日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Web應(yīng)用防火墻是如何為客戶(hù)提供防護(hù)的

基于Web的應(yīng)用程序帶來(lái)的是,要求安全增值廠商和系統(tǒng)集成商為了web應(yīng)用防火墻一系列的服務(wù)增加對(duì)防火墻設(shè)備的安裝、配置和支持。防火墻產(chǎn)品因其協(xié)助遵從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)而獲得了關(guān)注(PCI法規(guī) 6.6要求機(jī)構(gòu)自身檢查web應(yīng)用程序的所有代碼,或者安裝一個(gè)Web應(yīng)用防火墻來(lái)防范已知的攻擊方式),對(duì)為其應(yīng)用程序提供web訪(fǎng)問(wèn)的組織而言,它們已成為一種必須。

創(chuàng)新互聯(lián)是專(zhuān)業(yè)的長(zhǎng)安網(wǎng)站建設(shè)公司,長(zhǎng)安接單;提供做網(wǎng)站、網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專(zhuān)業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行長(zhǎng)安網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專(zhuān)業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專(zhuān)業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

什么是Web應(yīng)用防火墻? 
  
  Web應(yīng)用防火墻是專(zhuān)門(mén)為保護(hù)基于web的應(yīng)用程序而設(shè)計(jì)的,它不像傳統(tǒng)的防火墻,基于互聯(lián)網(wǎng)地址和端口號(hào)來(lái)監(jiān)控和阻止數(shù)據(jù)包。一個(gè)標(biāo)準(zhǔn)的端口號(hào)對(duì)應(yīng)一種網(wǎng)絡(luò)應(yīng)用程序類(lèi)型。例如,telnet接收發(fā)送到端口23的數(shù)據(jù)包,郵件服務(wù)器接收發(fā)送到端口25的數(shù)據(jù)包。

傳統(tǒng)的防火墻允許向郵件服務(wù)器相對(duì)應(yīng)的互聯(lián)網(wǎng)地址發(fā)送數(shù)據(jù),讓數(shù)據(jù)包通過(guò)25端口送達(dá)目的地。發(fā)送數(shù)據(jù)包給一個(gè)不是郵件服務(wù)器系統(tǒng)的互聯(lián)網(wǎng)地址和25端口,就是一個(gè)攻擊。防火墻會(huì)阻止這些數(shù)據(jù)包。

Web服務(wù)器理應(yīng)通過(guò)80端口傳送數(shù)據(jù)包。所以所有發(fā)給支撐web服務(wù)器系統(tǒng)80端口的數(shù)據(jù)包必須被允許通過(guò)防火墻。傳統(tǒng)的防火墻沒(méi)有辦法測(cè)定一個(gè)地址指向正確的數(shù)據(jù)包是否包含威脅,但Web應(yīng)用防火墻可以仔細(xì)檢查數(shù)據(jù)包的內(nèi)容來(lái)檢測(cè)并阻止威脅。
Web應(yīng)用程序如何遭受攻擊

黑客們不斷開(kāi)發(fā)新的方法獲得未經(jīng)授權(quán)的Web應(yīng)用程序訪(fǎng)問(wèn),但是也有一些通用的技術(shù)。

  • SQL注入:一些應(yīng)用程序通過(guò)復(fù)制Web客戶(hù)端輸入來(lái)創(chuàng)建數(shù)據(jù)庫(kù)查詢(xún)。黑客通過(guò)構(gòu)造一些應(yīng)用程序沒(méi)有仔細(xì)檢查和會(huì)被拒絕的字符串,來(lái)獲取返回的機(jī)密數(shù)據(jù)。
  • 跨站點(diǎn)腳本:黑客插入腳本代碼(如JavaScript或ActiveX)到一個(gè)輸入字符串,導(dǎo)致Web服務(wù)器泄漏用戶(hù)名和密碼等信息。
  • 操作系統(tǒng)命令注入:一些應(yīng)用程序從web輸入來(lái)創(chuàng)建操作系統(tǒng)命令,就像訪(fǎng)問(wèn)一個(gè)文件和顯示文件內(nèi)容。如果輸入的字符串沒(méi)有仔細(xì)檢查機(jī)制,黑客就可以創(chuàng)建輸入來(lái)顯示未經(jīng)授權(quán)的數(shù)據(jù)、修改文件或系統(tǒng)參數(shù)。
  • 會(huì)話(huà)劫持:黑客通過(guò)猜測(cè)基于令牌格式知識(shí)的會(huì)話(huà)令牌的內(nèi)容來(lái)獲得登錄會(huì)話(huà)的權(quán)利。這使得黑客能接管會(huì)話(huà)并可以得到原來(lái)的用戶(hù)帳戶(hù)信息。
  • 篡改參數(shù)或URL:web應(yīng)用程序通常在返回的的web頁(yè)面中嵌入?yún)?shù)和URL,或者用授權(quán)的參數(shù)更新緩存。黑客可以修改這些參數(shù)、URL或緩存,使Web服務(wù)器返回不應(yīng)泄漏的信息。
  • 緩沖區(qū)溢出:應(yīng)用程序代碼應(yīng)該檢查輸入數(shù)據(jù)的長(zhǎng)度,以確保輸入數(shù)據(jù)不會(huì)超出剩余的緩沖區(qū)和修改相鄰的存儲(chǔ)。黑客很快就會(huì)發(fā)現(xiàn)應(yīng)用程序不檢查溢出,并創(chuàng)建輸入來(lái)導(dǎo)致溢出。

如何阻止web應(yīng)用攻擊

Web應(yīng)用防火墻檢查每一個(gè)傳入的數(shù)據(jù)包的內(nèi)容來(lái)檢測(cè)上述類(lèi)型的攻擊。例如,web應(yīng)用防火墻會(huì)掃描SQL查詢(xún)字符串,來(lái)檢測(cè)和刪除那些導(dǎo)致返回的數(shù)據(jù)多余應(yīng)用程序要求的字符串。增值廠商應(yīng)仔細(xì)監(jiān)測(cè)新發(fā)展的攻擊類(lèi)型并跟蹤檢測(cè)他們的最新產(chǎn)品。

Web應(yīng)用防火墻不僅檢測(cè)上述已知類(lèi)型的攻擊,而且還監(jiān)測(cè)異常的使用模式來(lái)檢測(cè)目前未知的攻擊方法。例如,通常Web應(yīng)用程序與web客戶(hù)端的信息交流數(shù)量是有限的。如果Web應(yīng)用防火墻檢測(cè)到Web服務(wù)器正在返回一個(gè)比預(yù)期大很多的數(shù)據(jù)量,它就會(huì)及時(shí)切斷傳輸,以防止更多的數(shù)據(jù)泄露。

目前有基于軟件和基于應(yīng)用程序的web應(yīng)用防火墻?;谲浖漠a(chǎn)品布置在Web服務(wù)器上,而基于應(yīng)用程序的產(chǎn)品放置在Web服務(wù)器和互聯(lián)網(wǎng)接口之間。兩種類(lèi)型的防火墻都會(huì)在數(shù)據(jù)傳入和傳出web服務(wù)器之前檢查數(shù)據(jù)。

一般基于軟件的產(chǎn)品成本低于基于應(yīng)用程序的產(chǎn)品成本,基于軟件的產(chǎn)品供應(yīng)商聲稱(chēng)這類(lèi)防火墻具有更低的延遲和更高的吞吐量。但是在web服務(wù)器上安裝額外的軟件勢(shì)必會(huì)增加額外的處理負(fù)荷和系統(tǒng)上軟件的復(fù)雜性。

基于應(yīng)用程序的防火墻廠商聲稱(chēng),這類(lèi)防火墻安裝和使用簡(jiǎn)單,因?yàn)闆](méi)有額外的軟件安裝在Web服務(wù)器系統(tǒng)上。 Web服務(wù)器的性能不受Web應(yīng)用程序防火墻處理的影響。

除了商業(yè)產(chǎn)品外,也有許多開(kāi)放源碼的Web應(yīng)用防火墻可用。這些產(chǎn)品成本低于商業(yè)產(chǎn)品(就開(kāi)放的源代碼工具來(lái)說(shuō),他們是免費(fèi)的,或者就基于開(kāi)放源代碼的商業(yè)產(chǎn)品來(lái)說(shuō),極有可能降低成本)。過(guò)去開(kāi)源代碼關(guān)注的是,黑客們將檢查代碼并設(shè)法逃避保護(hù)措施。有了應(yīng)用Linux這類(lèi)開(kāi)源代碼軟件的豐富經(jīng)驗(yàn),這些都不是什么問(wèn)題。

所有的產(chǎn)品,不論是購(gòu)買(mǎi)的還是開(kāi)源代碼,無(wú)論是基于軟件的還是基于應(yīng)用程序的,都應(yīng)該得到支持。商業(yè)產(chǎn)品得到了供應(yīng)商的支持。開(kāi)放源代碼為增值廠商和系統(tǒng)集成商提供了一個(gè)整合安全知識(shí)的機(jī)會(huì)。為 Web應(yīng)用程序防火墻提供持續(xù)的支持,確保合作伙伴與客戶(hù)保持密切的關(guān)系,給供應(yīng)商在未來(lái)為客戶(hù)提供更多產(chǎn)品和服務(wù)提供了機(jī)會(huì)。

因?yàn)槊總€(gè)客戶(hù)的環(huán)境和應(yīng)用程序設(shè)置是不同的,VARs和系統(tǒng)集成商必須評(píng)估每個(gè)客戶(hù)的獨(dú)特需求,以確定哪種類(lèi)型的Web應(yīng)用防火墻將是最合適的。但是,毫無(wú)疑問(wèn)所有客戶(hù)的Web應(yīng)用程序都應(yīng)該得到Web應(yīng)用防火墻的保護(hù)。如果用戶(hù)不理解這種需求或者不同意該做法,一定要介紹給他們Web應(yīng)用程序可能受到攻擊的多種方式。

仔細(xì)檢查應(yīng)用程序代碼是一種替代web應(yīng)用防火墻的方法。攻擊都是在編譯出錯(cuò)或者缺乏內(nèi)部數(shù)據(jù)檢查的地方取得成功。從理論上來(lái)講,一個(gè)通過(guò)代碼檢查員逐行檢查過(guò)錯(cuò)誤的web應(yīng)用程序,可以替代web應(yīng)用防火墻。

在實(shí)踐中,盡管軟件工程師通常不相信他們的代碼有缺陷,但對(duì)應(yīng)用程序的不斷更新使得詳細(xì)的代碼檢查變得幾乎不可能,更不用說(shuō)代碼檢查員很容易的就會(huì)忽略不安全的代碼,特別是那些沒(méi)有安全背景的檢查員。此外,黑客技術(shù)迅速發(fā)展。網(wǎng)絡(luò)防火墻供應(yīng)商時(shí)時(shí)關(guān)注新攻擊類(lèi)型的新聞、及時(shí)更新它們的產(chǎn)品。有些客戶(hù)可能覺(jué)得經(jīng)過(guò)代碼審查的程序可以使他們避免實(shí)施一個(gè)web應(yīng)用防火墻所帶來(lái)的花費(fèi)和工作量,但解決方案供應(yīng)商應(yīng)幫助客戶(hù)認(rèn)識(shí)到安全代碼審查只能帶來(lái)虛假的安全感,實(shí)際上并不能代替Web應(yīng)用防火墻提供的全面安全保護(hù)。

【編輯推薦】

  1. 選擇硬件防火墻時(shí)你應(yīng)注意的十件事
  2. 深入理解防火墻 有效屏蔽外界的攻擊
  3. 防火墻功能分類(lèi)及其局限性介紹分析

新聞名稱(chēng):Web應(yīng)用防火墻是如何為客戶(hù)提供防護(hù)的
網(wǎng)站地址:http://www.dlmjj.cn/article/djdpsdi.html