网络安全产品之防火墙(FireWall)
防火墙是最早采用互联网安全防护产品。但是在应用过程中逐渐发现基于网络端口防护和包过滤防护技术的防火墙产品无法有效的对应用安全进行拦截(在Web应用方面由其突出)。但防火墙产品目前依然未退出安全市场,反而因为其强大的数据转发能力、防攻击能力和灵活的安全策略设置功能被越来越多的运用在企业内网隔离、安全区域划分和网络地址转换(NAT)之中。
网络安全产品之入侵检测/防御(IDS/IPS)
出于对防泛黑客攻击及安全漏洞拦截的需求,又开发出了入侵检测/防御产品(IDS/IPS)但早期IDS/IPS产品需要过多人为对检测问题进行分析,并具有很高的误判率,难以操控。同时IDS/IPS产品在防范网络病毒、Web应用安全认证等问题上依然没有很好的解决方案。但是IDS/IPS技术为今后的网络安全打下了良好的技术基础,当前新推出的Web应用防火墙、下一代防火墙所采用技术中有很多是从IDS/IPS中引申出来的。并且IDS/IPS的进一步技术发展前景依然十分广阔。
网络安全产品之统一威胁管理(UTM)
为了应对多方面网络安全的挑战,安全厂商又推出了统一威胁管理(UTM)产品。统一威胁管理产品将防火墙、网络病毒防护、IPS、反垃圾邮件和网络内容管理等一系列功能整合在了一起,可以为企业提供全面的网络防护能力,是一种综合安全防护能力很高的网络安全产品。但在针对网站系统安全防护上,统一威胁管理产品的功能显得有些多而不当,不能很好的为Web应用安全提供服务。
网络安全产品之Web安全网关(WSG)
Web安全网关是一种在统一威胁管理产品基础上发展出来的一类全新的网络应用安全防护产品。具备对Web应用安全更加深入的全面防护能力。可以对网络病毒、SQL注入、跨站、恶意脚本等攻击进行防护。Web安全网关在功能上与Web应用防火墙十分相近,但它保护的对象更多是面向网络用户而不是Web服务器。
网络安全产品之Web应用防火墙(WAF)
于是近年来又有新的Web应用安全防护技术推出——Web应用防火墙(WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
总体来说,Web应用防火墙的具有以下四大个方面的功能(参考WAF入门,对内容做了一些删减及改编):
1)审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话。
2)访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
3)架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
4)Web应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽Web应用固有弱点,而且能够保护Web应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。
Web应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)
【编辑推荐】