随着网络的普及网站的安全也媔临着很大的挑战;几乎一夜间千树万树梨花开,“网站保护”、“防篡改”、“应用开源waf防火墙墙”等关键字成为了安全的代名词
Firewall,縮写WAF)是一种新兴的网站安全产品,主要功能为防跨站攻击、防SQL注入攻击等WAF的火爆登场,各式各样的应用开源waf防火墙墙层出不穷从存在型态上来分,可以为硬件式和软件式;根据技术原理的不同硬件型态的又分为旁路式和串联式,软件型态的又分为代理式和嵌入式四种不同实现技术,各有其优缺点下面将一一分别解说。
部署简单:将WAF 设备通过一根网线直接联接到核心交换机上就可以完成部署。
不影响网速:旁路式主要是通过实时的从交换机上复制数据包然后进行分解、分析有无攻击行为。
无法独立完成防御功能:旁路式的實现方式无法完成对攻击行为阻断必须通过开源waf防火墙墙的协助才能完成阻断功能。
丟包的概率较高:丢包率取决于当前网络流量和WAF 分析的效率;单位流量越大WAF 处理速度越慢丢包率就越大。
无法支持HTTPS :不同的网站所采用的key 都是不同的所以旁路式的WAF 是无法解析HTTPS 数据包。
2. 串联式(网关式)
部署简单:顾名思义串联就是串联于网关处。
可主动防御:由于是串联的方式接入所以所有访问的数据都要先经过咜的过滤器 才可到达目的地。
无丟包问题:串联的方式决定了不可能存在丢数据的问题
数据流量成为瓶颈:网络上的所有的数据包都要經过WAF ,所以WAF 支持带宽就成为了现有网络的最大带宽
不支持HTTPS :同样无法解决HTTPS 数据包。
实现成本低:不需要硬件设备的投入节省硬件开支。
可实现主动防御:和串联式的硬件相同只不过串联的位值不同,一个是网关处 一个是网络和服务器之间。
无丟包问题:同样不存在丟包的问题
部署复杂:要在服务器上完成代理软件,然后设置代理的端口和服务器的端口代理先获取请求然后再转发服务器。
不支持HTTPS :同样无法持HTTPS 数据包的解析
实现成本低:同样无硬件的开支。
可实现主动防御:工作于服务器内部可以在数据处理之前进分析过滤。
無丟包问题:串联的特点决定了无丢包问题
支持HTTPS :由于系统工作于服务器内部,所以很方便可以获取到解密之后的数据包对HTTPS 的支持也僦水到渠成了。
部署复杂:系统的部署要根据操作系统和服务器来进行相应的处理