WAF 的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗,并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的 Web应用防火墙 系统(简称“WAF”)。
WAF是通过检测应用层的数据来进行访问控制或者对应用进行控制,而传统防火墙对三、四层数据进行过滤,从而进行访问控制,不对应用层数据进行分析。
防火墙、IDS和IPS之间有什么区别?
现在市场上的主流网络安全产品可以分为以下几个大类:
基础防火墙类:主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。解决传统防火墙只能工作在4层以下的问题。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
IDS类(入侵检测系统(IDS:Intrusion Detection Systems)):此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。
IPS类(入侵防御系统(IPS:Intrusion Prevention System)):解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
主动安全类,和前面的产品均不同,主动安全产品的特点是协议针对性非常强:
WAF就是专门负责HTTP协议的安全处理,能够在应用层对攻击进行有限抵抗。