Web 应用程序防火墙 (WAF) 相关知识介绍

news2024/11/25 6:54:51

Web应用程序防火墙 (WAF) 如何工作?

Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF通过过滤、监控和阻止任何流向 Web应用程序的恶意HTTP/S流量来保护您的 Web 应用程序,并防止任何未经授权的数据离开应用程序。它通过遵守一组有助于确定哪些流量是恶意流量以及哪些流量是安全流量的策略来实现这一点,正如代理服务器充当保护客户端身份的中介一样,WAF以类似的方式运行,但相反(称为反向代理)充当保护Web应用程序服务器免受潜在恶意客户端攻击的中介。

WAF可以以软件、设备或作为服务交付的形式出现。可以自定义策略以满足您的 Web应用程序或一组Web应用程序的独特需求。尽管许多WAF要求您定期更新策略以解决新漏洞,但机器学习的进步使某些WAF能够自动更新。随着威胁形势的复杂性和模糊性不断增加,这种自动化变得越来越重要。

WAF、IPS和NGFW的区别

WAF是Web应用防火墙,IPS是入侵防御系统,NGFW是下一代防火墙。

它们之间有什么区别?

Web应用防火墙(WAF)保护应用层,专门用于在应用层分析每个HTTP/S请求。它通常是用户、会话和应用程序感知的,了解其背后的网络应用程序以及它们提供的服务。因此,您可以将WAF视为用户和应用程序本身之间的中介,在所有通信到达应用程序或用户之前对其进行分析。传统的WAF确保只能执行允许的操作(基于安全策略)。对于许多公司或组织而言,WAF是应用程序值得信赖的第一道防线,尤其是为了防止最常见的应用程序漏洞的基本列表。

目前几种主流的应用程序漏洞列表如下:

注入攻击

认证失败

敏感数据泄露

XML外部实体(XXE)

损坏的访问控制

安全配置错误

跨站脚本(XSS)

不安全的反序列化

……

IPS 是一种范围更广的安全产品。它通常是基于签名和策略的——这意味着它可以根据签名数据库和既定策略检查众所周知的漏洞和攻击向量。IPS建立基于数据库和策略的标准,然后在任何流量偏离标准时发送警报。随着新漏洞的出现,签名和策略会随着时间的推移而增长。通常IPS保护跨多种协议类型(如DNS、SMTP、TELNET、RDP、SSH和FTP)的流量。IPS通常运行和保护第3层和第4层。网络层和会话层,尽管有些可能在应用层(第 7层)提供有限的保护。

下一代防火墙 (NGFW) 监控流向 Internet 的流量——跨网站、电子邮件帐户和 SaaS。 简而言之,它是在保护用户(相对于Web应用程序)。NGFW将执行基于用户的策略,并在安全策略中添加上下文,此外还会添加URL过滤、防病毒/反恶意软件等功能,并可能添加自己的入侵防御系统 (IPS)。WAF 通常是反向代理(由服务器使用),而NGFW通常是正向代理(由浏览器等客户端使用)。

部署WAF的不同方式

WAF可以通过多种方式部署——这取决于您的应用程序的部署位置、所需的服务、您希望如何管理它以及您需要的架构灵活性和性能级别。你想自己管理它,还是想外包管理?拥有基于云的选项是更好的模型还是您希望您的WAF位于本地?您希望如何部署将有助于确定哪种 WAF 适合您。

火伞云提供多种部署模式供您选择:

01基于云模式+完全托管即服务——如果您需要以最快、最轻松的方式在您的应用程序前获取 WAF(尤其是当您的内部安全/IT资源有限时),这是较好的选项。

02基于云模式+自我管理——获得云的所有灵活性和安全策略可移植性,同时仍保留对流量管理和安全策略设置的控制。

03基于云模式+自动配置——这是在云模式开始使用WAF的最简单方法,以简单、经济高效的方式部署安全策略

04本地高级WAF(虚拟或硬件设备)——这可以满足最苛刻的部署要求,其中灵活性、性能和更高级的安全问题是任务关键策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/587924.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Zero to One系列】在WSL linux系统上,使用docker运行Mysql与Nacos,以及如何启动与停止WSL

前期回顾: 【Zero to One系列】window系统安装Linux、docker 1、下载docker-compose 1.下载: curl -SL https://github.com/docker/compose/releases/download/v2.17.2/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose 2.授予权限&a…

大数据治理入门系列:元数据管理

在介绍数据治理一文中,我们曾用在图书馆找书的例子解释为什么需要进行数据治理。数据治理在某种程度上类似于图书管理。元数据管理作为数据治理的重要一环,也可以进行这种类比。 在图书管理过程中,需要根据相应的制度购买、记录、存放、借还…

【LeetCode: 486. 预测赢家 | 暴力递归=>记忆化搜索=>动态规划 】

🚀 算法题 🚀 🌲 算法刷题专栏 | 面试必备算法 | 面试高频算法 🍀 🌲 越难的东西,越要努力坚持,因为它具有很高的价值,算法就是这样✨ 🌲 作者简介:硕风和炜,…

【T+】畅捷通T+设置收入成本配比结转

【问题需求】 收入成本配比原则是指: 取得的销售收入应与为取得该收入所发生的成本相匹配, 即先出库后销货时需要等收到销售发票才能确认成本, 先销货后出库时要先确认虚拟成本。 【解决方案】 重点:业务流程选择【单据立账】的情…

ArcGis系列-java发布空间表为地图服务(map)

1,实现思路 使用java调用cmd命令执行python脚本python环境使用arcgis pro安装目录下的 \ArcGIS\Pro\bin\Python\envs\arcgispro-py3作为地图服务应该可以支持添加样式文件发布表需要用到sde文件,使用java创建sde的代码可以看这里发布表时,先在本地的空项目模板中添加数据库表作…

vue模拟el-table演示插槽用法

vue模拟el-table演示插槽用法 转载自:www.javaman.cn 很多人知道插槽分为三种,但是实际到elementui当中为什么这么用,就一脸懵逼,接下来就跟大家聊一聊插槽在elementui中的应用,并且自己写一个类似el-table的组件 vue…

回归问题里的数学

假设一个简单的案例 投入的广告费越多,广告的点击量就越高,进而带来访问数的增加,不过点击量经常变化,投入同样的广告费未必能带来同样的点击量。根据广告费和实际点击量的对应关系数据,可以将两个变量用下面的图展示…

CASA模型:生态系统NPP及碳源、碳汇模拟、土地利用变化、未来气候变化、空间动态模拟

查看原文>>>生态系统NPP及碳源、碳汇模拟、土地利用变化、未来气候变化、空间动态模拟实践技术应用 目录 第一章 CASA模型介绍(讲解案例实践) 第二章 CASA初步操作 第三章 CASA数据制备(一) 第四章 CASA数据制备&am…

4_回归算法(算法原理推导+实践)

文章目录 1 线性回归1.1 定义1.2 题目分析1.3 误差项分析1.4 目标函数推导1.5 线性回归求解1.6 最小二乘法的参数最优解 2 目标函数(loss/cost function)3 模型效果判断4 机器学习调参5 梯度下降算法5.1 梯度方向5.2 批量梯度下降算法(BGD&am…

Spring IOC容器及DI相关概念

文章目录 一、组件、框架、容器的相关概念1.组件2.框架3.容器4.总结 二、IOC与DI简介1.IOC入门案例2.DI入门案例 一、组件、框架、容器的相关概念 1.组件 组件是为了代码的重用而对代码进行隔离封装,组件的呈现方式是单个或多个.class文件,或者打包的.…

Flutter的手势识别功能实现GestureDetector

GestureDetector简介 GestureDetector 是 Flutter 中一个非常常用的小部件,它提供了许多手势识别的功能,包括点击、双击、长按、拖动、缩放等等。 使用方法 GestureDetector 可以包裹其他部件,当用户在这些部件上进行手势操作时&#xff0…

基于SSM的网辩平台的设计与实现

摘 要 线上作为当前信息的重要传播形式之一,线上辩论系统具有显著的方便性,是人类快捷了解辩论信息、资讯等相关途径。但在新时期特殊背景下,随着网辩的进一步优化,辩论赛结合网络平台融合创新强度也随之增强。本文就网辩平台进…

尧泰汉海五城联动,“益”起圆梦!用爱守护成长,助力502名孩子实现心愿

公益的力量让孩子们的梦想被看见。 文具套装、书包、篮球 、益智积木、生日蛋糕......一个个看似小小的心愿,对于城市里的孩子来说是平常不过的礼物,但却成了许多正处于困境孩子的期待。 本次活动由重庆市慈善总会指导,Home尧泰汉海慈善专项…

【项目】ROS下使用乐视深度相机LeTMC-520

本文主要记录如何在ros下使用乐视深度相机。乐视三合一体感摄像头LeTMC-520其实就是奥比中光摄像头(Orbbec Astra Pro) 系统:Ubuntu20.04 这款相机使用uvc输入彩色信息,需要使用libuvc、libuvc_ros才能在ROS上正常使用彩色功能。…

k8s实战2-用minikube发布本地应用

官网的教程中,hello-minikube其镜像都在网上(dockerhub)上,如何把本地打包的docker镜像发布到minikube中 1 终端上运行eval $(minikube docker-env) 此命令的作用是使用Minikube Docker守护进程,跟原来docker desktop的docker进程区别开来 …

FPGA深层解析

概览 高端设计工具为少有甚是没有硬件设计技术的工程师和科学家提供现场可 编程门阵列(FPGA)。无论你使用图形化设计程序,ANSI C语言还是VHDL语言, 如此复杂的合成工艺会不禁让人去想FPGA真实的运作情况。在这个芯片中的程 序在这些可设置硅片间到底是如何工作的。本书会使…

腾讯云2核4G5M服务器性能如何?来说说CPU内存带宽系统盘

腾讯云轻量应用服务器2核4G5M配置一年168元,三年628元,100%CPU性能,5M带宽下载速度640KB/秒,60GB SSD系统盘,月流量500GB,折合每天16.6GB流量,超出月流量包的流量按照0.8元每GB的支付流量费&…

SKY13330-397LF国产替代ATR5330 SUB-1G SPDT开关芯片

1.1 芯片简介 ATR5330是一款采用CMOS SOI工艺制作的单刀双掷开关单芯片,该芯片的推荐工作频率20MHz-4GHz, 开关芯片采用单电源供电控制,有非常低的电流功耗。开关开启工作时有非常低的插入损耗以及非常高的线性度。 1.2主要特征 频率范围: 0.…

项目管理:如何利用工具做好工作汇报?

我们公司曾经经历了一次惨痛的教训。我们为一家重要的大客户提供咨询服务,但在项目结束时,我们的项目负责人在电梯间遇见了客户的总经理,被问及项目结果时,却无法在短时间内清晰地表达出来。这一失误导致我们失去了这位重要客户。…

什么是跳表

什么是跳表 跳表全称为跳跃列表,它允许快速查询,插入和删除一个有序连续元素的数据链表。跳跃列表的平均查找和插入时间复杂度都是O(logn)。快速查询是通过维护一个多层次的链表,且每一层链表中的元素是前一层链表元素的子集(见右…