梭子鱼WEB应用防火墙 给力“云”安全

网页防篡改的不足

1.以“事后恢复”为基本原理,对于攻击行为并不进行分析，也不阻止攻击的发生。

2.许多类型的攻击并不篡改网页，如DDoS攻击、CC攻击、溢出攻击、cookie

  窃取、密码拦截、数据窃取等，网站防篡改设备无能为力。

3.很多攻击有可能产生篡改行为，但多数情况并不会篡改网页，如SQL注入、 目录穿越等；即使是“事后恢复”，网页防篡改产品也存在工作原理漏洞、 服务负载增加、检测机制绕开、连续篡改等安全问题。

Web应用防火墙是专门为保护基于Web的应用程序而设计的，从广义上来说，Web应用防火墙就是一些增强Web应用安全性的工具。Web服务器理应通过80端口传送数据包。所以所有发给支撑Web服务器系统80端口的数据包必须被允许通过防火墙。传统的防火墙没有办法测定一个地址指向正确的数据包是否包含威胁，但Web应用防火墙可以仔细检查数据包的内容来检测并阻止威胁。

下面我们就用一款现在业内比较普遍的Barracuda应用防火墙来举例，来看看应用防火墙是如何保护网站防止被恶意注入和篡改的了。

网络架构和部署：代理模式（也支持桥模式）

代理模式是Web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式，能够提供最佳的安全性能。

在此模式中，所有的数据端口都将被开启;端口WAN是对外的，直接面向因特网的端口。管理端口可以被分配到另一个网段，我们推荐将管理数据和实际的流量分离，避免因为实际流量和管理数据的冲突。

以下为示例拓扑图：

 
网络实现：

1、前端端口和后端端口位于不同的网段，所有外部客户将会和应用虚拟IP地址进行连接，此虚拟ip将会和前端端口(eth1)进行绑定

2、客户的连接将会在设备上终止，进行安全检查和过滤

3、合法的流量将会WAN口建立新的连接到负载均衡设备

4、负载均衡进行流量的负载

5、代理模式可以开启所有的安全功能

工作特点：基于应用层的检测，同时又拥有基于状态的网络防火墙的优势

对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化，杜绝各种利用协议漏洞的攻击和权限提升

预期数据的完整知识(Complete Knowledge of expected values)，防止各种形式的SQL/命令注入，跨站式脚本攻击

实时策略生成及执行，根据您的应用程序定义相应的保护策略，而不是千篇一律的厂家预定义防攻击策略，无缝的砌合您的应用程序，不会造成任何应用失真。

梭子鱼策略WAF配置建议：

1.配置服务：配置VIP地址和真实服务器地址。

2.配置安全策略：开启主动防护模式。

3.开启URL防护策略：例如阻断SQL注入，跨站攻击等。

4.系统告警：一旦网站被攻击，梭子鱼马上能通过邮件进行告警。

梭子鱼以其功能强大，操作简便，性价比高等优势继成为全球邮件安全和负载均衡市场领导者后，梭子鱼WEB应用防火墙通过在技术上的不断突破，占据市场的主体地位。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友