WEB應用防火牆的三大功能概述

WEB應用防火牆的三大功能概述 2010-11-24 10:47:04 中關村在線 .

摘要：雖然WEB應用防火牆的名字中有“防火牆”三個字，但WEB應用防火牆和傳統防火牆是完全不同的產品，和Web安全網關也有很大區別。WEB應用防火牆與Web安全網關的差異在於，後者保護企業的上網行為免受侵害，而WEB應用防火牆是專門為保護基於Web的應用程序而設計的。 .

雖然WEB應用防火牆的名字中有“防火牆”三個字，但WEB應用防火牆和傳統防火牆是完全不同的產品，和Web安全網關也有很大區別。傳統防火牆只是針對一些底層（網絡層、傳輸層）的信息進行阻斷，而WEB應用防火牆則深入到應用層，對所有應用信息進行過濾，這是WEB應用防火牆和傳統防火牆的本質區別。WEB應用防火牆與Web安全網關的差異在於，後者保護企業的上網行為免受侵害，而WEB應用防火牆是專門為保護基於Web的應用程序而設計的。 .

WEB應用防火牆位於Web客戶端和Web服務器之間，分析應用程序層的通信，從而發現違反預先定義好的安全策略的行為。WEB應用防火牆具備事前預防、事中防護及事後補償的綜合能力。以WEB應用防火牆最為核心的事中防護能力為例，WEB應用防火牆作為一種專業的Web安全防護工具，基於對HTTP/HTTPS流量的雙向解碼和分析，可應對HTTP/HTTPS應用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊（CSRF）、Cookie篡改以及應用層DDoS等，能有效解決網頁篡改、網頁掛馬、敏感信息洩露等安全問題，充分保障Web應用的高可用性和可靠性。 .

一個標准的WEB應用防火牆至少需要具備三大功能： .

第一，安全防護。不但對於針對Web服務器的攻擊要具備防御能力，還要對數據洩密具備監管能力，可以進行IP審計。 .

第二，加速。除了防護以外，企業用戶在網絡之中，需要對應用的運轉效率進行控制，比如對TCP協議的緩沖，對SSL VPN的加速，對訪問管理的卸載，WEB應用防火牆必須能夠提供相應的加速能力。 .

第三，可擴展性。WEB應用防火牆在後台連接的時候和Web服務器相關，但不能僅僅防護一台服務器。事實上很多企業的Web服務器數量龐大，WEB應用防火牆需要對應用交付和負載均衡提供支持。 .

WEB應用防火牆不僅可以檢測已知類型的攻擊，還可以發現異常的使用模式並阻止目前未知的攻擊方法。例如，通常Web應用程序與Web客戶端的信息交流數量是有限的。如果WEB應用防火牆檢測到Web服務器正在返回一個比預期大很多的數據量，，它就會及時切斷傳輸，以防止更多的數據洩露。 .

[責任編輯：楊勇] .

相關文章 .

.