WAF防护功能的实现方案
由于web应用的特殊性,针对web应用的攻击变形技术很多,单纯的基于特征签名的防御措施很容易被突破。这也是现有的安全措施并不能保护好web应用的主要原因。通过固定应对措施或单独使用编码技术进行防护的措施都具有一定的限制性,而防火墙能够同时兼顾两个方面的需求,在设计中通过预处理模块与检测模块的互为合作可以同时实现上述两个方面的需求。
1、 预处理模块,该模块的主要功能在于编码解码标准的实现和融入,基于SSL协议层实现。SSL协议是安全阶层协议,其主要功能为认证、加密、完整性验证三个方面。在编码标准化方面,由于web应用的特殊性,支持各种编码,攻击者可以通过各种编码和变换字符集来突破现有的防御措施。
2、 检测功能模块,检测模块在web应用防火墙中承担了安全功能需求导向部分的实现,功能涵盖了过滤器和权限控制两个方面:首先是过滤器,过滤器注重解决的就是web应用中最为严重的用户输入恶意信息的问题,其次是访问控制,web应用站点正常会包含一些不在正常网站数据目录树内的URL链接。WAF可以通过访问控制策略提供细粒度的访问控制列表,阻止这些链接的非授权访问。
WAF不是一个最终的安全解决方案,而是它们要与其他网络周边安全解决方案(如网络防火墙和入侵防御系统)一起使用,以提供全面的防御策略。
当然随着网络安全设备的不断更新迭代,单独的WAF防火墙以及传统防火墙由于功能单一,且不能适应当下的网络环境推出历史舞台。新型的第二代防火墙由于处理速度,且基于应用层的防护,和更加完善的功能等特点逐渐替代了WAF防火墙和传统防火墙。
