web應用防火牆需要了解http協定、分析使用者請求資料,實作往返流量的監測和控制,對于一些常見的攻擊比如SQL注入、應用平台漏洞攻擊、ddos攻擊等攻擊行為都有良好的防護效果。 現在針對web安全所采用的防禦措施仍然不是很理想,由于web安全的特蘇醒,各種字元集和編碼方案很多,攻擊者很容易繞過安全措施。
Web應用安全威脅的類型和應對方案 目前的一些主流攻擊方式,有注入式攻擊、跨站腳本攻擊、CSRF攻擊以及ddos攻擊,這類攻擊都已經形成了比較成熟的防禦措施。 注入漏洞涉及的内容非常廣泛,涵蓋了各種語言環境以及衆多不同的攻擊類型,在實際防護中一般通過驗證方式的改良和修複得以實作。跨站攻擊的方式是以伺服器端應用為主要目标,目前最常見的解決方法還是通過對js函數過濾進行防護。應用層ddos攻擊是國内非常常見也是最難以防範的攻擊手段,其根本原理是通過大批量的發送請求來非法占用服務資源,目前隻能通過跨代理查詢屏蔽ip的方式進行阻止。 Web應用防火牆構架建議 由于web應用的特殊性,針對web應用的攻擊變形技術很多,單純的基于特征簽名的防禦措施很容易被突破。這也是現有的安全措施并不能保護好web應用的主要原因。通過固定應對措施或單獨使用編碼技術進行防護的措施都具有一 定的限制性,而防火牆能夠同時兼顧兩個方面的需求,在設計中通過預處理
子產品與檢測子產品的互為合作可以同時實作上述兩個方面的需求。 Web應用防火牆防護功能的實作方案 1、 預處理子產品,該子產品的主要功能在于編碼解碼标準的實作和融入,基于SSL協定層實作。SSL協定是安全階層協定,其主要功能為認證、加密、完整性驗證三個方面。在編碼标準化方面,由于web應用的特殊性,支援各種編碼,攻擊者可以通過各種編碼和變換字元集來突破現有的防禦措施。 2、 檢測功能子產品,檢測子產品在web應用防火牆中承擔了安全功能需求導向部分的實作,功能涵蓋了過濾器和權限控制兩個方面:首先是過濾器,過濾器注重解決的就是web應用中最為嚴重的使用者輸入惡意資訊的問題,其次是通路控制,web應用站點正常會包含一些不在正常網站資料目錄樹内的URL連結。WAF可以通過通路控制政策提供細粒度的通路控制清單,阻止這些連結的非授權通路。
版權聲明:本文為CSDN部落客「weixin_34241036」的原創文章,遵循CC 4.0 BY-SA版權協定,轉載請附上原文出處連結及本聲明。
原文連結:https://blog.csdn.net/weixin_34241036/article/details/92409739
![TestLink導出用例轉換工具(XML2Excel)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)