摘要:WEB应用的发展,使网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击,例如网页被挂马、网站SQL注入,导致网页被篡改、网站被查封,甚至被利用成为传播木马给浏览网站用户的一个载体。在那些黑客的眼里,网站并非是一个提供互联网服务和信息交流的平台,反而成为可以被低成本利用获取价值的一个途径。 |
下面我们就用一款现在业内比较普遍的Barracuda应用防火墙来举例,来看看应用防火墙是如何保护网站防止被恶意注入和篡改的了。
网络架构和部署:代理模式(也支持桥模式)
代理模式是Web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式,能够提供最佳的安全性能。
在此模式中,所有的数据端口都将被开启;端口WAN是对外的,直接面向因特网的端口。管理端口可以被分配到另一个网段,我们推荐将管理数据和实际的流量分离,避免因为实际流量和管理数据的冲突。
以下为示例拓扑图:
网络实现:
1、前端端口和后端端口位于不同的网段,所有外部客户将会和应用虚拟IP地址进行连接,此虚拟ip将会和前端端口(eth1)进行绑定
2、客户的连接将会在设备上终止,进行安全检查和过滤
3、合法的流量将会WAN口建立新的连接到负载均衡设备
4、负载均衡进行流量的负载
5、代理模式可以开启所有的安全功能