摘要:WEB应用的发展,使网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击,例如网页被挂马、网站SQL注入,导致网页被篡改、网站被查封,甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里,网站并非是一个提供互联网服务和信息交流的平台,反而成为可以被低成本利用获取价值的一个途径。 |
传统防火墙的不足主要体现在:
1.主要工作在OSI模型三、四层,基于IP报文进行检测,控制对网络的访问。
2.在设计之初,就无需理解Web应用程序语言如HTML及XML,也无法理解
HTTP会话。
3.无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。
4.为了保障对web应用的访问,防火墙会开放Web应用的80端口,这意味着
Internet上的任意IP都能直接访问Web应用。
5.状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据
包中,它仍然能通过防火墙到达应用服务器。
IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出以知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能有效的防护。
为了更好的理解两款产品差异性,我们先用这个保镖(WAF)和保安(IPS)比喻来描述。