企業(yè)建網(wǎng)站防火墻技術(shù)

發(fā)布：2019-03-16 13:30:12 瀏覽：5533

在現(xiàn)在,部署不只一層的防火墻,入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS),針對(duì)于現(xiàn)在的Web網(wǎng)頁(yè),已經(jīng)不完全適用了,因?yàn)楝F(xiàn)在的Web網(wǎng)頁(yè)已經(jīng)不只是傳統(tǒng)的網(wǎng)頁(yè),還有很多是Web應(yīng)用,因此傳統(tǒng)的防火墻對(duì)于這種新型的網(wǎng)頁(yè)來(lái)說(shuō),作用還是很有限。之前的很多防火墻都是在網(wǎng)絡(luò)層工作,通過(guò)過(guò)濾網(wǎng)絡(luò)層的數(shù)據(jù)來(lái)實(shí)現(xiàn)對(duì)訪問(wèn)進(jìn)行控制;還會(huì)用狀態(tài)防火墻來(lái)防止網(wǎng)絡(luò)被不明來(lái)源的網(wǎng)絡(luò)非法接入。這些處理都是在網(wǎng)絡(luò)的層面上來(lái)完成的,而有些特別的網(wǎng)頁(yè),例如Web應(yīng)用的網(wǎng)頁(yè)的可能會(huì)被受到攻擊的特征在這種層面上是沒(méi)辦法被檢查出來(lái)的。IDS和IPS都是通過(guò)使用深包檢測(cè)技術(shù)來(lái)檢查應(yīng)用層中的流量,來(lái)和特征庫(kù)進(jìn)行相應(yīng)的匹配,通過(guò)這種方式來(lái)識(shí)別出網(wǎng)絡(luò)攻擊來(lái)達(dá)到對(duì)攻擊的防護(hù)。但是對(duì)于未知的攻擊,這種方法并不能很好地達(dá)到防護(hù)的效果。而適用于包括網(wǎng)頁(yè)應(yīng)用在內(nèi)的Web應(yīng)用防火墻的出現(xiàn)就很好地解決了這個(gè)難題,這種防火墻是通過(guò)執(zhí)行內(nèi)部的請(qǐng)求來(lái)對(duì)應(yīng)用層進(jìn)行處理,這樣就能夠?qū)λ邢嚓P(guān)的資源和信息進(jìn)行防護(hù),來(lái)防止來(lái)自網(wǎng)絡(luò)上的攻擊。

(1)Web應(yīng)用防火墻的特點(diǎn)

在正常的情況下,一個(gè)網(wǎng)頁(yè)在開(kāi)發(fā)的時(shí)候就應(yīng)該對(duì)安全問(wèn)題多加注意,在開(kāi)始階段就開(kāi)始著眼于安全策略的討論。但是多數(shù)網(wǎng)站由于不同原因,都會(huì)普遍存在不同程度上的安全問(wèn)題。對(duì)于這些已經(jīng)上線了的網(wǎng)站而言,既沒(méi)有通用的補(bǔ)丁可以使用,仔細(xì)修改其中的代碼又太過(guò)耗費(fèi)人力物力,這樣就不能很好地解決一個(gè)網(wǎng)站的安全問(wèn)題。

在這種情況下,比較好的選擇就是選用一個(gè)專業(yè)的、適用于自己網(wǎng)站的Web安全防護(hù)工具。對(duì)于傳統(tǒng)的安全設(shè)備來(lái)說(shuō),并不能適用于現(xiàn)在很多新型的網(wǎng)頁(yè),如Web應(yīng)用網(wǎng)頁(yè),因此就要采用專用的機(jī)制來(lái)進(jìn)行防護(hù),就是Web應(yīng)用防火墻。

Web應(yīng)用防火墻有四個(gè)最顯著的特點(diǎn),分別是對(duì)HTTP理解非常深刻、能夠提供應(yīng)用層規(guī)則、能夠提供正向的安全模型和能夠提供會(huì)話的防護(hù)機(jī)制,這幾個(gè)不同于傳統(tǒng)防火墻的特點(diǎn)都可以更好地幫助網(wǎng)站防護(hù)來(lái)自黑客的攻擊。

(2)Web應(yīng)用防火墻的網(wǎng)絡(luò)架構(gòu)

Web應(yīng)用防火墻采用的模式就是雙臂代理模式,這也是可以采用的最佳模式。這個(gè)模式可以提供最好的安全性能和最高的安全系數(shù)。在這個(gè)模式中,將會(huì)開(kāi)啟所有有關(guān)的數(shù)據(jù)接口,端口1面向互聯(lián)網(wǎng),端口2則面向內(nèi)部設(shè)備。這樣就可以將管理所用的流量和實(shí)際所用的流量很好地分離開(kāi)來(lái),避免沖突,

(3)網(wǎng)絡(luò)實(shí)現(xiàn)過(guò)程

因?yàn)樵谶@個(gè)模式中,前端的端口和后端的端口分別在不同的IP上,因此客戶在訪問(wèn)網(wǎng)站之前將會(huì)和網(wǎng)站的虛擬IP進(jìn)行對(duì)接,這個(gè)IP就會(huì)和前端的端口綁定起來(lái)。

在綁定之后,連接將會(huì)終止,這時(shí)候就開(kāi)始檢查安全的問(wèn)題和過(guò)濾任何有危險(xiǎn)的信息。

在此之后就會(huì)把新的連接建立,連接到負(fù)載均衡的設(shè)備上,這樣設(shè)備就再開(kāi)始負(fù)載流量。

最后雙臂代理模式就可以把所有的安全功能都開(kāi)啟。