关于web应用防火墙的应用分析

web应用防火墙须要理解http协议、分析用户请求数据，实现往返流量的监测和控制，对于一些常见的攻击好比SQL注入、应用平台漏洞攻击、ddos攻击等攻击行为都有良好的防御效果。 如今针对web安全所采用的防护措施仍然不是很理想，因为web安全的特苏醒，各类字符集和编码方案不少，攻击者很容易绕过安全措施。

Web应用安全威胁的类型和应对方案 目前的一些主流攻击方式，有注入式攻击、跨站脚本攻击、CSRF攻击以及ddos攻击，这类攻击都已经造成了比较成熟的防护措施。 注入漏洞涉及的内容很是普遍，涵盖了各类语言环境以及众多不一样的攻击类型，在实际防御中通常经过验证方式的改良和修复得以实现。跨站攻击的方式是以服务器端应用为主要目标，目前最多见的解决方法仍是经过对js函数过滤进行防御。应用层ddos攻击是国内很是常见也是最难以防范的攻击手段，其根本原理是经过大批量的发送请求来非法占用服务资源，目前只能经过跨代理查询屏蔽ip的方式进行阻止。 Web应用防火墙构架建议 因为web应用的特殊性，针对web应用的攻击变形技术不少，单纯的基于特征签名的防护措施很容易被突破。这也是现有的安全措施并不能保护好web应用的主要缘由。经过固定应对措施或单独使用编码技术进行防御的措施都具备一 定的限制性，而防火墙可以同时兼顾两个方面的需求，在设计中经过预处理

模块与检测模块的互为合做能够同时实现上述两个方面的需求。 Web应用防火墙防御功能的实现方案 一、 预处理模块，该模块的主要功能在于编码解码标准的实现和融入，基于SSL协议层实现。SSL协议是安全阶层协议，其主要功能为认证、加密、完整性验证三个方面。在编码标准化方面，因为web应用的特殊性，支持各类编码，攻击者能够经过各类编码和变换字符集来突破现有的防护措施。 二、 检测功能模块，检测模块在web应用防火墙中承担了安全功能需求导向部分的实现，功能涵盖了过滤器和权限控制两个方面：首先是过滤器，过滤器注重解决的就是web应用中最为严重的用户输入恶意信息的问题，其次是访问控制，web应用站点正常会包含一些不在正常网站数据目录树内的URL连接。WAF能够经过访问控制策略提供细粒度的访问控制列表，阻止这些连接的非受权访问。