80电影天堂网,欢乐斗地主经典老版,精品人妻无码一区二区三区三级,中国xxxxxl19免费视频

　　Web防火墻，主要是對Web特有入侵方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。由于是應用層而非網絡層的入侵，從技術 角度都應該稱為Web IPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因為大家比較好理解，業界流行的稱呼而已。由于重點是防SQL注入，也有人稱為SQL防火墻。

　　Web防火墻產品部署在Web服務器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務，所以HA功能、Bypass功能都是必須的，而且還要與負載均衡、Web Cache等Web服務器前的常見的產品協調部署。
　　
　　Web應用防火墻 (WAF) 代表了一種新的信息安全技術，用于保護Web站點（或者說Web應用程序），使其在受攻擊的情況下表現出更強的抵抗力。 在抵御Web攻擊方面，WAF 提供了防火墻和IDS等常規信息安全產品所不具備的能力。WAF不需要修改Web應用程序的源代碼。隨著目前針對Web應用的攻擊手段越來越復雜化，為WAF制定一個規范的評價標準顯得重要起來，有了這個標準，我們就可以去準確地比較和評價WAF產品。Web防火墻的主要技術的對入侵的檢測能力，尤其是對Web服務入侵的檢測，不同的廠家技術差別很大，不能以廠家特征庫大小來衡量，主要的還是看測試效果，從廠家技術特點來說，有下面幾種方式：
　　
　　1、代理服務
　　
　　代理方式本身就是一種安全網關，基于會話的雙向代理，中斷了用戶與服務器的直接連接，適用于各種加密協議，這也是Web的Cache應 用中最常用的技術。代理方式防止了入侵者的直接進入，對DDOS攻擊可以抑制，對非預料的“特別”行為也有所抑制。Netcontinuum(梭子魚)公 司的WAF就是這種技術的代表。
　　
　　2、特征識別
　　
　　識別出入侵者是防護他的前提。特征就是攻擊者的“指紋”，如緩沖區溢出時的Shellcode，SQL注入中常見的“真表達 (1=1)”…應用信息沒有“標準”，但每個軟件、行為都有自己的特有屬性，病毒與蠕蟲的識別就采用此方式，麻煩的就是每種攻擊都自己的特征，數量比較龐 大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特征指數型地增長，安全界聲言要淘汰此項技術，但目前應用層的識別還沒有特別好的方式。
　　
　　3、算法識別
　　
　　特征識別有缺點，人們在尋求新的方式。對攻擊類型進行歸類，相同類的特征進行模式化，不再是單個特征的比較，算法識別有些類似模式識 別，但對攻擊方式依賴性很強，如SQL注入、DDOS、XSS等都開發了相應的識別算法。算法識別是進行語義理解，而不是靠“長相”識別。
　　
　　4、模式匹配
　　
　　是IDS中“古老”的技術，把攻擊行為歸納成一定模式，匹配后能確定是入侵行為，當然模式的定義有很深的學問，各廠家都隱秘為“專利”。協議模式是其中簡單的，是按標準協議的規程來定義模式;行為模式就復雜一些。
　　
　　Web防火墻最大的挑戰是識別率，這并不是一個容易測量的指標，因為漏網進去的入侵者，并非都大肆張揚，比如給網頁掛馬，你很難察覺進來的是那一個，不知道當然也無法統計。對于已知的攻擊方式，可以談識別率;對未知的攻擊方式，你也只好等他自己“跳”出來才知道。