保護(hù)數(shù)據(jù)的web應(yīng)用防火墻基礎(chǔ)常識

保護(hù)數(shù)據(jù)的web應(yīng)用防火墻基礎(chǔ)常識

　　下文是學(xué)習(xí)啦小編精心為你提供的關(guān)于保護(hù)數(shù)據(jù)的web應(yīng)用防火墻基礎(chǔ)常識，歡迎大家閱讀。

　　傳統(tǒng)防火墻用于解決網(wǎng)絡(luò)接入控制問題，可以阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)請求，而應(yīng)用防火墻通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層。應(yīng)用防火墻專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議發(fā)動的攻擊。

　　應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊。這些攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊，設(shè)法得到命令串或邏輯語句的邏輯內(nèi)容攻擊，以及以賬戶、文件或主機(jī)為主要目標(biāo)的目標(biāo)攻擊。

　　實(shí)現(xiàn)應(yīng)用防火墻有兩種方式：執(zhí)行積極行為的積極安全模型和阻止已知攻擊的消極安全模型。

　　積極安全模型通過在用戶與應(yīng)用互動時學(xué)習(xí)應(yīng)用邏輯，然后再建立有效的已知請求的安全政策來執(zhí)行積極行為，其實(shí)現(xiàn)方法如下。

　　1. 最初的策略包含有效地啟動網(wǎng)頁的清單。在創(chuàng)建會話政策之前，用戶的最初請求必須與這些啟動網(wǎng)頁相匹配。

　　2. 應(yīng)用防火墻分析下載的網(wǎng)頁請求，包括網(wǎng)頁鏈接、下拉菜單和表格域，并制定在用戶會話期間可以發(fā)出的所有可允許的請求的政策。

　　3. 在用戶請求傳送給服務(wù)器之前，驗(yàn)證請求是否有效。政策不承認(rèn)的請求被作為無效請求予以阻止。

　　4. 當(dāng)用戶會話結(jié)束時，這個會話政策被銷毀。一次新會話，就創(chuàng)建一個新政策。

　　消極安全模型依靠一個保存可能出現(xiàn)攻擊的特征的數(shù)據(jù)庫阻止識別出的攻擊，實(shí)現(xiàn)方法如下。

　　1. 利用已知的攻擊特征集合制定政策。

　　2. 不采用下行網(wǎng)頁分析來更新政策。

　　3. 識別出的攻擊予以阻止，而未知請求(好的或壞的)都被認(rèn)為是有效的并傳送給服務(wù)器進(jìn)行處理。

　　4. 所有的用戶都共享同樣的靜態(tài)政策。

　　應(yīng)用防火墻安裝在防火墻與應(yīng)用服務(wù)器之間，在ISO模型的第七層上運(yùn)行。所有的會話信息，包括上行和下行的會話信息，都要流經(jīng)應(yīng)用防火墻。下行請求經(jīng)過應(yīng)用防火墻，并且在積極模型的情況下，進(jìn)行政策的解析處理。這就要求應(yīng)用防火墻安裝在緩存服務(wù)器的前端，以保證請求的有效性。上行請求經(jīng)過只允許有效請求通過的應(yīng)用防火墻，因此避免了有害請求進(jìn)入服務(wù)器。

　　應(yīng)用防火墻知道輸入和輸出的會話請求，提供與已有應(yīng)用的聯(lián)機(jī)集成，并與Web應(yīng)用技術(shù)相兼容。應(yīng)用防火墻在威脅達(dá)到應(yīng)用之前實(shí)時處理這些威脅。應(yīng)用防火墻監(jiān)聽80和443 TCP端口，并從客戶機(jī)接收輸入的HTTP/Secure HTTP請求，然后解析這些請求，將這些請求與會話建立關(guān)系或者創(chuàng)建一次會話，然后將請求與會話的政策相匹配。如果這個請求得到承認(rèn)(即對應(yīng)的鏈接得到承認(rèn))，它就被轉(zhuǎn)發(fā)給Web服務(wù)器。如果不被承認(rèn)，請求就被拒絕。Web服務(wù)器的應(yīng)答到達(dá)應(yīng)用防火墻之后，會與請求所屬的同一個會話建立關(guān)系，進(jìn)行解析，與此同時政策更新(承認(rèn)的新鏈接)也被提取出來與會話建立關(guān)系。

　　如果這是對第一個請求的應(yīng)答，一個加密會話Cookie還被附著在這個應(yīng)答中，用于識別與客戶機(jī)以后的通信會話。應(yīng)用防火墻最后將這個應(yīng)答轉(zhuǎn)發(fā)給客戶機(jī)。