在復(fù)雜的網(wǎng)絡(luò)攻擊和數(shù)字創(chuàng)新的現(xiàn)代時代,企業(yè)了解他們面臨的威脅以及他們的安全防御措施保護(hù)他們免受什么威脅是至關(guān)重要的。防火墻尤其如此,因?yàn)?Web 應(yīng)用程序防火墻和網(wǎng)絡(luò)防火墻保護(hù)組織免受不同類型的攻擊。因此,重要的是要了解網(wǎng)絡(luò)防火墻與應(yīng)用程序防火墻的不同之處,以及如何防止 Web 攻擊和更廣泛的網(wǎng)絡(luò)攻擊。
傳統(tǒng)上,企業(yè)使用網(wǎng)絡(luò)防火墻保護(hù)他們的數(shù)據(jù)和用戶,缺乏靈活性和透明度來抵御現(xiàn)代安全威脅。但是自帶設(shè)備 (BYOD)、公共云和軟件即服務(wù) (SaaS) 解決方案的增長意味著他們需要 在其安全策略中添加 Web 應(yīng)用程序防火墻 (WAF)。這增加了對 Web 應(yīng)用程序攻擊的保護(hù),這些 Web 應(yīng)用程序存儲在遠(yuǎn)程服務(wù)器上,通過瀏覽器界面在 Internet 上傳遞,并且對黑客具有吸引力的目標(biāo)。
了解應(yīng)用程序級防火墻和網(wǎng)絡(luò)級防火墻之間的區(qū)別
WAF 通過針對超文本傳輸??協(xié)議 (HTTP) 流量來保護(hù) Web 應(yīng)用程序。這與標(biāo)準(zhǔn)防火墻不同,標(biāo)準(zhǔn)防火墻在外部和內(nèi)部網(wǎng)絡(luò)流量之間提供了屏障。
WAF 位于外部用戶和 Web 應(yīng)用程序之間,用于分析所有 HTTP 通信。然后,它會在惡意請求到達(dá)用戶或 Web 應(yīng)用程序之前檢測并阻止它們。因此,WAF 可以保護(hù)關(guān)鍵業(yè)務(wù) Web 應(yīng)用程序和 Web 服務(wù)器免受零日威脅和其他應(yīng)用程序?qū)庸簟kS著企業(yè)擴(kuò)展到新的數(shù)字計(jì)劃,這變得越來越重要,這可能會使新的 Web 應(yīng)用程序和應(yīng)用程序編程接口 (API) 容易受到攻擊。詳細(xì)了解什么是 WAF?
網(wǎng)絡(luò)防火墻保護(hù)安全的局域網(wǎng)免受未經(jīng)授權(quán)的訪問,以防止攻擊風(fēng)險。其主要目標(biāo)是將安全區(qū)域與不太安全的區(qū)域分開并控制兩者之間的通信。沒有它,任何具有公共 Internet 協(xié)議 (IP) 地址的計(jì)算機(jī)都可以在網(wǎng)絡(luò)外部訪問,并可能面臨受到攻擊的風(fēng)險。
應(yīng)用程序流量與網(wǎng)絡(luò)流量
傳統(tǒng)的網(wǎng)絡(luò)防火墻可以減輕或防止對私有網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問。防火墻策略定義允許進(jìn)入網(wǎng)絡(luò)的流量,并阻止任何其他訪問嘗試。這有助于防止未經(jīng)授權(quán)的用戶以及來自不太安全區(qū)域中的用戶或設(shè)備的攻擊的網(wǎng)絡(luò)流量示例。
WAF 專門針對應(yīng)用程序流量。它可以保護(hù)網(wǎng)絡(luò)中面向 Internet 的區(qū)域中的 HTTP 和安全超文本傳輸??協(xié)議 (HTTPS) 流量和應(yīng)用程序。這可以保護(hù)企業(yè)免受跨站點(diǎn)腳本 (XSS) 攻擊、分布式拒絕服務(wù) (DDoS) 攻擊和 SQL 注入攻擊等威脅。
第 7 層與第 3 層和第 4 層的保護(hù)
應(yīng)用級防火墻和網(wǎng)絡(luò)級防火墻之間的關(guān)鍵技術(shù)區(qū)別在于它們運(yùn)行的??安全層。這些由開放系統(tǒng)互連 (OSI) 模型定義,該模型表征和標(biāo)準(zhǔn)化電信和計(jì)算系統(tǒng)中的通信功能。
WAF 在 OSI 模型第 7 層(即應(yīng)用程序級別)保護(hù)攻擊。這包括針對 Ajax、ActiveX 和 JavaScript 等應(yīng)用程序的攻擊,以及 cookie 操作、SQL 注入和 URL 攻擊。它們還針對用于連接 Web 瀏覽器和 Web 服務(wù)器的 Web 應(yīng)用程序協(xié)議 HTTP 和 HTTPS。
例如,第 7 層 DDoS 攻擊將大量流量發(fā)送到服務(wù)器層,在該服務(wù)器層生成和交付網(wǎng)頁以響應(yīng) HTTP 請求。WAF 通過充當(dāng)反向代理來緩解這種情況,保護(hù)目標(biāo)服務(wù)器免受惡意流量的侵害并過濾請求以識別 DDoS 工具的使用。
網(wǎng)絡(luò)防火墻在 OSI 模型第 3 層和第 4 層運(yùn)行,可保護(hù)數(shù)據(jù)傳輸和網(wǎng)絡(luò)流量。這包括針對域名系統(tǒng) (DNS) 和文件傳輸協(xié)議 (FTP) 以及簡單郵件傳輸協(xié)議 (SMTP)、安全外殼 (SSH) 和 Telnet 的攻擊。
Web 攻擊與未經(jīng)授權(quán)的訪問
WAF 解決方案保護(hù)企業(yè)免受針對應(yīng)用程序的基于 Web 的攻擊。如果沒有應(yīng)用程序防火墻,黑客可以通過 Web 應(yīng)用程序漏洞滲透到更廣泛的網(wǎng)絡(luò)。WAF 保護(hù)企業(yè)免受常見的 Web 攻擊,例如:
- 直接拒絕服務(wù):試圖通過大量互聯(lián)網(wǎng)流量來破壞網(wǎng)絡(luò)、服務(wù)或服務(wù)器。它旨在耗盡其目標(biāo)的資源,并且可能難以防御,因?yàn)榱髁坎⒉豢偸敲黠@惡意的。
- SQL 注入:一種注入攻擊,使黑客能夠執(zhí)行惡意 SQL 語句,從而控制 Web 應(yīng)用程序背后的數(shù)據(jù)庫服務(wù)器。這使得攻擊者可以繞過網(wǎng)頁認(rèn)證和授權(quán),獲取 SQL 數(shù)據(jù)庫的內(nèi)容,然后添加、修改和刪除其記錄。網(wǎng)絡(luò)犯罪分子可以使用 SQL 注入來訪問客戶信息、個人數(shù)據(jù)和知識產(chǎn)權(quán)。 在 2017 年OWASP 前 10 名中,它被列為 Web 應(yīng)用程序安全的第一大威脅 。
- 跨站點(diǎn)腳本:一種網(wǎng)絡(luò)安全漏洞,使攻擊者能夠破壞用戶與應(yīng)用程序的交互。它使攻擊者能夠繞過隔離不同網(wǎng)站的同源策略。結(jié)果,攻擊者可以偽裝成真正的用戶并訪問他們有權(quán)訪問的數(shù)據(jù)和資源。
網(wǎng)絡(luò)防火墻可防止未經(jīng)授權(quán)的訪問和進(jìn)出網(wǎng)絡(luò)的流量。它們可以防止針對連接到 Internet 的設(shè)備和系統(tǒng)的網(wǎng)絡(luò)范圍內(nèi)的攻擊。常用網(wǎng)絡(luò)攻擊的示例包括:
- 未經(jīng)授權(quán)的訪問:攻擊者未經(jīng)許可訪問網(wǎng)絡(luò)。這通常是通過憑據(jù)盜竊和由于人們使用弱密碼、社會工程和內(nèi)部威脅而導(dǎo)致的帳戶受損來實(shí)現(xiàn)的。
- 中間人 (MITM) 攻擊:攻擊者攔截網(wǎng)絡(luò)與外部站點(diǎn)之間或網(wǎng)絡(luò)本身內(nèi)部的流量。這通常是由于不安全的通信協(xié)議使攻擊者能夠竊取傳輸中的數(shù)據(jù),然后獲取用戶憑據(jù)并劫持用戶帳戶。
- 權(quán)限提升:攻擊者獲得對網(wǎng)絡(luò)的訪問權(quán)限,然后使用權(quán)限提升將其范圍擴(kuò)大到更深的系統(tǒng)。他們可以水平地這樣做,從而獲得對相鄰系統(tǒng)的訪問權(quán)限,或者通過在同一系統(tǒng)中獲得更高的特權(quán)而垂直地這樣做。
選擇應(yīng)用程序或網(wǎng)絡(luò)防火墻
標(biāo)準(zhǔn)網(wǎng)絡(luò)防火墻和 WAF 可防御不同類型的威脅,因此選擇正確的威脅至關(guān)重要。單獨(dú)的網(wǎng)絡(luò)防火墻無法保護(hù)企業(yè)免受網(wǎng)頁攻擊,而網(wǎng)頁攻擊只能通過 WAF 功能來預(yù)防。因此,如果沒有應(yīng)用程序防火墻,企業(yè)可能會讓其更廣泛的網(wǎng)絡(luò)開放,從而通過 Web 應(yīng)用程序漏洞進(jìn)行攻擊。但是,WAF 無法抵御網(wǎng)絡(luò)層的攻擊,因此應(yīng)該補(bǔ)充而不是取代網(wǎng)絡(luò)防火墻。
基于 Web 的解決方案和網(wǎng)絡(luò)解決方案都在不同的層工作,并防止不同類型的流量。因此,它們不是相互競爭,而是相互補(bǔ)充。網(wǎng)絡(luò)防火墻通常保護(hù)更廣泛的流量類型,而 WAF 處理傳統(tǒng)方法無法覆蓋的特定威脅。因此,建議同時使用這兩種解決方案,尤其是當(dāng)企業(yè)的操作系統(tǒng)與 Web 密切合作時。
挑戰(zhàn)不是選擇其中一個,而是選擇最適合業(yè)務(wù)需求的正確 WAF 系統(tǒng)。WAF 應(yīng)具有硬件加速器、監(jiān)控流量并阻止惡意嘗試、高度可用且可擴(kuò)展以隨著業(yè)務(wù)增長保持性能。
