1. 用web應用防火牆軟體真的能夠起到作用嗎
肯定是可以的,現在很多的企業防火牆上已經花費了不少的心思,不過騰訊T-Sec We能夠很好的幫助企業,實現自己的安全保護,成為軟體中的佼佼者。
2. 什麼是資料庫防火牆與傳統Web防火牆的區別是什麼
先來說說資料庫防火牆是什麼?資料庫防火牆是基於主動防禦機制,去實現對資料庫訪問行為進行許可權管控、惡意及危險操作進行阻斷或者攔截、可疑行為的審計。資料庫防火牆可以通過sql協議分析,根據預定的白名單、黑名單策略決定讓合法的SQL操作通過執行,讓可疑的非法操作禁止,從而形成一個資料庫的外圍防禦圈。
資料庫防火牆與傳統的防火牆的區別是什麼?區別那可大有不同,首先資料庫防火牆與傳統的防火牆部署位置就不同,資料庫防火牆部署在資料庫伺服器前端;傳統防火牆部署在網路邊界;資料庫防火牆是資料庫流量sql語句,傳統防火牆解決網路流量;資料庫防火牆是資料庫協議防護,傳統防火牆是2-7層網路協議防護,防護對象都不一樣;資料庫防火牆是基於網路和資料庫協議分析與控制技術實現對資料庫的訪問控制,能做到的防護,如有效防止批量下載導致數據泄露,惡意篡改數據等,傳統防火牆、IPS、waf等識別的是網路層協議。
安華金和資料庫防火牆目前做的不錯,可以找他們溝通下,他家資料庫防火牆是國內首款。
3. 包過濾防火牆工作在什麼層
包過濾是一種內置於Linux內核路由功能之上的防火牆類型,其防火牆工作在網路層和傳輸層。
4. web防火牆的安全狀況
由於WEB應用防火牆的多面性,擁有不同知識背景的人往往會關注它不同方面的特點。比如具有網路入侵檢測背景的人更傾向於把它看作是運行在HTTP層上的 IDS設備;具有防火牆自身背景的人更趨向與把它看作一種防火牆的功能模塊。還有一種理解來自於「深度檢測防火牆」這個術語。他們認為深度檢測防火牆是一種和Web應用防火牆功能相當的設備。然而,盡管兩種設備有些相似之處,但是差異還是很大的。深度檢測防火牆通常工作在的網路的第三層以及更高的層次,而 Web應用防火牆則在第七層處理HTTP服務並且很好地支持它。
直接更改WEB代碼解決安全問題更好,這是毋庸置疑的,但也沒那麼容易(實現)。
因為,通過更改WEB應用代碼是否一定就能增強系統安全性能,這本身就存在爭論。而且現實也更加復雜:
* 不可能確保100%的安全。人的能力有限,會不可避免地犯錯誤。
* 絕大多數情況下,很少有人力求100%的安全。如今的現實生活中那些引領應用發展的人更多注重功能而不是安全。這種觀念正在改變,只是有點緩慢。
* 一個復雜的系統通常包含第三方產品(組件,函數庫),它們的安全性能是不為人知的。如果這個產品的源代碼是保密的,那麼你必須依賴商品的廠商提供補丁。即使有些情況下源代碼是公開的,你也不可能有精力去修正它們。
* 我們不得不使用存在安全隱患的業務系統,盡管這些舊系統根本無法改進。
因此,為了獲得最好的效果,我們需要雙管齊下:一方面,必須提高管理者和開發者的安全意識;另一方面,盡可能提高應用系統的安全性。
5. 交換機,WEB防火牆在OSI參考模型中的工作層面
交換機, 二層
web防火牆, 七層
6. 應用防火牆和web應用防火牆的區別
防火牆:
防火牆作為訪問控制設備,主要工作在OSI模型的三四層。防火牆主要基於IP報文進行檢測,對埠進行限制。產品設計無需理解HTTP等應用層協議,所以也就決定了防火牆無法對HTTP通訊進行輸入驗證或者規則分析。而絕大部分的網站惡意攻擊都是偽裝成HTTP請求,專門從80及443埠順利滲透防火牆的防禦。
當然除了傳統的防火牆之外,還有一些定位比較綜合,功能豐富的防火牆,這些防火牆具備一定的應用層防護能力,可以根據TCP會話異常性及攻擊特徵阻止攻擊,通過IP拆分檢測也能夠判斷隱藏在數據包中的攻擊。但是從根本上講防火牆仍無法理解HTTP會話,難以應對諸如SQL注入、cookie劫持、跨站腳本等應用層攻擊。
Web應用防火牆:
Web應用防火牆(WAF)作為一種專業的Web安全防護工具,基於HTTP/HTTPS流量的雙向解碼及分析,有效應對HTTP/HTTPS應用中的各類安全威脅,解決網頁篡改、網站掛馬、信息泄露等安全問題,充分保障Web應用的高可用性及可靠性
總的來說:
從部署位置上來看:傳統防火牆需要架設在網關處,而WAF部署在Web客戶端和伺服器之間。從防護對象來看:防火牆針對底層(網路層、傳輸層)的信息進行檢測阻斷,提供IP及埠防護,對應用層不做防護和過濾;而WAF專注於應用層的安全防護,對所有應用層信息進行過濾,從而有效識別隱藏在正規協議中的Web攻擊。
7. 防火牆工作在OSI第幾層
目前的硬體防火牆可以在第二層至第七層工作,即可以做鏈路層訪問控制(MAC)到應用層訪問控制(關鍵字過濾等)
8. 應用防火牆的WEB應用防火牆定義
總體來說,Web應用防火牆的具有以下四大個方面的功能(參考WAF入門,對內容做了一些刪減及改編):
1)審計設備:用來截獲所有HTTP數據或者僅僅滿足某些規則的會話。
2)訪問控制設備:用來控制對Web應用的訪問,既包括主動安全模式也包括被動安全模式。
3)架構/網路設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。
4)WEB應用加固工具:這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且能夠保護WEB應用編程錯誤導致的安全隱患。
需要指出的是,並非每種被稱為Web應用防火牆的設備都同時具有以上四種功能。
同時WEB應用防火牆還具有多面性的特點。比如從網路入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火牆角度來看,WAF是一種防火牆的功能模塊;還有人把WAF看作「深度檢測防火牆」的增強。(深度檢測防火牆通常工作在的網路的第三層以及更高的層次,而Web應用防火牆則在第七層處理HTTP服務並且更好地支持它。)
9. 七層參考模型中防火牆屬於哪一層
網路層,傳輸層,應用層。
1、過濾型防火牆
過濾型防火牆是在網路層與傳輸層中,可以基於數據源頭的地址以及協議類型等標志特徵進行分析,確定是否可以通過。在符合防火牆規定標准之下,滿足安全性能以及類型才可以進行信息的傳遞,而一些不安全的因素則會被防火牆過濾、阻擋。
2、應用代理類型防火牆
應用代理防火牆主要的工作范圍就是在OIS的最高層,位於應用層之上。其主要的特徵是可以完全隔離網路通信流,通過特定的代理程序就可以實現對應用層的監督與控制。
3、復合型
目前應用較為廣泛的防火牆技術當屬復合型防火牆技術,綜合了包過濾防火牆技術以及應用代理防火牆技術的優點,譬如發過來的安全策略是包過濾策略,那麼可以針對報文的報頭部分進行訪問控制;
如果安全策略是代理策略,就可以針對報文的內容數據進行訪問控制,因此復合型防火牆技術綜合了其組成部分的優點,同時摒棄了兩種防火牆的原有缺點,大大提高了防火牆技術在應用實踐中的靈活性和安全性。
(9)web防火牆在什麼層擴展閱讀
防火牆的包過濾技術一般只應用於OSI7層的模型網路層的數據中,其能夠完成對防火牆的狀態檢測,從而預先可以把邏輯策略進行確定。
邏輯策略主要針對地址、埠與源地址,通過防火牆所有的數據都需要進行分析,如果數據包內具有的信息和策略要求是不相符的,則其數據包就能夠順利通過,如果是完全相符的,則其數據包就被迅速攔截。
計算機數據包傳輸的過程中,一般都會分解成為很多由目和地質等組成的一種小型數據包,當它們通過防火牆的時候,盡管其能夠通過很多傳輸路徑進行傳輸,而最終都會匯合於同一地方。
在這個目地點位置,所有的數據包都需要進行防火牆的檢測,在檢測合格後,才會允許通過,如果傳輸的過程中,出現數據包的丟失以及地址的變化等情況,則就會被拋棄。