有趣的是�,還沒有人能真正知道web應(yīng)用防火墻究竟是什么,或者確切的說�����,還沒有一個大家認(rèn)可的精確定義�����。從廣義上來說�����,Web應(yīng)用防火墻就是一些增強(qiáng) Web應(yīng)用安全性的工具�。然而�����,如果我們要深究它精確的定義,就可能會得到更多的疑問��。因為一些Web應(yīng)用防火墻是硬件設(shè)備�����,一些則是應(yīng)用軟件;一些是基于網(wǎng)絡(luò)的����,另一些則是嵌入WEB服務(wù)器的。
國外市場上具有WEB應(yīng)用防火墻功能的產(chǎn)品名稱就有不同的幾十種���,更不用說是產(chǎn)品的形式和描述了�。它難以界定的原因是這個名稱包含的東西太多了�。較低的網(wǎng)絡(luò)層(Web應(yīng)用防火墻被安置在第七層)被許多設(shè)備所覆蓋,每一種設(shè)備都有它們獨特的功能��,比如路由器�,交換機(jī),防火墻���,入侵檢測系統(tǒng)�����,入侵防御系統(tǒng)等等����。然而,在HTTP的世界里��,所有這些功能都被融入在一個設(shè)備里:Web應(yīng)用防火墻�����。
總體來說�����,Web應(yīng)用防火墻的具有以下四個方面的功能:
1. 審計設(shè)備:用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話
2. 訪問控制設(shè)備:用來控制對Web應(yīng)用的訪問�,既包括主動安全模式也包括被動安全模式
3. 架構(gòu)/網(wǎng)絡(luò)設(shè)計工具:當(dāng)運(yùn)行在反向代理模式,他們被用來分配職能�,集中控制,虛擬基礎(chǔ)結(jié)構(gòu)等��。
4. WEB應(yīng)用加固工具:這些功能增強(qiáng)被保護(hù)Web應(yīng)用的安全性��,它不僅能夠屏蔽WEB應(yīng)用固有弱點,而且能夠保護(hù)WEB應(yīng)用編程錯誤導(dǎo)致的安全隱患����。
但是�,需要指出的是,并非每種被稱為Web應(yīng)用防火墻的設(shè)備都同時具有以上四種功能��。
由于WEB應(yīng)用防火墻的多面性���,擁有不同知識背景的人往往會關(guān)注它不同方面的特點�����。比如具有網(wǎng)絡(luò)入侵檢測背景的人更傾向于把它看作是運(yùn)行在HTTP層上的 IDS設(shè)備;具有防火墻自身背景的人更趨向與把它看作一種防火墻的功能模塊�����。還有一種理解來自于“深度檢測防火墻”這個術(shù)語����。他們認(rèn)為深度檢測防火墻是一種和Web應(yīng)用防火墻功能相當(dāng)?shù)脑O(shè)備����。然而,盡管兩種設(shè)備有些相似之處,但是差異還是很大的��。深度檢測防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次�,而 Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且很好地支持它。
直接更改WEB代碼解決安全問題是否更好?這是毋庸置疑的��,但也沒那么容易(實現(xiàn))����。
因為,通過更改WEB應(yīng)用代碼是否一定就能增強(qiáng)系統(tǒng)安全性能���,這本身就存在爭論���。而且現(xiàn)實也更加復(fù)雜:
◆不可能確保100%的安全。人的能力有限��,會不可避免地犯錯誤����。
◆絕大多數(shù)情況下,很少有人力求100%的安全�����。如今的現(xiàn)實生活中那些引領(lǐng)應(yīng)用發(fā)展的人更多注重功能而不是安全。這種觀念正在改變����,只是有點緩慢。
◆一個復(fù)雜的系統(tǒng)通常包含第三方產(chǎn)品(組件���,函數(shù)庫)�,它們的安全性能是不為人知的��。如果這個產(chǎn)品的源代碼是保密的�����,那么你必須依賴商品的廠商提供補(bǔ)丁����。即使有些情況下源代碼是公開的���,你也不可能有精力去修正它們�。
◆我們不得不使用存在安全隱患的業(yè)務(wù)系統(tǒng)����,盡管這些舊系統(tǒng)根本無法改進(jìn)���。
因此,為了獲得最好的效果�����,我們需要雙管齊下:一方面����,必須提高管理者和開發(fā)者的安全意識;另一方面,盡可能提高應(yīng)用系統(tǒng)的安全性���。
Web應(yīng)用防火墻的特點
異常檢測協(xié)議
如果閱讀過各種RFC���,就會發(fā)現(xiàn)一個被反復(fù)強(qiáng)調(diào)的主題。大多數(shù)RFC建議應(yīng)用自己使用協(xié)議時要保守����,而對于接受其他發(fā)送者的協(xié)議時可以自由些。Web服務(wù)器就是這樣做的��,但這樣的行為也給所有的攻擊者打開了大門�。幾乎所有的WAF對HTTP的請求執(zhí)行某種異常檢測,拒絕不符合Http標(biāo)準(zhǔn)的請求���。并且�,它也可以只允許HTTP協(xié)議的部分選項通過,從而減少攻擊的影響范圍��。甚至����,一些WAF還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。
相關(guān)推薦:
計算機(jī)軟考網(wǎng)絡(luò)工程師必備英語詞匯全集
計算機(jī)軟件水平考試網(wǎng)工歷年真題匯總
軟件水平考試網(wǎng)絡(luò)工程師學(xué)習(xí)筆記匯總(完整版)
2010年軟件水平考試網(wǎng)絡(luò)工程師模擬試題匯總
