在现在, 部署不只一层的防火墙, 入侵检测系统 (IDS) 和入侵防御系统 (IPS) , 针对于现在的Web网页, 已经不完全适用了, 因为现在的Web网页已经不只是传统的网页, 还有很多是Web应用, 因此传统的防火墙对于这种新型的网页来说, 作用还是很有限。之前的很多防火墙都是在网络层工作, 通过过滤网络层的数据来实现对访问进行控制;还会用状态防火墙来防止网络被不明来源的网络非法接入。这些处理都是在网络的层面上来完成的, 而有些特别的网页, 例如Web应用的网页的可能会被受到攻击的特征在这种层面上是没办法被检查出来的。IDS和IPS都是通过使用深包检测技术来检查应用层中的流量, 来和特征库进行相应的匹配, 通过这种方式来识别出网络攻击来达到对攻击的防护。但是对于未知的攻击, 这种方法并不能很好地达到防护的效果。而适用于包括网页应用在内的Web应用防火墙的出现就很好地解决了这个难题, 这种防火墙是通过执行内部的请求来对应用层进行处理, 这样就能够对所有相关的资源和信息进行防护, 来防止来自网络上的攻击。
(1) Web应用防火墙的特点
在正常的情况下, 一个网页在开发的时候就应该对安全问题多加注意, 在开始阶段就开始着眼于安全策略的讨论。但是多数网站由于不同原因, 都会普遍存在不同程度上的安全问题。对于这些已经上线了的网站而言, 既没有通用的补丁可以使用, 仔细修改其中的代码又太过耗费人力物力, 这样就不能很好地解决一个网站的安全问题。
在这种情况下, 比较好的选择就是选用一个专业的、适用于自己网站的Web安全防护工具。对于传统的安全设备来说, 并不能适用于现在很多新型的网页, 如Web应用网页, 因此就要采用专用的机制来进行防护, 就是Web应用防火墙。
Web应用防火墙有四个最显著的特点, 分别是对HTTP理解非常深刻、能够提供应用层规则、能够提供正向的安全模型和能够提供会话的防护机制, 这几个不同于传统防火墙的特点都可以更好地帮助网站防护来自黑客的攻击。
(2) Web应用防火墙的网络架构
Web应用防火墙采用的模式就是双臂代理模式, 这也是可以采用的最佳模式。这个模式可以提供最好的安全性能和最高的安全系数。在这个模式中, 将会开启所有有关的数据接口, 端口1面向互联网, 端口2则面向内部设备。这样就可以将管理所用的流量和实际所用的流量很好地分离开来, 避免冲突,
(3) 网络实现过程
因为在这个模式中, 前端的端口和后端的端口分别在不同的IP上, 因此客户在访问网站之前将会和网站的虚拟IP进行对接, 这个IP就会和前端的端口绑定起来。
在绑定之后, 连接将会终止, 这时候就开始检查安全的问题和过滤任何有危险的信息。
在此之后就会把新的连接建立, 连接到负载均衡的设备上, 这样设备就再开始负载流量。
最后双臂代理模式就可以把所有的安全功能都开启。