企業建網站防火牆技術

日期 : 2019-03-16 13:30:12

在現在, 部署不隻一層的防火牆, 入侵檢測係統 (IDS) 和入侵防禦係統 (IPS) , 針對於現在的Web網頁, 已經不完全適用了, 因為現在的Web網頁已經不隻是傳統的網頁, 還有很多是Web應用, 因此傳統的防火牆對於這種新型的網頁來說, 作用還是很有限。之前的很多防火牆都是在網絡層工作, 通過過濾網絡層的數據來實現對訪問進行控製;還會用狀態防火牆來防止網絡被不明來源的網絡非法接入。這些處理都是在網絡的層麵上來完成的, 而有些特別的網頁, 例如Web應用的網頁的可能會被受到攻擊的特征在這種層麵上是沒辦法被檢查出來的。IDS和IPS都是通過使用深包檢測技術來檢查應用層中的流量, 來和特征庫進行相應的匹配, 通過這種方式來識別出網絡攻擊來達到對攻擊的防護。但是對於未知的攻擊, 這種方法並不能很好地達到防護的效果。而適用於包括網頁應用在內的Web應用防火牆的出現就很好地解決了這個難題, 這種防火牆是通過執行內部的請求來對應用層進行處理, 這樣就能夠對所有相關的資源和信息進行防護, 來防止來自網絡上的攻擊。
(1) Web應用防火牆的特點
在正常的情況下, 一個網頁在開發的時候就應該對安全問題多加注意, 在開始階段就開始著眼於安全策略的討論。但是多數網站由於不同原因, 都會普遍存在不同程度上的安全問題。對於這些已經上線了的網站而言, 既沒有通用的補丁可以使用, 仔細修改其中的代碼又太過耗費人力物力, 這樣就不能很好地解決一個網站的安全問題。
在這種情況下, 比較好的選擇就是選用一個專業的、適用於自己網站的Web安全防護工具。對於傳統的安全設備來說, 並不能適用於現在很多新型的網頁, 如Web應用網頁, 因此就要采用專用的機製來進行防護, 就是Web應用防火牆。
Web應用防火牆有四個最顯著的特點, 分別是對HTTP理解非常深刻、能夠提供應用層規則、能夠提供正向的安全模型和能夠提供會話的防護機製, 這幾個不同於傳統防火牆的特點都可以更好地幫助網站防護來自黑客的攻擊。
(2) Web應用防火牆的網絡架構
Web應用防火牆采用的模式就是雙臂代理模式, 這也是可以采用的最佳模式。這個模式可以提供最好的安全性能和最高的安全係數。在這個模式中, 將會開啟所有有關的數據接口, 端口1麵向互聯網, 端口2則麵向內部設備。這樣就可以將管理所用的流量和實際所用的流量很好地分離開來, 避免衝突,
(3) 網絡實現過程
因為在這個模式中, 前端的端口和後端的端口分別在不同的IP上, 因此客戶在訪問網站之前將會和網站的虛擬IP進行對接, 這個IP就會和前端的端口綁定起來。
在綁定之後, 連接將會終止, 這時候就開始檢查安全的問題和過濾任何有危險的信息。
在此之後就會把新的連接建立, 連接到負載均衡的設備上, 這樣設備就再開始負載流量。
最後雙臂代理模式就可以把所有的安全功能都開啟。
 
相關文章