Waf (Web Applicatoin Firewall )
web应用防护系统,为web做防护,是安全防护中的第一道防线。
分类:目前主流的waf大约为三种:
硬件web防火墙(用于前端,多部署在服务器中)
web防护软件(目前流行的如安全狗)
云waf(新产品,不需要用户部署和操作,云端上可以完成)
由于硬件web防火墙价格昂贵,而云waf又涉及到新技术,所以重点去学习了web防护软件,可以自己做测试,也适合部分中小型企业。
国内的waf软件大部分都使用的安全狗(网站有免费版),根据网站部署下载后简单配置就可以使用了。
使用安全狗除了实现对web防护之外,还可以记录数据,扫描恶意木马文件等等功能十分丰富。
安全狗的防护层面是web应用层。
防护的种类分为:漏洞、文件(防下载敏感文件、文件数据的安全性)、流量(防cd ddos 攻击、 防止万能扫描 awvs等)。
安全狗防止sql注入漏洞的规则是关键字拦截、提交行为拦截。
安全狗也有自己的匹配规则。
所以安全狗可以有很多的绕过方式,比如sql语句替换,简单的比如and可以替换为like...等等。
纵使特别安全的waf也会存在可被绕过的风险。
所以在安全防护体系中,waf作为安全前线的第一道重要的防护线,只是起到了很大的防护作用,并不是绝对安全的防护,还需要体系中每一个流程都做好相应的工作。