關於web應用防火牆的應用分析

web應用防火牆須要理解http協議、分析用戶請求數據，實現往返流量的監測和控制，對於一些常見的攻擊好比SQL注入、應用平臺漏洞攻擊、ddos攻擊等攻擊行爲都有良好的防禦效果。 如今針對web安全所採用的防護措施仍然不是很理想，因爲web安全的特甦醒，各類字符集和編碼方案不少，攻擊者很容易繞過安全措施。

Web應用安全威脅的類型和應對方案 目前的一些主流攻擊方式，有注入式攻擊、跨站腳本攻擊、CSRF攻擊以及ddos攻擊，這類攻擊都已經造成了比較成熟的防護措施。 注入漏洞涉及的內容很是普遍，涵蓋了各類語言環境以及衆多不一樣的攻擊類型，在實際防禦中通常經過驗證方式的改良和修復得以實現。跨站攻擊的方式是以服務器端應用爲主要目標，目前最多見的解決方法仍是經過對js函數過濾進行防禦。應用層ddos攻擊是國內很是常見也是最難以防範的攻擊手段，其根本原理是經過大批量的發送請求來非法佔用服務資源，目前只能經過跨代理查詢屏蔽ip的方式進行阻止。 Web應用防火牆構架建議 因爲web應用的特殊性，針對web應用的攻擊變形技術不少，單純的基於特徵簽名的防護措施很容易被突破。這也是現有的安全措施並不能保護好web應用的主要緣由。經過固定應對措施或單獨使用編碼技術進行防禦的措施都具備一 定的限制性，而防火牆可以同時兼顧兩個方面的需求，在設計中經過預處理

模塊與檢測模塊的互爲合做能夠同時實現上述兩個方面的需求。 Web應用防火牆防禦功能的實現方案 一、 預處理模塊，該模塊的主要功能在於編碼解碼標準的實現和融入，基於SSL協議層實現。SSL協議是安全階層協議，其主要功能爲認證、加密、完整性驗證三個方面。在編碼標準化方面，因爲web應用的特殊性，支持各類編碼，攻擊者能夠經過各類編碼和變換字符集來突破現有的防護措施。 二、 檢測功能模塊，檢測模塊在web應用防火牆中承擔了安全功能需求導向部分的實現，功能涵蓋了過濾器和權限控制兩個方面：首先是過濾器，過濾器注重解決的就是web應用中最爲嚴重的用戶輸入惡意信息的問題，其次是訪問控制，web應用站點正常會包含一些不在正常網站數據目錄樹內的URL連接。WAF能夠經過訪問控制策略提供細粒度的訪問控制列表，阻止這些連接的非受權訪問。