在現在, 部署不只一層的防火墻, 入侵檢測系統 (IDS) 和入侵防御系統 (IPS) , 針對于現在的Web網(wǎng)頁(yè), 已經(jīng)不完全適用了, 因為現在的Web網(wǎng)頁(yè)已經(jīng)不只是傳統的網(wǎng)頁(yè), 還有很多是Web應用, 因此傳統的防火墻對于這種新型的網(wǎng)頁(yè)來(lái)說(shuō), 作用還是很有限。之前的很多防火墻都是在網(wǎng)絡(luò )層工作, 通過(guò)過(guò)濾網(wǎng)絡(luò )層的數據來(lái)實(shí)現對訪(fǎng)問(wèn)進(jìn)行控制;還會(huì )用狀態(tài)防火墻來(lái)防止網(wǎng)絡(luò )被不明來(lái)源的網(wǎng)絡(luò )非法接入。這些處理都是在網(wǎng)絡(luò )的層面上來(lái)完成的, 而有些特別的網(wǎng)頁(yè), 例如Web應用的網(wǎng)頁(yè)的可能會(huì )被受到攻擊的特征在這種層面上是沒(méi)辦法被檢查出來(lái)的。IDS和IPS都是通過(guò)使用深包檢測技術(shù)來(lái)檢查應用層中的流量, 來(lái)和特征庫進(jìn)行相應的匹配, 通過(guò)這種方式來(lái)識別出網(wǎng)絡(luò )攻擊來(lái)達到對攻擊的防護。但是對于未知的攻擊, 這種方法并不能很好地達到防護的效果。而適用于包括網(wǎng)頁(yè)應用在內的Web應用防火墻的出現就很好地解決了這個(gè)難題, 這種防火墻是通過(guò)執行內部的請求來(lái)對應用層進(jìn)行處理, 這樣就能夠對所有相關(guān)的資源和信息進(jìn)行防護, 來(lái)防止來(lái)自網(wǎng)絡(luò )上的攻擊。
(1) Web應用防火墻的特點(diǎn)
在正常的情況下, 一個(gè)網(wǎng)頁(yè)在開(kāi)發(fā)的時(shí)候就應該對安全問(wèn)題多加注意, 在開(kāi)始階段就開(kāi)始著(zhù)眼于安全策略的討論。但是多數網(wǎng)站由于不同原因, 都會(huì )普遍存在不同程度上的安全問(wèn)題。對于這些已經(jīng)上線(xiàn)了的網(wǎng)站而言, 既沒(méi)有通用的補丁可以使用, 仔細修改其中的代碼又太過(guò)耗費人力物力, 這樣就不能很好地解決一個(gè)網(wǎng)站的安全問(wèn)題。
在這種情況下, 比較好的選擇就是選用一個(gè)專(zhuān)業(yè)的、適用于自己網(wǎng)站的Web安全防護工具。對于傳統的安全設備來(lái)說(shuō), 并不能適用于現在很多新型的網(wǎng)頁(yè), 如Web應用網(wǎng)頁(yè), 因此就要采用專(zhuān)用的機制來(lái)進(jìn)行防護, 就是Web應用防火墻。
Web應用防火墻有四個(gè)最顯著(zhù)的特點(diǎn), 分別是對HTTP理解非常深刻、能夠提供應用層規則、能夠提供正向的安全模型和能夠提供會(huì )話(huà)的防護機制, 這幾個(gè)不同于傳統防火墻的特點(diǎn)都可以更好地幫助網(wǎng)站防護來(lái)自黑客的攻擊。
(2) Web應用防火墻的網(wǎng)絡(luò )架構
Web應用防火墻采用的模式就是雙臂代理模式, 這也是可以采用的最佳模式。這個(gè)模式可以提供最好的安全性能和最高的安全系數。在這個(gè)模式中, 將會(huì )開(kāi)啟所有有關(guān)的數據接口, 端口1面向互聯(lián)網(wǎng), 端口2則面向內部設備。這樣就可以將管理所用的流量和實(shí)際所用的流量很好地分離開(kāi)來(lái), 避免沖突,
(3) 網(wǎng)絡(luò )實(shí)現過(guò)程
因為在這個(gè)模式中, 前端的端口和后端的端口分別在不同的IP上, 因此客戶(hù)在訪(fǎng)問(wèn)網(wǎng)站之前將會(huì )和網(wǎng)站的虛擬IP進(jìn)行對接, 這個(gè)IP就會(huì )和前端的端口綁定起來(lái)。
在綁定之后, 連接將會(huì )終止, 這時(shí)候就開(kāi)始檢查安全的問(wèn)題和過(guò)濾任何有危險的信息。
在此之后就會(huì )把新的連接建立, 連接到負載均衡的設備上, 這樣設備就再開(kāi)始負載流量。
最后雙臂代理模式就可以把所有的安全功能都開(kāi)啟。