、传统防火墙能解决和不能解决的问题。防火墙以城堡的吊桥做比喻非常好;传统防火墙一般是基于端口和基于状态检测的;传统防火墙一般只能拆包到数据链路层,其他层的协议它看不了;基于状态检测通俗的例子就是TCP的三次握手和SYN Flood攻击。
第二、现在的应用更多的不遵守规范,因此不利于传统防火墙的防护。传统的应用基本上都是采用的“端口 协议”的方式,例如邮件使用的就是25端口,因此封堵了该端口就相对于封堵了该应用;现在的应用基本上都不是上述方式了,会有诸如端口跳变、使用非标准端口、在常用服务内部建立通道,广州下一代防火墙,这些方式的存在传统防火墙无法防护。
第三、现在的应用变的越来越灰,业务应用中开始融入个人及消费类元素,例如现在很多企业内部开始实施的诸如钉钉、钉盘等。在面对这些业务时,会出现如下情况:属于实现合法业务用途的应用;属于可实现合法业务用途的应用,但在特定情况下也会被用应予封堵,因为它包含恶意软件或其他类型的威胁,即便其属于合法的业务行为于未经批准的行为
第四、现在业内有几种产品形态(深度包检测、UTM、防火墙“助手”)都形似下一代防火墙,但他们存在着如下问题深度包检测是传统架构上加载软的功能模块,基本上是一个厂家的产品,所以在功能上有前后的逻辑包解包关系,但毕竟只是在老的架构上的修补UTM主要是一个硬件盒子,在其板块上松散的集成多个厂家的产品,性能不足
第五、下一代防火墙的优势应用识别、身份识别、内容识别;架构优势(数据平面、控制平面分离;一次解包多个引擎同时分析,传统安全设备需要将包拆解后,合法的包传递到下一环节,h3c 下一代防火墙,下一环节的设备还要进行再次拆包)
第六、下一代防火墙,核心的理念识别应用,而不是端口;识别用户,而不是IP地址;识别内容,而不是数据包
一、什么是Waf?
Waf的全拼为:Web Application Firewall,下一代防火墙 报价,顾名思义waf是一款针对web端的防火墙产品。目前基于web端的业务往来越来越多,大部分数据和工作信息都转移到了web端,这就导致会将web端成为了攻击的主要目标,所以对于web的安全防护就变得非常重要了。而waf则是web防护的道防线,waf在web的安全防护上起着重要的作用。
二、Waf形态分类
目前市场上一共分为3种类型的waf
①云waf
②软件waf
③硬件waf
硬件waf一般需要需要安装硬件防护,将waf串行在web服务器前端,用户阻断、检测异常流量。常规硬件Waf的实现方式是通过代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。
软件Waf则是安装在需要防护的服务器上,实现方式通常是Waf端口或以Web容器扩展方式进行请求检测和阻断。
云Waf是近年来随着云计算的推动衍生出来的新产品,云WAF,也称WEB应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用DNS技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器。
三、优缺点总结
不同形态的waf产品适用于不同的用户,并且不同形态的waf产品优缺点也不同。
近年来,一些业界人士断言绝大部分的互联网架构将完全迁移到云端。当企业迁移到公有云时,他们只需要云安全防护即可;那么一旦如此,诸如防火墙之类的传统网络安全手段就会逐渐消亡。
不过,那一天似乎还远远没有到来。那么原因是什么呢?那又代表了如今的企业网络管理该如何做得更安全有效呢?
对消亡的不准确预期
我们可以先回想一下,之前为什么会认为以防火墙为代表的传统安全解决方案会逐渐在企业的安全架构中消失——答案是远程访问与移动设备的使用。
随着对数据和信息的远程接入逐渐落地,一些安全厂商开始推动一种新的理念——提前部署的防火墙将变得多余。在实现层面,防火墙在发生改进,逐渐契合等远程接入技术。然而,几年过去了,如今防火墙依然是企业的标配,但却没有——他们反而成为了防火墙的能力之一。
同样的事情也发生在IPS市场上。由于对流量进行进一步安全过滤的需求逐渐增多,IPS一度被认为将威胁到防火墙的地位——直到防火墙厂商开始将IPS功能内置在了防火墙中;类似的情况还有安全沙箱检测、恶意软件识别与防御等。这些功能终都成为了防火墙的一部分,或者成为防火墙厂商提供的服务之一。
版权所有©2024 产品网
