企業建網站防火墻技術

發布：2019-03-16 13:30:12 瀏覽：4747

在現在,部署不只一層的防火墻,入侵檢測系統(IDS)和入侵防御系統(IPS),針對于現在的Web網頁,已經不完全適用了,因為現在的Web網頁已經不只是傳統的網頁,還有很多是Web應用,因此傳統的防火墻對于這種新型的網頁來說,作用還是很有限。之前的很多防火墻都是在網絡層工作,通過過濾網絡層的數據來實現對訪問進行控制;還會用狀態防火墻來防止網絡被不明來源的網絡非法接入。這些處理都是在網絡的層面上來完成的,而有些特別的網頁,例如Web應用的網頁的可能會被受到攻擊的特征在這種層面上是沒辦法被檢查出來的。IDS和IPS都是通過使用深包檢測技術來檢查應用層中的流量,來和特征庫進行相應的匹配,通過這種方式來識別出網絡攻擊來達到對攻擊的防護。但是對于未知的攻擊,這種方法并不能很好地達到防護的效果。而適用于包括網頁應用在內的Web應用防火墻的出現就很好地解決了這個難題,這種防火墻是通過執行內部的請求來對應用層進行處理,這樣就能夠對所有相關的資源和信息進行防護,來防止來自網絡上的攻擊。

(1)Web應用防火墻的特點

在正常的情況下,一個網頁在開發的時候就應該對安全問題多加注意,在開始階段就開始著眼于安全策略的討論。但是多數網站由于不同原因,都會普遍存在不同程度上的安全問題。對于這些已經上線了的網站而言,既沒有通用的補丁可以使用,仔細修改其中的代碼又太過耗費人力物力,這樣就不能很好地解決一個網站的安全問題。

在這種情況下,比較好的選擇就是選用一個專業的、適用于自己網站的Web安全防護工具。對于傳統的安全設備來說,并不能適用于現在很多新型的網頁,如Web應用網頁,因此就要采用專用的機制來進行防護,就是Web應用防火墻。

Web應用防火墻有四個最顯著的特點,分別是對HTTP理解非常深刻、能夠提供應用層規則、能夠提供正向的安全模型和能夠提供會話的防護機制,這幾個不同于傳統防火墻的特點都可以更好地幫助網站防護來自黑客的攻擊。

(2)Web應用防火墻的網絡架構

Web應用防火墻采用的模式就是雙臂代理模式,這也是可以采用的最佳模式。這個模式可以提供最好的安全性能和最高的安全系數。在這個模式中,將會開啟所有有關的數據接口,端口1面向互聯網,端口2則面向內部設備。這樣就可以將管理所用的流量和實際所用的流量很好地分離開來,避免沖突,

(3)網絡實現過程

因為在這個模式中,前端的端口和后端的端口分別在不同的IP上,因此客戶在訪問網站之前將會和網站的虛擬IP進行對接,這個IP就會和前端的端口綁定起來。

在綁定之后,連接將會終止,這時候就開始檢查安全的問題和過濾任何有危險的信息。

在此之后就會把新的連接建立,連接到負載均衡的設備上,這樣設備就再開始負載流量。

最后雙臂代理模式就可以把所有的安全功能都開啟。