WEB应用防火墙优缺点浅析

最新推荐文章于 2024-09-02 23:07:21 发布
最新推荐文章于 2024-09-02 23:07:21 发布
阅读量4k 收藏 11
点赞数 1
文章标签: 防火墙 web 服务器 网络 嵌入式 application
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinamiddleware/article/details/5512479
版权

随着网络的普及,网站的安全也面临着很大的挑战;几乎一夜间千树万树梨花开,“网站保护”、“防篡改”、“应用防火墙”等关键字成为了安全的代名词。

应用防火墙也叫Web应用防火墙(Web Application Firewall,缩写WAF),是一种新兴的网站安全产品,主要功能为防跨站攻击、防SQL注入攻击等。WAF的火爆登场,各式各样的应用防火墙层出不穷。从存在型态上来分,可以为硬件式和软件式;根据技术原理的不同,硬件型态的又分为旁路式和串联式,软件型态的又分为代理式和嵌入式。四种不同实现技术,各有其优缺点,下面将一一分别解说。

一、硬件型态

1. 旁路式

优点:

部署简单:将WAF 设备通过一根网线直接联接到核心交换机上,就可以完成部署。

不影响网速:旁路式主要是通过实时的从交换机上复制数据包,然后进行分解、分析有无攻击行为。

缺点:

无法独立完成防御功能:旁路式的实现方式无法完成对攻击行为阻断,必须通过防火墙的协助才能完成阻断功能。

丟包的概率较高:丢包率取决于当前网络流量和WAF 分析的效率;单位流量越大WAF 处理速度越慢,丢包率就越大。

无法支持HTTPS :不同的网站所采用的key 都是不同的,所以旁路式的WAF 是无法解析HTTPS 数据包。

免费使用:

2. 串联式(网关式)

优点:

部署简单:顾名思义,串联就是串联于网关处。

可主动防御:由于是串联的方式接入,所以所有访问的数据都要先经过它的过滤器 才可到达目的地。

无丟包问题:串联的方式决定了不可能存在丢数据的问题。

缺点:

数据流量成为瓶颈:网络上的所有的数据包都要经过WAF ,所以WAF 支持带宽就成为了现有网络的最大带宽。

不支持HTTPS :同样无法解决HTTPS 数据包。

免费使用:

二、软件型态

1. 代理式

优点:

实现成本低:不需要硬件设备的投入,节省硬件开支。

可实现主动防御:和串联式的硬件相同,只不过串联的位值不同,一个是网关处, 一个是网络和服务器之间。

无丟包问题:同样不存在丢包的问题。

缺点:

部署复杂:要在服务器上完成代理软件,然后设置代理的端口和服务器的端口,代理先获取请求然后再转发服务器。

不支持HTTPS :同样无法持HTTPS 数据包的解析。

免费使用:

国外Web Wall 1.2.07 ,下载地址:http://download.cnet.com/Web-Wall/3000-10435_4-10544302.html

2. 嵌入式

优点:

实现成本低:同样无硬件的开支。

可实现主动防御:工作于服务器内部,可以在数据处理之前进分析过滤。

无丟包问题:串联的特点决定了无丢包问题。

支持HTTPS :由于系统工作于服务器内部,所以很方便可以获取到解密之后的数据包,对HTTPS 的支持也就水到渠成了。

缺点:

部署复杂:系统的部署要根据操作系统和服务器来进行相应的处理。

免费使用:

国内的InforGuard WebWall提供免费版本,官方网站http://www.inforguard.com

chinamiddleware
关注
网络安全学习笔记1】防火墙分类以及各自优缺点
suancaiyufei的博客
11-12 4275
一、防火墙是什么? 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。——搜狗百科 通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具
Web应用防火墙实现技术优缺点
刘毅枫的博客
02-23 1528
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
Linux运维--Firewall防火墙命令以及规则等详解(全)
最新发布
lza20001103的博客
09-02 3147
Linux运维--Firewall防火墙命令以及规则等详解(全)
包过滤防火墙和代理防火墙各自的优缺点
网工小小威
07-02 1万+
包过滤防火墙 优点 ①利用路由器本身的包过滤功能,以ACL方式实现 ②处理速度较快 ③对于安全要求低的网络采用路由器自带防火墙功能时,不需要其他设备 ④对于用户来说是透明的,用户的应用层不受影响 缺点 ①无法阻止ip欺骗 ②路由器的过滤规则的设置和配置十分复杂 ③不支持应用层协议,无法发现基于应用层的攻击 ④实施的是静态的、固定的控制,不能跟踪TCP状态 ⑤不支持用户认证 ...
防火墙是什么?详解三种常见的防火墙优缺点
资深程序员,曾自学JAVA,C#,如今从业于网安行业
12-30 1579
防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生的时候蔓延到别的房屋,如下图所示在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问,网络防火墙结构如图所示使所有进出被保护网络的通信数据流必须经过防火墙所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权防火墙本身也必须是不可被侵入的。
FW/IDS/IPS/WAF等安全设备部署方式及优缺点
热门推荐
chenyulancn的专栏
12-29 6万+
现在市场上的主流网络安全产品可以分为以下几个大类: 1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。FW可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。 FW部署位置一般为外联出口或者区域性出口位置,对内外流量进
浅析现代Web端im即时通讯开发技术
蔚可云的博客
06-29 517
传统的Web端即时通讯技术从短轮询到长连询,再到Comet技术,在如此原始的HTML标准之下,为了实现所谓的“即时”通信,技术上可谓绞尽脑汁,极尽所能。自从HTML5标准发布之后,WebSocket这类技术横空出世,实现Web端即时通讯技术的便利性大大提前,以往想都不敢想的真正全双工实时通信,如此早已成为可能。 在这里不打算详细介绍整个WebSocket协议的内容,根据我本人以前协议的学习思路,我挑重点使用问答方式来介绍该协议,这样读起来就不那么枯燥。协议运行在OSI的哪层?应用层,WebSocket协议是
ios浅析web端的消息推送原理
马甲包开发审核交流群:869685378
03-26 458
引言: 在互联网高速发展的时代里,web应用大有取代桌面应用的趋势,不必再去繁琐的安装各种软件,只需一款主流浏览器即可完成大部分常规操作,这些原因都在吸引着软件厂商和消费者。而随着各大厂商浏览器版本的迭代,前端技术的不断革新,消息推送用到的场景也越来越多了。收发邮件提醒,在线IM聊天,自动化办公提示等等,web系统里总是能见到消息推送的应用。消息推送用好了能增强用户体验,用不好则会起相反的效果。...
浅析asp.net页面跳转
11-29
缺点是存储结构少,仅仅支持简单的数据结构,存储量少,因为它被存储在页面本身,所以无法存储较大的值,而且大的数据量会受到防火墙和代理的阻止。 3. ViewState ViewState 是由 ASP.NET 页面框架管理的一个隐藏...
浅析Icmp原理及隐蔽攻击的方式
MSB_WLAQ的博客
10-13 2624
一、ICMP隧道技术解析 1.icmp协议 Internet Control Message Protocol Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用于网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用 ICMP协议主要提供两种功能, 一种是差错报文,一种是信息类报文。信息类报文包括回显请求和回显应答,以及路由器通告和路由器请求。常见的差.
MQ和ActiveMQ浅析
星星都没我亮的博客
10-30 2196
文章目录什么是JMS MQ消息中间件应用场景**异步通信**缓冲解耦冗余扩展性可恢复性顺序保证**过载保护****数据流处理**常用消息队列(ActiveMQ、RabbitMQ、RocketMQ、Kafka)比较JMS中的一些角色**Broker**providerConsumerp2ppub/subPTP 和 PUB/SUB 简单对QueueTopicConnectionFactoryConnectionDestinationSessionJMS的消息格式JMS消息由以下三部分组成的:TextMessag
解释清楚常见网络设备的部署模式及优缺点
qq_43987474的博客
01-04 7680
解释清楚常见网络设备的部署模式及优缺点 四种部署模式: 1.路由部署 2.网桥模式 3.单臂模式 4.旁路模式 常见的部署模式示意图: 图示说明:注意图中标准的IP地址,路由模式不同的端口是处于不同的网段的,网桥的出入口都是同属于一个网段的 了解部署模式目标:知道网络设备如何放到现有的网络环境中,实现影响最小,帮助最大的放置方式 1.路由模式 可以隔离广播域,设备的两个接口连接两个不同的网段,也就是连接两个不同的广播域,并且储存路由表,需要进行路由转发。 优点:支持的网络功能最多最全面:支持路由转发,i
深信服培训--网络设备常见的部署模式
Cement20的博客
06-02 5419
四种部署方式 路由模式部署 网桥模式部署 单臂模式部署 旁路模式部署 路由模式部署:每个接口处于不同的网段,处于不同的广播域。 优点:支持的网络功能最多最全面,比如路由转发,端口镜像,防火墙,ipset,vpn,DHCP基本的网络功能。 缺点:对网络环境改造影响比较大,网络故障恢复时间比较长。 网桥模式部署:类似于二层交换机,没有选路功能,只能从一端发送到另一端,处于同一网段。 优点:不需要复杂的网络改造,网络故障影响比较小,恢复比较快 。 缺点:缺少网络功能,没有DHCP,ipset,端口映射功能。
防火墙的原理、主要技术、部署及其优缺点
wzhua的博客
07-19 7764
防火墙的原理、主要技术、部署及其优缺点。十大防火墙
WAF——web安全及web应用防火墙
m0_75056154的博客
03-23 1716
WAF——web安全及web应用防火墙
保护您的 Web 应用程序的最佳开源 Web 应用程序防火墙
allway2的博客
08-08 1702
WAF 意思是 Web Application Firewall:它是一个用于过滤来自 Internet 的 HTTP 请求的防火墙。ModSecurity 有一个用于商业用途的许可版本,而 IronBee 对于各种规模的操作都是完全免费的。Lua-resty-waf 是一个高性能的开源、免费的 Web 应用防火墙。但是,如果您具有 Internet Security 的知识和经验,那么您可以从任何开源 WAF 中创建强大的 WAF。有许多免费的 WAF 可以免费保护您的 Web 应用程序。...
IPS与防火墙旁路部署
悦分享
07-09 3985
一、防火墙旁路部署实现防护功能的同时,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口或者接在 HUB 上,保证外网用户访问服务器的数据经过此交换机,并且设置镜像口的时候需要同时镜像上下行的数据,从而实现对服务器的保护。如下图,防火墙设备旁路部署,内网接三层交换机,用户网段为 192.168.2.0/24,服务器网段为 172.16.1.0/24,配置防火墙设备能够对服务器进行 IPS防护、WEB 应用防护以及防止敏感信息的泄露。1、配置管理口旁路部署
华为防火墙策略路由旁路部署
解不开的未知数
04-17 1万+
配置策略路由(引流到旁挂防火墙)示例 为了保证企业内网的安全,通过配置策略路由将外网到内网的全部流量引流防火墙进行安全检测。 组网需求 如图1所示,某公司由于业务需要,用户有访问Internet的需求。用户通过核心交换机SwitchA以及接入网关Router与Internet进行通信。 为了保证公司网络的安全性,将所有进入公司内网的流量引入到旁挂防火墙进行安全检测后再进入公司内部网络。...
华三防火墙旁路部署三种方式之子接口旁路
解不开的未知数
03-13 9124
为什么需要旁路部署:原有组网复杂 好处:物理上的旁路,逻辑上的串联 1.防火墙子接口形式旁路部署 配置原理: loo0是为了方便测试使用,实际组网此处是属于公网。 需要实现的目的:让进来的流量先经过防火墙再回到交换机,出去的流量先流经防火墙,再经过交换机上行出去,同时如果防火墙故障或者损坏,可以利用在路由器或者交换机上设置NQA来实现路由切换达到防火墙损坏不影响整体网络。 主要用到...
暖月的Web应用安全深度探索
"暖月—Web应用安全文集[饭/编著],由专注于WEB、Linux及数据库应用安全的专家暖月编写,包含多个篇章,详细探讨了Web应用安全的多个重要主题,如路径遍历漏洞、防篡改上传漏洞以及本地验证漏洞等。" 这篇文集详细...
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值