Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高,Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐,网传的Web漏洞挖掘和攻击工具让攻击的门槛降低,也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序,还有SQL批量注入和挂马等。但对于重要的Web应用(比如运营商或***),始终有受利益驱动的进行持续的跟踪。
如果说传统的“大而全”安全防护产品能抵御大多数由工具产生的攻击行为,那么对于有针对性的攻击行为则力不从心。而WAF正是应需求而生的一款***安全产品,这也是市场需求细化的必然趋势。但由于其部署和功能方面与IPS有类似,有人提出疑问,防火墙设备报价,为什么不能用IPS,或者说WAF与IPS有什么异同?谁更适合保护Web服务器?
这些疑问其实是有道理的,差异化的产生在于需求是不同的,从而需要细化功能贴合具体需求和符合应用现状的产品,下一代防火墙设备,这也是用户需求是随着业务自身的发展所决定的。
和保安
为了更好的理解两款产品差异性,我们先用这个(WAF)和保安(IPS)比喻来描述。
大楼保安需要对所有进出大楼人员进行检查,湛江防火墙设备,一旦发现人员则禁止他入内,但如果混进“貌似忠良”的坏人去撬***柜等***行为,大楼保安是无能为力的。
则是指别、更“贴身”的保护。他通常只保护特定的人员,所以事先需要理解被保护人的身份、习惯、喜好、作息、弱点等,因为被保护人的工作是需要去面对不同的人,去不同的场合,的职责不能因为***就阻止、改变他的行为,只能去预见可能的风险,然后量身定做合适的保护方案。
这两种角色的区别在于保安保护的是整个大楼,他不需要也无法知道谁是需要保护的人,则是明确了被保护对象名单,需要深刻理解被保护人的个性特点。
一、划分网络的边界
防火墙设备的其中一个功能,就是划分网络的边界,严格地将网络分为“外网”和“内网”。
“外网”则是防火墙认为的——不安全的网络,不受信任的网络;“内网”则是防火墙认为的——安全的网络,受信任的网络。
二、加固网络的安全
防火墙的其中一个功能,就是网络流量流向的问题(内到外可以访问,外到内默认不能访问),这就从一定程度上加强了网络的安全性,那就是:“内网属于私有环境,外人非请莫入!”
另外,防火墙还能从另外一些方面来加固内部网络的安全:
1:隐藏内部的网络拓扑
这种情况用于互联网防火墙。因为内网一般都会使用私有IP地址,而互联网是Internet的IP地址。
由于在IPv4环境下IP地址不足,内部使用大量的私有地址,转换到外部少量的Internet地址,思科防火墙设备,这样的话,外部网络就不会了解到内部网络的路由,也就没法了解到内部网络的拓扑了。
同时,防火墙上还会使用NAT技术,将内部的服务器映射到外部,所以从外部访问服务器的时候只能了解到映射后的外部地址,根本不会了解到映射前的内部地址。
下面我们将结合Tunnel接口介绍一下防火墙对GRE流量的转发过程
1. 企业的私si网流量到达防火墙的入接口,防火墙查询路由表对此流量进行转发。
2. 防火墙根据路由查找结果,将此流量引导到Tunnel接口进行GRE封装。
3. 封装后的GRE报文再次查找路由进行流量转发。
4. 防火墙根据路由查找结果,找到出接口,并将流量发送到Internet。
这就是防火墙对私si网流量进行GRE封装和转发的全过程,很简单吧。有些小伙伴肯定在想了,这里只介绍了封装过程,那隧道对端是如何解封装的?
其实解封装也很简单。首先隧道对端在接收到报文以后,先根据该报文目的地址判断是不是发给自己的,在
明确报文是发给自己以后,再去判断这个报文是不是GRE报文。怎么判断呢?在封装原理那幅图中我们可以看
到封装后的GRE报文会有个新的IP头,这个新的IP头中有个Protocol字段,字段中标识了内层协议类型,如果这
个Protocol字段值是47,就表示这个报文是GRE报文。
版权所有©2025 产品网
