防火墙是为了针对网站可能受到的不同种类的攻击进行设计和部署,来保障网站的安全,首先我们要先来了解一下常见的网络安全风险有哪些,才能针对性地采取防护措施。
一般来讲,现在常见的web漏洞注意有以下几种:1、注入漏洞:SQL注入、OS命令注入、LDAP注入和SOAP注入等。
2、跨脚本攻击XSS:XSS本质上也是注入攻击的一种,即HTML注入攻击。防护方式可以输入过滤也可以输出编码,处理不同字符集的编码问题来阻止变形攻击。
3、跨站请求伪造攻击CSRF:浏览器的同源策略仅阻止了恶意站点读取第三方站点的内容,却没有防止恶意站点利用受害者向其他站点点发出请求。CSRF攻击利用受害者的浏览器发出请求,并利用受害者的cookie不需要用户名和密码也可以实现攻击。
4、应用层DDoS攻击:主要有CC攻击使用大量代理进行大量耗资源的请求,如数据库查询操作。
5、敏感信息泄露:配置文件、数据库文件泄露、文件本地和远程包含等。
6、认证和会话管理漏洞:账户凭据和绘画令牌往往没有得到适当的保护,攻击者通过该漏洞获取用户。
针对以上可能发生的漏洞,我们可以采用以下一些方式进行web安全防护:1、代码静态检测。2、黑盒测试、渗透测试:使用扫描软件或者人工测试。3、动态防护:部署WAF使用反向代理可以双向对用户输入数据做有效的检测,对输出的敏感及恶意信息可以有效阻止。
部署Web应用防火墙系统架构:防护系统主要由预处理模块、检测模块及输出过滤编码模块组成。每个模块的组成都相当于一层过滤器,来过滤掉可能发生的注入攻击。
1、预处理模块:包含SSL解密加速和编解码标准化两部分,主要对SSL加密流量进行解密和加速,同时也对各种编码进行归一化和标准化。防止由于不同编码方式或不同字符集的变形攻击绕过防御措施。
2、检测模块:第一部分是基于特殊字符的过滤器,该过滤器的主要设计思想是任何有效的注入攻击的发生,都是由于恶意输入成为查询或者命令的一部分,所以需要闭合程序中前段或者截断后续代码。通过过滤各种闭合、截断以及数据库语言的间隔符,注释符等特殊字符就可以有效防护注入漏洞。
第二部分是自定义挥着,可以采用白名单来规范用户输入,黑名单来阻止恶意输入和访问敏感信息,如数据库文件和配置文件等。
第三部分基于会话的过滤器可以有效密闭web应用自身的会话管理漏洞,基于会话的验证规则还可以有效防护应用层ddos和CSRF攻击。
3、输出过滤编码模块:基于敏感内容的过滤策略可以有效防止信息泄露,比如非法访问数据库文件和重要配置文件等。
4、日志审计模块:将系统所有的异常出错都实时记录下来,便于日后分析评估