保護數據的web應用防火墻基礎常識

　　下文是學習啦小編精心為你提供的關于保護數據的web應用防火墻基礎常識，歡迎大家閱讀。

　　傳統(tǒng)防火墻用于解決網絡接入控制問題，可以阻止未經授權的網絡請求，而應用防火墻通過執(zhí)行應用會話內部的請求來處理應用層。應用防火墻專門保護Web應用通信流和所有相關的應用資源免受利用Web協(xié)議發(fā)動的攻擊。

　　應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊。這些攻擊包括利用特殊字符或通配符修改數據的數據攻擊，設法得到命令串或邏輯語句的邏輯內容攻擊，以及以賬戶、文件或主機為主要目標的目標攻擊。

　　實現應用防火墻有兩種方式：執(zhí)行積極行為的積極安全模型和阻止已知攻擊的消極安全模型。

　　積極安全模型通過在用戶與應用互動時學習應用邏輯，然后再建立有效的已知請求的安全政策來執(zhí)行積極行為，其實現方法如下。

　　1. 最初的策略包含有效地啟動網頁的清單。在創(chuàng)建會話政策之前，用戶的最初請求必須與這些啟動網頁相匹配。

　　2. 應用防火墻分析下載的網頁請求，包括網頁鏈接、下拉菜單和表格域，并制定在用戶會話期間可以發(fā)出的所有可允許的請求的政策。

　　3. 在用戶請求傳送給服務器之前，驗證請求是否有效。政策不承認的請求被作為無效請求予以阻止。

　　4. 當用戶會話結束時，這個會話政策被銷毀。一次新會話，就創(chuàng)建一個新政策。

　　消極安全模型依靠一個保存可能出現攻擊的特征的數據庫阻止識別出的攻擊，實現方法如下。

　　1. 利用已知的攻擊特征集合制定政策。

　　2. 不采用下行網頁分析來更新政策。

　　3. 識別出的攻擊予以阻止，而未知請求(好的或壞的)都被認為是有效的并傳送給服務器進行處理。

　　4. 所有的用戶都共享同樣的靜態(tài)政策。

　　應用防火墻安裝在防火墻與應用服務器之間，在ISO模型的第七層上運行。所有的會話信息，包括上行和下行的會話信息，都要流經應用防火墻。下行請求經過應用防火墻，并且在積極模型的情況下，進行政策的解析處理。這就要求應用防火墻安裝在緩存服務器的前端，以保證請求的有效性。上行請求經過只允許有效請求通過的應用防火墻，因此避免了有害請求進入服務器。

　　應用防火墻知道輸入和輸出的會話請求，提供與已有應用的聯機集成，并與Web應用技術相兼容。應用防火墻在威脅達到應用之前實時處理這些威脅。應用防火墻監(jiān)聽80和443 TCP端口，并從客戶機接收輸入的HTTP/Secure HTTP請求，然后解析這些請求，將這些請求與會話建立關系或者創(chuàng)建一次會話，然后將請求與會話的政策相匹配。如果這個請求得到承認(即對應的鏈接得到承認)，它就被轉發(fā)給Web服務器。如果不被承認，請求就被拒絕。Web服務器的應答到達應用防火墻之后，會與請求所屬的同一個會話建立關系，進行解析，與此同時政策更新(承認的新鏈接)也被提取出來與會話建立關系。

　　如果這是對第一個請求的應答，一個加密會話Cookie還被附著在這個應答中，用于識別與客戶機以后的通信會話。應用防火墻最后將這個應答轉發(fā)給客戶機。