

无丟包问题:串联的方式决定了不可能存在丢数据的问题。

缺点:

数据流量成为瓶颈:网络上的所有的数据包都要经过WAF ,所以WAF 支持带宽就成为了现有网络的最大带宽。

不支持HTTPS :同样无法解决HTTPS 数据包。

免费使用:

二、软件型态

1. 代理式

优点:

实现成本低:不需要硬件设备的投入,节省硬件开支。

可实现主动防御:和串联式的硬件相同,只不过串联的位值不同,一个是网关处, 一个是网络和服务器之间。

无丟包问题:同样不存在丢包的问题。

缺点:

部署复杂:要在服务器上完成代理软件,然后设置代理的端口和服务器的端口,代理先获取请求然后再转发服务器。

不支持HTTPS :同样无法持HTTPS 数据包的解析。

免费使用:

国外Web Wall 1.2.07 ,下载地址:http://download.cnet.com/Web-Wall/3000-10435_4-10544302.html

2. 嵌入式

优点:

实现成本低:同样无硬件的开支。

可实现主动防御:工作于服务器内部,可以在数据处理之前进分析过滤。

无丟包问题:串联的特点决定了无丢包问题。

支持HTTPS :由于系统工作于服务器内部,所以很方便可以获取到解密之后的数据包,对HTTPS 的支持也就水到渠成了。

缺点:

部署复杂:系统的部署要根据操作系统和服务器来进行相应的处理。

免费使用:

国内的InforGuard WebWall提供免费版本,官方网站http://www.inforguard.com

展开阅读全文

没有更多推荐了,返回首页