WAF與防火牆:Web 應用程式和網絡防火牆
在複雜的網絡攻擊和數字創新的現代時代,企業了解他們面臨的威脅以及他們的安全防禦措施可以保護他們免受哪些威脅至關重要。防火牆尤其如此,因為Web應用程式防火牆和網絡防火牆可以保護組織免受不同類型的攻擊。是以了解WAF安全和網絡防火牆安全之間的重要性和差別至關重要,這有助于防止 Web攻擊和更廣泛的網絡攻擊。
傳統上,企業通過網絡防火牆保護其資料和使用者,但網絡防火牆缺乏抵禦現代安全威脅的靈活性和透明度。 但自帶裝置 (BYOD)、公共雲和軟體即服務 (SaaS) 解決方案的增長意味着他們需要在其安全政策中添加 Web應用程式防火牆 (WAF)。這增強了對 Web 應用程式攻擊的防護,這些應用程式存儲在遠端伺服器上,通過浏覽器界面通過網際網路傳輸,并且是黑客的有吸引力的目标。
了解應用程式級防火牆和網絡級防火牆之間的差別
WAF通過定位超文本傳輸協定 (HTTP) 流量來保護Web應用程式。這與标準防火牆不同,标準防火牆在外部和内部網絡流量之間提供屏障。
WAF位于外部使用者和Web應用程式之間,用于分析所有HTTP通信。然後,它會在惡意請求到達使用者或 Web應用程式之前檢測并阻止它們。是以,WAF可以保護關鍵業務Web應用程式和Web伺服器免受零日威脅和其他應用程式層攻擊。随着企業擴充到新的數字計劃,這一點變得越來越重要,這可能會使新的 Web應用程式和應用程式程式設計接口 (API) 容易受到攻擊。
網絡防火牆可保護安全的區域網路免受未經授權的通路,進而防止攻擊的風險。其主要目标是将安全區域與不太安全的區域分開并控制兩者之間的通信。如果沒有它,任何具有公共網際網路協定 (IP) 位址的計算機都可以在網絡外部通路,并可能面臨受到攻擊的風險。
WAF安全
WAF通過定位超文本傳輸協定 (HTTP) 流量來保護Web應用程式。這與标準防火牆不同,标準防火牆在外部和内部網絡流量之間提供屏障。
WAF位于外部使用者和Web應用程式之間,用于分析所有HTTP通信。然後,它會在惡意請求到達使用者或 Web應用程式之前檢測并阻止它們。是以,WAF可以保護關鍵業務Web應用程式和Web伺服器免受零日威脅和其他應用程式層攻擊。随着企業擴充到新的數字計劃,這一點變得越來越重要,這可能會使新的 Web應用程式和應用程式程式設計接口 (API) 容易受到攻擊。
網絡防火牆安全
網絡防火牆可保護安全的區域網路免受未經授權的通路,進而防止攻擊的風險。其主要目标是将安全區域與不太安全的區域分開并控制兩者之間的通信。如果沒有它,任何具有公共網際網路協定 (IP) 位址的計算機都可以在網絡外部通路,并可能面臨受到攻擊的風險。
應用程式流量與網絡流量
傳統網絡防火牆可以減輕或防止對專用網絡的未經授權的通路。防火牆政策定義允許進入網絡的流量,并阻止任何其他通路嘗試。這有助于防止未經授權的使用者以及來自不太安全區域的使用者或裝置的攻擊的網絡流量示例。
WAF專門針對應用程式流量。它保護網絡中面向Internet的區域中的HTTP和安全超文本傳輸協定 (HTTPS) 流量和應用程式。這可以保護企業免受跨站點腳本(XSS)攻擊、分布式拒絕服務 (DDoS) 攻擊和SQL注入攻擊等威脅。
第7層保護與第3層和第4層保護
應用級防火牆和網絡級防火牆之間的關鍵技術差別在于它們運作的安全層。這些是由開放系統互連(OSI)模型定義的,該模型描述了電信和計算系統内的通信功能并對其進行了标準化。
WAF保護OSI模型第7層(即應用程式級别)的攻擊。這包括針對Ajax、ActiveX和JavaScript等應用程式的攻擊,以及cookie操作、SQL注入和URL攻擊。它們還針對Web應用程式協定HTTP和HTTPS,這些協定用于連接配接Web浏覽器和Web伺服器。
例如,第7層DDoS攻擊會向伺服器層發送大量流量,在伺服器層中生成并傳遞網頁以響應HTTP請求。 WAF通過充當反向代理來緩解這種情況,保護目标伺服器免受惡意流量的影響并過濾請求以識别DDoS工具的使用。
網絡防火牆在OSI模型第3層和第4層運作,保護資料傳輸和網絡流量。這包括針對域名系統 (DNS) 和檔案傳輸協定 (FTP) 以及簡單郵件傳輸協定 (SMTP)、安全外殼 (SSH) 和Telnet的攻擊。
Web攻擊與未經授權的通路
WAF解決方案可保護企業免受針對應用程式的基于Web的攻擊。如果沒有應用程式防火牆,黑客就可以通過Web應用程式漏洞滲透到更廣泛的網絡。
WAF安全解決方案可保護企業免受常見Web攻擊,例如:
直接拒絕服務:試圖通過用大量網際網路流量淹沒網絡、服務或伺服器來破壞網絡、服務或伺服器。它的目的是耗盡目标的資源,并且可能難以防禦,因為流量并不總是明顯惡意的。
SQL注入:一種注入攻擊,使黑客能夠執行惡意SQL語句,進而控制Web應用程式背後的資料庫伺服器。 這使得攻擊者能夠繞過網頁認證和授權并檢索SQL資料庫的内容,然後添加、修改和删除其記錄。網絡犯罪分子可以使用 SQL 注入來通路客戶資訊、個人資料和知識産權。它被列為2017年OWASP Top 10 中對Web應用程式安全的第一大威脅。
跨站點腳本:一種網絡安全漏洞,使攻擊者能夠破壞使用者與應用程式的互動。它使攻擊者能夠規避隔離不同網站的同源政策。是以,攻擊者可以僞裝成真正的使用者并通路他們有權通路的資料和資源。
網絡防火牆可防止未經授權的通路以及進出網絡的流量。
它們可以防止針對連接配接到網際網路的裝置和系統的網絡範圍内的攻擊。經常使用的網絡攻擊的示例包括:
未經授權的通路:攻擊者未經許可通路網絡。這通常是通過憑證盜竊和由于人們使用弱密碼、社會工程和内部威脅而導緻帳戶被盜來實作的。
中間人 (MITM) 攻擊:攻擊者攔截網絡與外部站點之間或網絡本身内部的流量。這通常是由于不安全的通信協定導緻攻擊者竊取傳輸中的資料,然後擷取使用者憑據并劫持使用者帳戶。
權限更新:攻擊者獲得網絡通路權限,然後使用權限更新将其影響範圍擴大到系統的更深處。他們可以水準地這樣做,進而獲得對相鄰系統的通路權限,或者通過在同一系統内獲得更高的權限來垂直地這樣做。
選擇應用程式或網絡防火牆
标準網絡防火牆和WAF可防禦不同類型的威脅,是以選擇正确的防火牆至關重要。僅靠網絡防火牆無法保護企業免受網頁攻擊,隻能通過 WAF 功能來預防。是以如果沒有應用程式防火牆,企業可能會使其更廣泛的網絡容易受到 Web 應用程式漏洞的攻擊。然而WAF無法防禦網絡層的攻擊,是以它應該是網絡防火牆的補充而不是替代。
基于Web的解決方案和網絡解決方案都在不同的層上工作,并針對不同類型的流量提供保護。是以它們不是競争,而是互補。網絡防火牆通常保護更廣泛的流量類型,而WAF則處理傳統方法無法覆寫的特定威脅。是以,建議同時使用這兩種解決方案,特别是當企業的作業系統與網絡密切配合時。
面臨的挑戰不是選擇其中之一,而是選擇最适合業務需求的正确WAF安全系統。WAF 應具有硬體加速器、監控流量并阻止惡意嘗試、具有高可用性,并且可擴充以随着業務的增長保持性能。
下一代防火牆與WAF和網絡防火牆
購買單獨的防火牆産品來保護每一層安全既昂貴又麻煩。這促使企業采用下一代防火牆 (NGFW) 等綜合解決方案。NGFW通常将網絡防火牆和WAF的功能結合到一個集中管理的系統中。它們還為安全政策提供了額外的背景,這對于保護企業免受現代安全威脅至關重要。
NGFW是基于上下文的系統,它使用身份、時間和位置等資訊來确認使用者的身份。這種額外的洞察力使企業能夠就使用者通路做出更明智、更明智的決策。它們還包括防病毒、反惡意軟體、入侵防禦系統和 URL 過濾等功能。這可以根據企業面臨的日益複雜的威脅簡化并提高安全政策的有效性。
對數字安全有一個全面的了解通常更容易且更具成本效益。然而,確定NGFW涵蓋網絡和Web應用程式保護的所有基礎至關重要。WAF在保護Web應用程式免遭代碼注入、cookie 簽名、自定義錯誤頁面、請求僞造和URL加密方面發揮着特定作用。是以可能有必要将NGFW與專用Web應用程式防火牆結合使用。