防火墙是网络安全的重要屏障,控制不同信任区域的数据流。它包括服务访问规则、验证工具、包过滤和应用网关四个部分。常见的防火墙类型有Web应用防火墙和数据库防火墙,分别用于保护网站安全和数据库安全。Web应用防火墙通过识别恶意流量并进行清洗,防止服务器被入侵。数据库防火墙则通过增强认证、攻击检测、防止漏洞利用和敏感数据泄露等功能确保数据库安全。防火墙部署方式有桥接模式和分接/跨接模式,可以根据需求选择。在硬件和软件供应商中,绿盟科技、安恒信息等是市场上的领先者。
防火墙概述
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内网是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。
防火墙的原理
防火墙是一个由软硬件组合而成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障,它能使网络之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙的种类
防火墙分为:web应用防火墙、数据库防火墙、代码防火墙、工控防火墙。我们常见的主要是web应用防火墙,和数据库防火墙。
web应用防火墙的功能
WAF(web应用防火墙)可以有效识别Web业务流量的恶意特征,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
数据库防火墙的功能
- 屏蔽直接访间数据库的通道,数据库防火墙部署介于数据库服务器和应用服务器之间,屏蔽直接访问的通道,防止数据库隐通道对数据库的攻击。
- 增强认证。应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。
- 攻击检测。可实时检测用户对数据库进行的 SQL 注入和缓冲区溢出攻击,并报警或者阻止攻击行为,记录攻击操作发生的时间、来源 IP 、登录数据库的用户名、攻击代码等详细信息。
- 防止漏洞被利用,捕获和阻断数据库漏洞攻击行为。
- 防止内部高危操作,系统维护人员、外包人员、开发人员等具有直接访问数据库的权限,可能有意无意地进行高危操作对数据造成破坏。通过数据库防火墙可以限定更新和删除影响行、限定无 Where 的更新和删除操作、限定 drop truncate 等高危操作避免大规模损失。
- 防止敏感数据泄露,通过数据库防火墙可以限定数据查询和下载数晕、限定敏感数据访问的用户、地点和时间。
- 数据库安全审计。对数据库服务器的访问情况进行独立审计,审计信息可以包括用户名、程序名、 IP 地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等信息。
如何使用web应用防火墙
WAF放置方面主要有两种架构方案可以考虑:桥接模式(in-line)或分接/跨接模式(tap/span)。
桥接模式
这种架构又叫主动配置,WAF就直接放在请求方(如浏览器客户端)与Web应用服务器之间的流量路径当中。WAF在检查应用请求和响应之后再传送请求和响应。
分接/跨接模式
这种模式又叫"被动"模式,因为WAF被挡在流量路径外面,从分接端口或跨接端口监控流量。分接/跨接式WAF常常用于收集数据,以便之后用于调查或取证分析。这种架构模式的一个主要优点是,它并不干扰网络流量或吞吐量,因为它不是直接嵌入。
防火墙的部署又可分为单防火墙无DMZ、单防火墙DMZ和双防火墙
单防火墙DMZ
相对于单防火墙无DMZ内网的安全系数显著增高
单防火墙无DMZ
服务器和内网客户端没有分隔,使内网的安全性大大降低
双防火墙部署
WAF厂商介绍
WAF分为硬件和软件两部分,在硬件方面,绿盟科技、天融信蓝盾、北京千来信安、中新网安、软云神州较为出色,其中绿盟科技连续三年蝉联国内市场销量第一,在软件方面有福州深空、安恒信息、中云网安、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技、安数云、瑞数信息、创旗技术、奇安信等企业,其中奇安信也就是我们所熟悉的360,是软件方面的龙头企业。
扫一扫
1462
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
