今天學(xué)習(xí)啦小編要跟大家介紹下WEB應(yīng)用防火墻是什么，下面就是學(xué)習(xí)啦小編為大家整理到的資料，請(qǐng)大家認(rèn)真看看!

　　WEB應(yīng)用防火墻的相關(guān)介紹

　　Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。定義利用國(guó)際上公認(rèn)的一種說法：總體來說，Web應(yīng)用防火墻的具有以下四大個(gè)方面的功能(參考WAF入門，對(duì)內(nèi)容做了一些刪減及改編)。

　　審計(jì)設(shè)備

　　用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會(huì)話。

　　訪問控制設(shè)備

　　用來控制對(duì)Web應(yīng)用的訪問，既包括主動(dòng)安全模式也包括被動(dòng)安全模式。

　　架構(gòu)/網(wǎng)絡(luò)設(shè)計(jì)工具

　　當(dāng)運(yùn)行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。

　　WEB應(yīng)用加固工具

　　這些功能增強(qiáng)被保護(hù)Web應(yīng)用的安全性，它不僅能夠屏蔽WEB應(yīng)用固有弱點(diǎn)，而且能夠保護(hù)WEB應(yīng)用編程錯(cuò)誤導(dǎo)致的安全隱患。

　　需要指出的是，并非每種被稱為Web應(yīng)用防火墻的設(shè)備都同時(shí)具有以上四種功能。

　　同時(shí)WEB應(yīng)用防火墻還具有多面性的特點(diǎn)。比如從網(wǎng)絡(luò)入侵檢測(cè)的角度來看可以把WAF看成運(yùn)行在HTTP層上的IDS設(shè)備;從防火墻角度來看，WAF是一種防火墻的功能模塊;還有人把WAF看作“深度檢測(cè)防火墻”的增強(qiáng)。(深度檢測(cè)防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次，而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它。)

　　功能描述

　　WEB應(yīng)用防火墻是集WEB防護(hù)、網(wǎng)頁(yè)保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的WEB整體安全防護(hù)設(shè)備。它集成全新的安全理念與先進(jìn)的創(chuàng)新架構(gòu)，保障用戶核心應(yīng)用與業(yè)務(wù)持續(xù)穩(wěn)定的運(yùn)行。

　　1、事前主動(dòng)防御，智能分析應(yīng)用缺陷、屏蔽惡意請(qǐng)求、防范網(wǎng)頁(yè)篡改、阻斷應(yīng)用攻擊，全方位保護(hù)WEB應(yīng)用。

　　2、事中智能響應(yīng)，快速P2DR建模、模糊歸納和定位攻擊，阻止風(fēng)險(xiǎn)擴(kuò)散，消除“安全事故”于萌芽之中。

　　3、事后行為審計(jì)，深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價(jià)值，為評(píng)估安全狀況提供詳盡報(bào)表。

　　4、面向客戶的應(yīng)用加速，提升系統(tǒng)性能，改善WEB訪問體驗(yàn)。

　　5、面向過程的應(yīng)用控制，細(xì)化訪問行為，強(qiáng)化應(yīng)用服務(wù)能力。

　　6、面向服務(wù)的負(fù)載均衡，擴(kuò)展服務(wù)能力，適應(yīng)業(yè)務(wù)規(guī)模的快速壯大。[1]

　　特點(diǎn)

　　Web應(yīng)用防火墻的一些常見特點(diǎn)如下。

　　異常檢測(cè)協(xié)議

　　Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項(xiàng)。

　　增強(qiáng)的輸入驗(yàn)證

　　增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁(yè)篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

　　及時(shí)補(bǔ)丁

　　修補(bǔ)Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會(huì)知道下一秒有什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來什么樣的危害?，F(xiàn)在WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對(duì)應(yīng)的補(bǔ)丁本身就是一種安全威脅，但我們?cè)跊]有選擇的情況下，任何保護(hù)措施都比沒有保護(hù)措施更好。

　　(附注：及時(shí)補(bǔ)丁的原理可以更好的適用于基于XML的應(yīng)用中，因?yàn)檫@些應(yīng)用的通信協(xié)議都具規(guī)范性。)

　　基于規(guī)則的保護(hù)和基于異常的保護(hù)

　　基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫(kù)，并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對(duì)用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實(shí)中這是十分困難的一件事情。

　　狀態(tài)管理

　　WAF能夠判斷用戶是否是第一次訪問并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件。通過檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件(比如登陸失敗)，并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。

　　其他防護(hù)技術(shù)

　　WAF還有一些安全增強(qiáng)的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如：隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。

　　防護(hù)理念：

　　安全防護(hù)管控體系：提供區(qū)分攻擊行為類別的多種防御引擎、對(duì)攻擊行為進(jìn)行針對(duì)性的事件處理策略配置、定義具體攻擊行為的匹配規(guī)則定制，對(duì)已知和未知的Web攻擊進(jìn)行全面防護(hù)，將攻擊行為的細(xì)節(jié)直觀、詳盡地展示給用戶，達(dá)到防護(hù)、管控Web應(yīng)用業(yè)務(wù)安全的目的。

　　方便有效網(wǎng)管運(yùn)維：在安全防護(hù)能力給Web應(yīng)用的安全性帶來保障的同時(shí)，也為Web應(yīng)用復(fù)雜的網(wǎng)絡(luò)管理、日常運(yùn)維帶來快捷和便利，能夠?qū)崟r(shí)了解網(wǎng)站可用性狀態(tài)、安全性狀態(tài)、客戶端訪問流量、客戶類型和地域分析、服務(wù)器承載壓力;能夠?qū)W(wǎng)站提供負(fù)載均衡加速、緩存頁(yè)面加速、數(shù)據(jù)壓縮加速，使Web應(yīng)用完全發(fā)揮其最大性能。

　　滿足行業(yè)/國(guó)家標(biāo)準(zhǔn)、通過安全審計(jì)：隨著安全問題的不斷浮現(xiàn)和社會(huì)影響的深化，Web應(yīng)用的安全性越來越受到人們的重視和關(guān)注，由此促進(jìn)了部分行業(yè)的安全標(biāo)準(zhǔn)制定，如PCI-DSS標(biāo)準(zhǔn)要求;國(guó)家公安部、國(guó)務(wù)院下發(fā)的指示。

　　WAF可協(xié)助Web應(yīng)用程序滿足相關(guān)的安全性要求，確保在線業(yè)務(wù)安全、合規(guī)地運(yùn)作，幫助客戶通過安全審計(jì)。

　　常見產(chǎn)品

　　龍盾IIS防火墻

　　“龍盾IIS防火墻”是一款經(jīng)典的網(wǎng)站安全防護(hù)產(chǎn)品， 經(jīng)過十余年的技術(shù)沉淀， “龍盾IIS防火墻”對(duì)于各種流行的網(wǎng)站入侵，均具有顯著的防御效果。 “龍盾IIS防火墻”采用高效、安全的技術(shù)為網(wǎng)站提供了如下保護(hù)：

　　產(chǎn)品功能

　　防木馬上傳

　　“龍盾IIS防火墻” 能及時(shí)準(zhǔn)確的識(shí)別asp、php、aspx以及aspa等類型的木馬和后門文件，從根本上杜絕了黑客利用網(wǎng)站漏洞，上傳木馬和后門程序;

　　支持對(duì)上傳文件內(nèi)容的過濾;

　　支持對(duì)加密、加殼木馬文件的識(shí)別。

　　FTP目錄監(jiān)控

　　“龍盾IIS防火墻” 實(shí)時(shí)監(jiān)控通過FTP上傳到服務(wù)器上的文件，實(shí)時(shí)查殺上傳到WEB服務(wù)器上的木馬和后門程序，實(shí)時(shí)查殺時(shí)間為毫秒。

　　支持對(duì)木馬文件內(nèi)容關(guān)鍵字的設(shè)置;

　　支持對(duì)加密、加殼木馬文件的識(shí)別，即使是被加密的的木馬文件，也可立即清除。

　　防掛馬

　　“龍盾IIS防火墻” 獨(dú)創(chuàng)LRCT專利技術(shù)，從根本上阻止了由于網(wǎng)站或系統(tǒng)漏洞導(dǎo)致的網(wǎng)頁(yè)或數(shù)據(jù)庫(kù)掛馬，有效防御XSS跨站腳本攻擊。

　　支持掛馬攔截，從根本上阻止黑客對(duì)網(wǎng)站和數(shù)據(jù)庫(kù)掛馬;

　　支持掛馬內(nèi)容自動(dòng)清除，即使服務(wù)器已經(jīng)掛馬，“龍盾IIS防火墻”也會(huì)自動(dòng)清除。

　　專業(yè)防SQL注入

　　十年來，“龍盾IIS防火墻” 致力于跟蹤SQL注入技術(shù)的最新動(dòng)態(tài)，防SQL注入策略不斷更新，規(guī)則不斷完善;

　　支持對(duì)GET、POST、COOKIE所有數(shù)據(jù)提交方式的過濾;

　　過濾規(guī)則分離原則：不同方法(GET、POST、COOKIE)提交的數(shù)據(jù)，過濾的規(guī)則相互獨(dú)立，最大限度的加強(qiáng)了對(duì)SQL注入的防御，同時(shí)，也從根本上杜絕了對(duì)正常訪問的誤攔;

　　支持“模式匹配”，“龍盾IIS防火墻”具有人工智能特性，一條防SQL注入規(guī)則，即可以阻止一類的SQL注入。

　　系統(tǒng)帳戶保護(hù)

　　“龍盾IIS防火墻”可阻止黑客創(chuàng)建Windows系統(tǒng)帳戶。

　　可阻止黑客通過各種方式創(chuàng)建Windows系統(tǒng)管理員帳戶。

　　遠(yuǎn)程桌面保護(hù)

　　“龍盾IIS防火墻”可阻止非法IP地址訪問3389 遠(yuǎn)程桌面。

　　可設(shè)置IP地址白名單，只有白名單內(nèi)的IP地址才可以連接服務(wù)器的遠(yuǎn)程桌面，非IP白名單內(nèi)的IP地址連接遠(yuǎn)程桌面時(shí)將被阻止。

　　信息監(jiān)控

　　“龍盾IIS防火墻”實(shí)時(shí)監(jiān)控流入、流出網(wǎng)站的信息，實(shí)時(shí)屏蔽和過濾敏感信息;

　　用戶提交的敏感信息被立即阻止;

　　即使網(wǎng)站上已經(jīng)存在敏感信息，龍盾IIS防火墻也可進(jìn)行過濾，確保訪問者看到的內(nèi)容均合法，從而不必?fù)?dān)心服務(wù)器被查封;

　　支持“模式匹配”。

　　資源防盜鏈

　　“龍盾IIS防火墻”可有效保護(hù)網(wǎng)站資源不被其它網(wǎng)站盜鏈。

　　支持友好域名設(shè)置;

　　支持自由下載文件夾設(shè)置;

　　支持防迅雷下載功能。

　　在線播放防下載

　　對(duì)于只希望在線播放的音頻、視頻網(wǎng)站，“龍盾IIS防火墻”可有效防止網(wǎng)站的音頻或視頻文件被非法下載。

　　支持對(duì)AVI, MPG, RMVB, FLV, MP3, WMA等各類在線音頻和視頻的保護(hù);

　　支持對(duì)嗅探瀏覽器的防御。

　　下載流量控制

　　“龍盾IIS防火墻”可任意設(shè)置文件下載的線程個(gè)數(shù)和下載速度，從而保障您的帶寬不被非法吞噬，有效控制下載流量 ，降低服務(wù)器資源的消耗。

　　適用于各種下載工具，不論是網(wǎng)際快車還是迅雷，均可限制其下載速度和下載線程個(gè)數(shù);

　　不同網(wǎng)站可設(shè)置不同的下載速度和下載線程數(shù)。

　　抗CC攻擊

　　“龍盾IIS防火墻”可有效抵御CC、DDOS軟件的攻擊，有效抵御流量攻擊，防止非法用戶高頻率刷新數(shù)據(jù)庫(kù)。

　　支持“最大并發(fā)連接數(shù)控制”功能;

　　支持對(duì)變種CC的有效防御;

　　支持文件類型的設(shè)置。

　　代理服務(wù)器訪問控制

　　“龍盾IIS防火墻”可阻止代理服務(wù)器的訪問，有效抵御僵尸攻擊，流量攻擊。

　　防PHP UDP攻擊

　　“龍盾IIS防火墻”從根本上清除UDP發(fā)包程序，迅速解決帶寬被占滿的問題。

　　即使加密的UDP發(fā)包木馬程序，也可立即清除;

　　即使服務(wù)器已經(jīng)存在UDP發(fā)包程序，也可阻止其發(fā)送大量UDP包。

　　IP地址黑名單

　　一方面, “龍盾IIS防火墻”的智能分析系統(tǒng)，會(huì)將參與惡意攻擊的IP地址自動(dòng)加入黑名單, 另一方面, 用戶也可以手工任意阻止非法IP地址的訪問。

　　支持IP地址段設(shè)置;

　　支持自定義黑名單IP地址解封時(shí)間。

　　IP地址白名單

　　“龍盾IIS防火墻”可指定不受防火墻限制的客戶端IP地址。

　　支持IP地址段設(shè)置;

　　滿足使用“網(wǎng)絡(luò)加速器”用戶的需要;

　　保證不會(huì)對(duì)“搜索引擎蜘蛛”的爬行記錄造成影響。

　　廣告植入

　　您可以通過“龍盾IIS防火墻”向頁(yè)面內(nèi)植入廣告信息。

　　支持廣告與域名分離，不同的網(wǎng)站和域名可以設(shè)置不同的廣告內(nèi)容。

　　抗緩沖區(qū)溢出攻擊

　　“龍盾IIS防火墻”允許您自定義HTTP頭、URL地址 、COOKIE以及查詢串長(zhǎng)度， 防止緩沖區(qū)溢出攻擊。

　　支持對(duì)WebDAV，RPC服務(wù)遠(yuǎn)程溢出漏洞的防御;

　　支持對(duì)IDQ溢出漏洞的防御。

　　禁止運(yùn)行惡意腳本

　　禁止ASP、PHP、JSP木馬程序服務(wù)器上運(yùn)行。

　　URL訪問權(quán)限控制

　　“龍盾IIS防火墻”可根據(jù)不同訪問者的IP地址，設(shè)置不同的URL訪問權(quán)限。

　　自由域名

　　可設(shè)置不受防火墻保護(hù)的域名，自由域名列表內(nèi)的站點(diǎn)完全不受防火墻的保護(hù)，滿足特殊情況下的需要。

　　WEB應(yīng)用防火墻相關(guān)文章：

　　1.實(shí)例講解如何建立安全防火墻

　　2.用組策略部署Windows防火墻

　　3.防火墻知識(shí)