Web 应用防火墙 (WAF) 旨在保护 Web 应用免受各类应用层攻击,例如跨站点脚本 (XSS)、SQL 注入,以及 cookie 中毒等。应用是您重要数据的网关,因此针对应用发起的攻击就成为了造成漏洞的主要原因。有了 WAF 在其位、司其职,您就可以拦截一系列企图通过入侵系统来泄漏数据的攻击。
WAF 通过过滤、监控和拦截恶意 HTTP 或 HTTPS 流量对 Web 应用的访问来保护您的 Web 应用,并能够阻止未经授权的数据离开应用。为此,WAF 需要遵守一套策略,帮助其确定哪些流量是恶意的,哪些流量是安全的。WAF 的操作方式与代理服务器类似,虽然同为“中介”,但后者旨在保护客户端身份,前者却被称为反向代理,因为其使命在于保护 Web 应用服务器免受潜在恶意客户端的影响。
WAF 不拘泥于形式,是软件、设备,亦是即服务。策略可定制,以满足您对 Web 应用或 Web 应用组合的独特需求。虽然许多 WAF 要求您定期更新策略以解决新的漏洞,但机器学习的进步使一些 WAF 能够自动更新。随着威胁环境愈发复杂和不确定,这种自动化变得越来越重要。
IPS 是入侵防御系统,WAF 指 Web 应用防火墙,而 NGFW 为下一代防火墙。它们之间的区别在哪里?
IPS 是一款目标范围更加广泛的安全产品。IPS 通常以签名和政策为基础。换言之,它可以根据签名数据库和既定政策,检查众所周知的漏洞和攻击载体。IPS 根据数据库和策略建立一个标准,然后会在流量偏离标准时发出警报。随着时间的推移,新漏洞层出不穷,签名和策略也会积少成多。一般来说,IPS 保护对象是一系列协议类型的流量,例如 DNS、SMTP、TELNET、RDP、SSH 和 FTP。通常情况下,IPS 会运行于第 3 层和第 4 层并对其提供保护,相较于网络层和会话层,对应用层(第 7 层)提供的保护力度着实有限。
Web 应用防火墙 (WAF) 的设计则专为保护应用层而生,旨在分析应用层上各 HTTP 或 HTTPS 请求。它通常会感知用户、会话和应用,了解其背后的 Web 应用及其提供的服务。正因如此,WAF 可以看作是用户和应用之间的中介,并会提前对往来于两者之前的通信进行分析。传统的 WAF 确保仅执行允许的操作(基于安全策略)。对于许多组织来说,WAF 是应用值得信赖的第一道防线,尤其是在抵御 OWASP 十大漏洞方面(最常见应用漏洞基本列表)。这十大漏洞目前包括:
观看 IPS 与 WAF 短片
下一代防火墙 (NGFW) 可以监控进入互联网的流量,覆盖网站、电子邮件账户和 SaaS。简单地说,它是在保护用户(相对于 Web 应用)。NGFW 将强制执行基于用户的策略,并为安全策略添加上下文,此外还添加了 URL 过滤、防病毒或防恶意软件等功能,并有可能添加自己的入侵防御系统 (IPS)。WAF 是典型的反向代理(供服务器使用),而 NGFW 通常是正向代理(供浏览器等客户端使用)。
WAF 部署方式多样,一切都取决于您的应用部署位置、所需服务、您想如何管理它,以及您对架构灵活性和性能水平的要求。您是想亲自管理它,还是想把管理外包出去?是选择基于云的模式更好,还是希望将 WAF 放在内部?想好如何部署将有助于确定适合您的 WAF。以下选项任您挑选。
深入了解 WAF 以及如何使用 F5 Advanced WAF技术保护您的应用