web應用防火牆也被稱爲網站應用級入侵防禦系統,按照一些常規的定義,WAF是指通過一些列針對HTTP/HTTPS的安全策略專門爲web應用提供保護的產品。它主要用於防禦針對網絡應用層的攻擊,像SQL注入、跨站腳本攻擊、參數篡改、應用平臺漏洞攻擊、拒絕服務攻擊等。
同傳統防火牆不同的是,web應用防火牆位於兩個或多個網絡之間,它們是實施網間訪問控制的一組組建的集合,內部和外部網絡之間的所有網絡數據都必須經過防火牆,只有符合安全策略的數據才能通過防火牆,它工作再開放系統互連參考模型的網絡層,通過地址轉換、訪問控制機器的狀態檢測的等功能,對企業網絡層數據進行保護。
3 Web應用防火牆的部署方式Web應用防火牆的部署主要有透明模式、路由模式、旁路監控模式以及HA雙擊模式來滿足用戶的各種不同網絡結構的應用需求。
1)透明部署方式透明部署方式是在Web服務器和防火牆之間插入WAF,在透明模式下,Web應用防火牆只對流經OSI應用層的數據進行分析,而對其他層的流量不作控制,因此透明模式的最大特點就是快速、方便、簡單。
2)路由部署方式部署網橋透明模式的WAF的設備,其“透明”概念與網橋透明模式中相似,可以將其看做一個路由設備,將其作爲路由器進行部署,同時確保要檢測的HTTP流量(指定IP和端口)經過WAF設備即可。這種部署模式是網絡安全防護中保護程度最高的,但是需要對防火牆和Web應用服務的路由設置做出一定的調整,對網絡管理員的要求較高。
3)旁路部署方式旁路部署模式是將WAF置於局域網交換機下,訪問Web服務器的所有連接通過安全策略指向WAF。它的優點是對網絡的影響較小,但是在該模式下,Web服務器無法獲取訪問者的真實IP地址。