網(wǎng)絡(luò)安全產(chǎn)品之防火墻(FireWall)

防火墻是最早采用互聯(lián)網(wǎng)安全防護產(chǎn)品。但是在應(yīng)用過程中逐漸發(fā)現(xiàn)基于網(wǎng)絡(luò)端口防護和包過濾防護技術(shù)的防火墻產(chǎn)品無法有效的對應(yīng)用安全進行攔截(在Web應(yīng)用方面由其突出)。但防火墻產(chǎn)品目前依然未退出安全市場，反而因為其強大的數(shù)據(jù)轉(zhuǎn)發(fā)能力、防攻擊能力和靈活的安全策略設(shè)置功能被越來越多的運用在企業(yè)內(nèi)網(wǎng)隔離、安全區(qū)域劃分和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)之中。

網(wǎng)絡(luò)安全產(chǎn)品之入侵檢測/防御(IDS/IPS)

出于對防泛黑客攻擊及安全漏洞攔截的需求，又開發(fā)出了入侵檢測/防御產(chǎn)品(IDS/IPS)但早期IDS/IPS產(chǎn)品需要過多人為對檢測問題進行分析，并具有很高的誤判率，難以操控。同時IDS/IPS產(chǎn)品在防范網(wǎng)絡(luò)病毒、Web應(yīng)用安全認證等問題上依然沒有很好的解決方案。但是IDS/IPS技術(shù)為今后的網(wǎng)絡(luò)安全打下了良好的技術(shù)基礎(chǔ)，當前新推出的Web應(yīng)用防火墻、下一代防火墻所采用技術(shù)中有很多是從IDS/IPS中引申出來的。并且IDS/IPS的進一步技術(shù)發(fā)展前景依然十分廣闊。

網(wǎng)絡(luò)安全產(chǎn)品之統(tǒng)一威脅管理(UTM)

為了應(yīng)對多方面網(wǎng)絡(luò)安全的挑戰(zhàn)，安全廠商又推出了統(tǒng)一威脅管理(UTM)產(chǎn)品。統(tǒng)一威脅管理產(chǎn)品將防火墻、網(wǎng)絡(luò)病毒防護、IPS、反垃圾郵件和網(wǎng)絡(luò)內(nèi)容管理等一系列功能整合在了一起，可以為企業(yè)提供全面的網(wǎng)絡(luò)防護能力，是一種綜合安全防護能力很高的網(wǎng)絡(luò)安全產(chǎn)品。但在針對網(wǎng)站系統(tǒng)安全防護上，統(tǒng)一威脅管理產(chǎn)品的功能顯得有些多而不當，不能很好的為Web應(yīng)用安全提供服務(wù)。

網(wǎng)絡(luò)安全產(chǎn)品之Web安全網(wǎng)關(guān)(WSG)

Web安全網(wǎng)關(guān)是一種在統(tǒng)一威脅管理產(chǎn)品基礎(chǔ)上發(fā)展出來的一類全新的網(wǎng)絡(luò)應(yīng)用安全防護產(chǎn)品。具備對Web應(yīng)用安全更加深入的全面防護能力。可以對網(wǎng)絡(luò)病毒、SQL注入、跨站、惡意腳本等攻擊進行防護。Web安全網(wǎng)關(guān)在功能上與Web應(yīng)用防火墻十分相近，但它保護的對象更多是面向網(wǎng)絡(luò)用戶而不是Web服務(wù)器。

網(wǎng)絡(luò)安全產(chǎn)品之Web應(yīng)用防火墻(WAF)

于是近年來又有新的Web應(yīng)用安全防護技術(shù)推出——Web應(yīng)用防火墻(WAF)。利用國際上公認的一種說法：Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品。

總體來說，Web應(yīng)用防火墻的具有以下四大個方面的功能(參考WAF入門，對內(nèi)容做了一些刪減及改編)：

1)審計設(shè)備：用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。

2)訪問控制設(shè)備：用來控制對Web應(yīng)用的訪問，既包括主動安全模式也包括被動安全模式。

3)架構(gòu)/網(wǎng)絡(luò)設(shè)計工具：當運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。

4)Web應(yīng)用加固工具：這些功能增強被保護Web應(yīng)用的安全性，它不僅能夠屏蔽Web應(yīng)用固有弱點，而且能夠保護Web應(yīng)用編程錯誤導(dǎo)致的安全隱患。

需要指出的是，并非每種被稱為Web應(yīng)用防火墻的設(shè)備都同時具有以上四種功能。

Web應(yīng)用防火墻還具有多面性的特點。比如從網(wǎng)絡(luò)入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設(shè)備;從防火墻角度來看，WAF是一種防火墻的功能模塊;還有人把WAF看作“深度檢測防火墻”的增強。(深度檢測防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次，而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它。)

【編輯推薦】

1. 淺析網(wǎng)站掛馬原因
2. Web攻擊的十大原因
3. Web應(yīng)用與Web應(yīng)用防火墻之Web應(yīng)用
4. Web應(yīng)用安全日趨嚴重我們該拿什么拯救