安全认知:由浅入深讲述 Web 应用防火墙 有趣的是,还没有人能真正知道 w eb 应用防火墙究竟是什么,或者确切的说,还没有一个大家认可的精确定义。从广义上来说,Web 应用防火墙就是一些增强 Web 应用安全性的工具。然而,如果我们要深究它精确的定义,就可能会得到更多的疑问。因为一些 Web 应用防火墙是硬件设备,一些则是应用软件;一些是基于网络的,另一些则是嵌入 WEB 服务器的。 国外市场上具有 WEB 应用防火墙功能的产品名称就有不同的几十种,更不用说是产品的形式和描述了。它难以界定的原因是这个名称包含的东西太多了。较低的网络层(Web 应用防火墙被安置在第七层)被许多设备所覆盖,每一种设备都有它们独特的功能,比如路由器,交换机,防火墙,入侵检测系统,入侵防御系统等等。然而,在 HTTP 的世界里,所有这些功能都被融入在一个设备里:Web 应用防火墙。 总体来说,Web 应用防火墙的具有以下四个方面的功能: 1. 审计设备:用来截获所有 HTTP 数据或者仅仅满足某些规则的会话。 2. 访问控制设备:用来控制对Web 应用的访问,既包括主动安全模式也包括被动安全模式。 3. 架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。 4. WEB 应用加固工具:这些功能增强被保护Web 应用的安全性,它不仅能够屏蔽WEB 应用固有弱点,而且能够保护WEB 应用编程错误导致的安全隐患。 但是,需要指出的是,并非每种被称为 Web 应用防火墙的设备都同时具有以上四种功能。 由于 WEB 应用防火墙的多面性,拥有不同知识背景的人往往会关注它不同方面的特点。比如具有网络入侵检测背景的人更倾向于把它看作是运行在 HTTP 层上的 IDS 设备;具有防火墙自身背景的人更趋向与把它看作一种防火墙的功能模块。还有一种理解来自于“深度检测防火墙”这个术语。他们认为深度检测防火墙是一种和 Web 应用防火墙功能相当的设备。然而,尽管两种设备有些相似之处,但是差异还是很大的。深度检测防火墙通常工作在的网络的第三层以及更高的层次,而 Web 应用防火墙则在第七层处理HTTP 服务并且很好地支持它。 直接更改 WEB 代码解决安全问题是否更好?这是毋庸置疑的,但也没那么容易(实现)。 因为,通过更改 WEB 应用代码是否一定就能增强系统安全性能,这本身就存在争论。而且现实也更加复杂: * 不可能确保100%的安全。人的能力有限,会不可避免地犯错误。 ...
