共计 1099 个字符,预计需要花费 3 分钟才能阅读完成。
因为 WEB 利用防火墙(WAF)的名字中有“防火墙”三个字,因而很多人都会将它与传统防火墙混同。实际上,二者之间的有着很大的差异。传统防火墙专一在网络层面,提供 IP、端口防护。而 WAF 是专门为爱护基于 Web 的应用程序而设计的,它不像传统的防火墙基于互联网地址和端口号来监控和阻止数据包。WAF 查看每一个传入的数据包的内容来检测 SQL 注入、跨站点脚本、会话劫持、篡改参数或 URL 等类型的攻打。
WAF 与传统防火墙之间的区别
一、直观差别
WAF 和传统防火墙位于网络上的不同地位。传统防火墙位于网络边缘,而 WAF 间接位于用户和 Web 服务器之间。
二、性能差别
传统防火墙爱护网络外围并应用协定信息过滤流量。你能够依据 IP 范畴、端口、ICMP(Internet 管制音讯协定)类型等设置容许通信的规定。它从关上连贯到敞开都会监督流动。
长处:阻止未经受权的协定、端口和 IP 地址,提供 VPN 反对。
毛病:只有承受 / 回绝规定,无奈解密流量,在独自部署 SSL、IDS 和 IPS 时查看速度变慢,不善于阻止“客户端”攻打,只能看到数据包头,从而容易受到 SQL 注入攻打。
WAF 爱护网站和 API。它被配置为反向代理,并在所有 HTTP(s) 申请达到 Web 服务器之前查看它们。它通过验证码测试拦挡或测试不规则流量,以确保流量来自人类而不是机器人。
长处:可定制的规定、条件过滤、限度上传大小、能够解密和查看 SSL 流量、能够集成 IDS 和 IPS、能够查看数据包数据。
毛病:共享服务器可能导致再次感化,针对这点倡议说应用独享服务器,在各个方面都是会有肯定的安全性保障。
三、操作差别
传统防火墙进攻用于抵挡下类威逼:
1. 未经受权的网络拜访
2. 中间人攻打
3. 权限晋升
4. 网络层面的 DDoS 攻打
WAF 用于抵挡下类威逼:
1.SQL 注入
2. 跨站脚本(XSS)
3. 跨站伪造
4. 网站级别的 DDoS 攻打
5. 目录遍历
四、算法差别
传统防火墙运行无状态 / 有状态查看算法、数据包过滤算法和代理算法。WAF 运行基于签名的算法、启发式算法和异样检测算法。
传统防火墙的性能,次要是及时揭示和解决计算机运行中可能存在的平安危险和数据传输等问题,所以传统防火墙在应用层不起作用,它次要针对的是 OIS 模型的第三、四层,即网络层和传输层。因而,传统防火墙天然无奈了解 web 应用程序的编程语言,比方 HTML、SQL 等等,也就无奈了解 http 会话,从而无奈应答 SQL 注入、跨站脚本、网页篡改等应用层的攻打。而 Web 利用防火墙是专门为爱护基于 WEB 的应用程序而设计的,次要作用于 OSI 模型第七层的应用层,旨在填补传统防火墙无奈解决的安全漏洞。因而,传统防火墙和 WAF 相互之间互补,往往能搭配应用。