什么是网站WAF防火墙 都防御哪些攻击?
时间:2020-08-11 09:24:25 作者:sineadm 分类:网站安全 阅读:次
1.WAF就是Web应用程序防火墙的缩写。2.主要功能:防范对Web应用程序的常见攻击,包括
但不限于sqli、xss、csrf、蛮力解析、文件上传、rfi等。您还可以防止对Web开发框架的攻击
,例如structs攻击和php的pagemagick攻击。大多数实现原则都是预先配置的攻击特性,捕获
客户端请求服务器的http、https通信量,并进行定期匹配。在符合规则后阻拦连接。3.重点职
能之一:支持自学模式。waf可以根据各种专利技术、提取技术和模型分析普通用户请求Web
应用的流程,使模型能够自动创建白名单规则。不在白名单中的请求被视为攻击和断开连接。
hightfunctionbis义规则。waf可以分析http消息的所有字段并创建自定义规则。例如,http头中
的用户代理包含一个关键字,这个关键字被视为攻击。例如,邮件表单中的参数只允许提交
11位纯数字内容(手机号码)。违反规则的提交将被阻止。无法实现的功能:无法防御病毒
和蠕虫。无法防御缓冲区溢出攻击。常见部署:最常见的用法是反向代理模式,类似于ngni
x部署模式。在nat映射之后,指定服务器的流被引入到waf并处理到服务器。其次,通用的
部署模式是透明代理,不需要以透明的方式执行nat和反向代理。
扩展:可以实现一些应用程序交付能力,如负载平衡、基于内容的路由。waf是Web应用程序
防火墙,其主要功能是尝试,如sql注入、xss、路径遍历、窃取敏感数据、cc攻击等。
一般防火墙分类:
1.需要在每个目标服务器上部署单机waf,如模型化;2.自建waf,更多是代理云管理模式,
代理更多是基于nginxla实现,需要在每个目标服务器上部署,云管理的实现更加多样化;
3.使用第三方waf服务,通常是反向代理waf,通常集成cdn和waf,缺点是:(1)如果需要
支持https,必须交出自己的私有证书密钥;(2)流量与其他第三方waf提供商的流量混合,
如果其他客户有恶意行为,则被搜索引擎封锁;4.云提供商提供的网络级waf通常是透明
的;缺点是:如果需要支持https,则需要交出自己的私钥证书。5.硬件网络层waf,一般
透明实现;缺点:如果需要支持https,则需要交出自己的私钥证书。6.应用程序网关(
ApplicationGateway,ApplicationGateway)是waf服务的缺点,通常集成证书管理、ht
tps、waf等功能。例如,janusec应用程序网关,功能:Web安全防御从waf到应用程序
网关。
分享:
标签:WAF网站防火墙网站防御网站防攻击
相关推荐
云WAF如何防御DDOS和CC攻击
影响网站攻击防御检测精确度的几大要素
网站遭到撞库攻击该怎么进行防御
网站如何防御ddos攻击的措施
红蓝对抗收集信息进行WAF绕过
网站IDS防火墙与蜜罐系统的使用介绍
外贸网站被攻击跳转到其他网站
头条
网站被攻击 该如何做好网站的安全防护?
企业网站遭受到攻击,首页文件被篡改,在百度的快照也被劫持...
最新发布
APP及网站应用系统 数据泄露该如何2023-09-08阅读(234)
泛微Ecology漏洞导致注册用户信息泄2023-05-16阅读(236)
网站被黑客攻击时有哪些表现2023-03-23阅读(189)
网站被攻击的原因及应对策略2023-03-23阅读(283)
标签云
网站安全 网站漏洞 网站漏洞修复 网络安全 渗透测试 渗透测试服务 服务器安全 网站安全检测 网络安全公司 网站被攻击 网站被黑 网站漏洞检测 渗透测试公司 网络安全服务 网站被入侵 rce漏洞 网站安全防护 app渗透测试 服务器被攻击 XSS漏洞 网站安全测试 网站安全维护 渗透测试工程师 网站漏洞扫描 业务漏洞 网站漏洞测试 服务器代维 web安全 渗透 网站漏洞修补