标签：Web 应用程序 第3页

在复杂的网络攻击和数字创新的现代时代，企业了解他们面临的威胁以及他们的安全防御措施保护他们免受什么威胁是至关重要的。防火墙尤其如此，因为 Web 应用程序防火墙和网络防火墙保护组织免受不同类型的攻击。因此，重要的是要了解网络防火墙与应用程序防火墙的不同之处，以及如何防止 Web 攻击和更广泛的网络攻击。,,传统上，企业使用网络防火墙保护他们的数据和用户，缺乏灵活性和透明度来抵御现代安全威胁。但是自带设备 (BYOD)、公共云和软件即服务 (SaaS) 解决方案的增长意味着他们需要 在其安全策略中添加 Web 应用程序防火墙 (WAF)。这增加了对 Web 应用程序攻击的保护，这些 Web 应用程序存储在远程服务器上，通过浏览器界面在 Internet 上传递，并且对黑客具有吸引力的目标。, 了解应用程序级防火墙和网络级防火墙之间的区别,WAF 通过针对超文本传输​​协议 (HTTP) 流量来保护 Web 应用程序。这与标准防火墙不同，标准防火墙在外部和内部网络流量之间提供了屏障。,WAF 位于外部用户和 Web 应用程序之间，用于分析所有 HTTP 通信。然后，它会在恶意请求到达用户或 Web 应用程序之前检测并阻止它们。因此，WAF 可以保护关键业务 Web 应用程序和 Web 服务器免受零日威胁和其他应用程序层攻击。随着企业扩展到新的数字计划，这变得越来越重要，这可能会使新的 Web 应用程序和应用程序编程接口 (API) 容易受到攻击。详细了解什么是 WAF？,网络防火墙保护安全的局域网免受未经授权的访问，以防止攻击风险。其主要目标是将安全区域与不太安全的区域分开并控制两者之间的通信。没有它，任何具有公共 Internet 协议 (IP) 地址的计算机都可以在网络外部访问，并可能面临受到攻击的风险。,, 应用程序流量与网络流量,传统的网络防火墙可以减轻或防止对私有网络的未经授权的访问。防火墙策略定义允许进入网络的流量，并阻止任何其他访问尝试。这有助于防止未经授权的用户以及来自不太安全区域中的用户或设备的攻击的网络流量示例。,WAF 专门针对应用程序流量。它可以保护网络中面向 Internet 的区域中的 HTTP 和安全超文本传输​​协议 (HTTPS) 流量和应用程序。这可以保护企业免受跨站点脚本 (XSS) 攻击、分布式拒绝服务 (DDoS) 攻击和 SQL 注入攻击等威胁。, 第 7 层与第 3 层和第 4 层的保护,应用级防火墙和网络级防火墙之间的关键技术区别在于它们运行的​​安全层。这些由开放系统互连 (OSI) 模型定义，该模型表征和标准化电信和计算系统中的通信功能。,WAF 在 OSI 模型第 7 层（即应用程序级别）保护攻击。这包括针对 Ajax、ActiveX 和 JavaScript 等应用程序的攻击，以及 cookie 操作、SQL 注入和 URL 攻击。它们还针对用于连接 Web 浏览器和 Web 服务器的 Web 应用程序协议 HTTP 和 HTTPS。,例如，第 7 层 DDoS 攻击将大量流量发送到服务器层，在该服务器层生成和交付网页以响应 HTTP 请求。WAF 通过充当反向代理来缓解这种情况，保护目标服务器免受恶意流量的侵害并过滤请求以识别 DDoS 工具的使用。,网络防火墙在 OSI 模型第 3 层和第 4 层运行，可保护数据传输和网络流量。这包括针对域名系统 (DNS) 和文件传输协议 (FTP) 以及简单邮件传输协议 (SMTP)、安全外壳 (SSH) 和 Telnet 的攻击。,, Web 攻击与未经授权的访问,WAF 解决方案保护企业免受针对应用程序的基于 Web 的攻击。如果没有应用程序防火墙，黑客可以通过...

在数字时代，网站、社交媒体、电子商务、内容流媒体平台和超个性化网络体验呈爆炸式增长。因此，无论终端用户的位置、网络、设备或浏览器如何，都需要可靠地实时向最终用户提供大量生成的内容，而不会出现延迟或崩溃。为此，使用了CDN和网络加速器。CDN 和 Web 加速器是否相同，对吗？并不真地。尽管它们能够加速网站并确保更快的内容交付，但 CDN 和 Web 加速器之间存在一些关键差异。在本文中，我们将了解 Web 加速器是什么以及它们与 CDN 有何不同。,, 什么是网络加速器？,Web 加速器是代理服务器，可确保更快地访问网站/Web 应用程序、提高网站性能以及优化和保护 Web 流量。这些不是网络；它们通常是安装在 PC、笔记本电脑、ISP 和移动设备上的硬件、可安装、独立的软件或云解决方案。Web 应用程序加速器提供客户端和服务器端优化，以帮助控制页面加载和访问时间，并减少整体延迟以提供无缝的用户体验。,客户端是应用程序的前端或顶层，直接处理客户端请求，例如内容请求、文件请求等。客户端优化处理优化客户端请求。这些包括：,服务器端是网站/网络应用程序的后端。服务器端优化可提高服务器性能、卸载 Web 服务器、减少生成网页所需的时间等。其中包括：,Web 应用程序加速器不仅可以提高网站性能，还可以为 Web 应用程序增加一层额外的安全性。它过滤掉网站的不良方面，例如广告。这些安全的 Web 加速器通过缓存内容来限制用户对源 Web 服务器的访问，从而防止格式错误的请求到达服务器。即使原始服务器不可用，缓存也有助于确保网站可以向用户提供内容。您可以通过自定义缓存策略强制执行速率限制和地理限制，以防止 DoS 和DDoS 攻击。,, Web 加速器的好处, 什么是 CDN？,CDN 或内容交付网络是一个智能的、地理分散的代理服务器和数据中心网络，可加速内容交付并提高网站性能。它被认为是现代互联网生态系统的支柱。CDN 的目的是确保向最终用户安全、可靠、高效和快速地交付内容。, CDN 是如何工作的？,CDN 在靠近用户物理位置的缓存服务器中缓存所有 Web 内容，包括图像、视频、页面等。当用户请求页面或内容时，最近的缓存服务器而不是原始服务器来满足请求。因此，冗余被内置到基础设施中，即使出现雷鸣般的激增或突然的流量高峰，内容也能快速可靠地提供。,所有这些都不会耗尽服务器资源或购买更多带宽。即使当用户请求未缓存的内容时，内容也会被缓存然后提供给用户。降低了 DDoS 攻击和服务器停机时间的风险。,当 WAF 放置在网络边缘结合 CDN 时，所有请求在到达服务器之前都会被解析，过滤掉恶意请求。智能 WAF 还可以防止各种已知和新出现的威胁。使用 CDN，网站性能和网站安全性不会相互影响。,尽管第一代 CDN 只能缓存和提供静态内容，但当前一代 CDN 可以为最终用户提供静态和动态内容。CDN 利用一系列技术来确保以闪电般的速度向用户提供动态内容，而不会影响安全性。,, CDN 和 Web 加速器：主要区别,CDN 和 Web 加速器的主要区别在于后者是一种技术。它们本身不是网络。它们是安装在系统、设备或 ISP 上的单一代理服务器。但是 CDN 是大型的、地理上分散的网络。,尽管从概念上讲，Web 应用程序加速器可以作为独立安装使用，但实际上，这项技术并没有一个真正的实现。它通常与商业或本土 CDN 结合使用。每个 CDN 服务器都被认为是一个网站加速器，而 CDN 被认为是一个网络加速器森林。, 底线,CDN 和 Web 加速器一起使用可确保动态站点加速、闪电般快速的内容交付，并在不影响安全性的情况下提升网站性能。, ,在数字时代，网站、社交媒体、电子商务、内容流媒体平台和超个性化网络体验呈爆炸式增长。因此，无论终端用户的位置、网络、设备或浏览器如何，都需要可靠地实时向最终用户提供大量生成的内容，而不会出现延迟或崩溃。为此，使用了CDN和网络加速器。CDN 和 Web 加速器是否相同，对吗？并不真地。尽管它们能够加速网站并确保更快的内容交付，但 CDN 和 Web 加速器之间存在一些关键差异。在本文中，我们将了解 Web 加速器是什么以及它们与 CDN 有何不同。,服务器端是网站/网络应用程序的后端。服务器端优化可提高服务器性能、卸载 Web 服务器、减少生成网页所需的时间等。其中包括：,

传输层安全性（Transport Layer Security，TLS）是一种广泛采用的安全性协议，旨在促进互联网通信的私密性和数据安全性。TLS 的主要用例是对 web 应用程序和服务器之间的通信（例如，web 浏览器加载网站）进行加密。TLS 还可以用于加密其他通信，如电子邮件、消息传递和 IP 语音（VOIP）等。在本文中，我们将重点介绍 TLS 在 web 应用程序安全中发挥的作用。,TLS 由互联网工程任务组（Internet Engineering Task Force, IETF）提出，协议的第一个版本于 1999 年发布。最新版本是 TLS 1.3，发布于 2018 年。,,TLS 和 SSL 之间有什么区别？,Netscape 开发了名为安全套接字层（Secure Socket Layer，SSL）的上一代加密协议，TLS 由此演变而来。TLS 1.0 版实际上最初作为 SSL 3.1 版开发，但在发布前更改了名称，以表明它不再与 Netscape 关联。由于这个历史原因，TLS 和 SSL 这两个术语有时会互换使用。,TLS 和 HTTPS 有什么区别？,HTTPS 是在 HTTP 协议基础上实施 TLS 加密，所有网站以及其他部分 web 服务都使用该协议。因此，任何使用 HTTPS 的网站都使用 TLS 加密。,为什么企业和 web 应用程序应该使用 TLS 协议？,TLS 加密可以帮助保护 web 应用程序免受攻击，如数据泄露和 DDoS 攻击等。此外，受 TLS 保护的 HTTPS 正在迅速成为网站的标准实践。例如，Google Chrome 浏览器正在打击非 HTTPS 网站，而且日常的互联网用户也开始更加警惕那些没有 HTTPS 挂锁图标的网站。,TLS 有什么作用？,TLS 协议实现的功能有三个主要组成部分：加密、认证和完整性。,加密：隐藏从第三方传输的数据。,身份验证：确保交换信息的各方是他们所声称的身份。,完整性：验证数据未被伪造或篡改。,TLS 如何工作？,网站或应用程序要使用 TLS，必须在其源服务器上安装 TLS 证书（由于上述命名混淆，该证书也被称为 SSL 证书）。TLS 证书由证书权威机构颁发给拥有域的个人或企业。该证书包含有关域所有者的重要信息以及服务器的公钥，两者对验证服务器身份都很重要。,TLS 连接是通过一个称为 TLS 握手的流程启动的。当用户导航到一个使用 TLS 的网站时，用户设备（也称为客户端设备）和 web 服务器之间开始 TLS 握手。,在 TLS 过程中，用户设备和 web 服务器：,指定将要使用的 TLS 版本（TLS 1.0、1.2、1.3 等）,决定将要使用哪些密码套件（见下文）,使用服务器的 TLS 证书验证服务器的身份,握手完成后，生成会话密钥用于加密两者之间的消息,TLS 握手为每个通信会话建立一个密码套件。密码套件是一组算法，其中指定了一些细节，例如哪些共享加密密钥（即会话密钥）将用于该特定会话。TLS 也能在一个未加密的通道上设置匹配的会话密钥，这要归功于一种称为公钥加密的技术。,握手还处理身份验证，其中通常包括服务器向客户端证明其身份。这是通过使用公钥来完成的。公钥是使用单向加密的加密密钥，即任何拥有公钥的人都可以解读使用服务器私钥加密的数据，以确保其真实性，但只有源发送方才可以使用私钥加密数据。服务器的公钥是其 TLS 证书的一部分。,数据完成加密和验明身份后，使用消息身份验证码（MAC）进行签名。接收方然后可以验证 MAC 来确保数据的完整性。这有点像阿司匹林药瓶上的防篡改铝箔；消费者知道没人篡改过他们的药品，因为购买时铝箔完好无损。,, TLS 如何影响 Web 应用程序性能？,TLS 的最新版本对 web 应用程序的性能几乎没有任何影响。,由于建立 TLS 连接涉及到的复杂过程，因此必须花费一些加载时间和计算能力。在传输任何数据之前，客户端和服务器必须来回通信几次，这将占用 web 应用程序宝贵的几毫秒加载时间，以及客户端和服务器的一些内存。,然而，目前已有技术帮助缓解...

在过去的几年中，我们看到 Web 应用程序的安全性有了巨大的提高，即使在拥有高级安全软件之后，这种扩展使用的主要原因是 Web 攻击已成为数据泄露的最常见原因。顶级网络安全公司的许多报告都强调了这一点，因此它已成为用户考虑的重要组成部分。在大多数情况下，这些 Web 应用程序攻击使用一些常见的攻击（如 SQL 注入或跨站点脚本）来针对网站和服务器。,,为了防止此类攻击，人们必须寻找强大的 Web 应用程序防火墙来阻止网络黑客利用漏洞。在本文中，我们将了解一些围绕 WAF 的重要术语以及过滤威胁和提高最终用户 Web 安全所需的内容。, 什么是 Web 应用程序防火墙？,Web 应用程序防火墙负责在来自恶意网站的流量到达任何 Web 应用程序之前对其进行过滤。这些防火墙通过阻止SQL 注入和拒绝服务 (DoS) 攻击等针对性攻击来保护 HTTP 应用程序。为了保持安全软件的高标准，OWASP 不断推动为 Web 应用程序编写一个可靠的框架，以使其更能抵抗任何攻击。开源基金会拥有许多资源来帮助开发人员保护他们的 Web 服务器，但不能使用相同的准则构建每个 Web 应用程序。某些服务器必须遵循 IPS、IDS 和其他一些标准协议来保护其网络。,WAF 在防止黑客插入的恶意软件感染方面也有很大帮助。网络犯罪分子通常通过插入虚假链接重定向和偷渡式下载来利用网站。只有 WAF 可以保护 Web 内容和访问者免受此类利用。普通的防火墙无法监控和阻止流量，它只能保护在两个 Web 服务器之间运行的数据。, Web 应用防火墙的演进,在 Internet 的早期，许多 IT 专家坚信没有必要为计算机安装额外的防火墙。令人震惊的是，一些公共杂志甚至曾经鼓励文章标题为“您的计算机是否需要额外的安全防火墙？”。当时，没有人相信防火墙，因为端口系统可以很好地区分不同的流量类型。端口的概念基于过滤传入的数据包并执行 Web 浏览器发送的必要操作。,这些概念和传统的防火墙技术完美地支撑了堡垒长达十年。尽管如此，当公司开始通过在线运营成为主流时，对于大多数用户群来说，它立即变得不足。现代公司通过快速的应用程序开发和软件风靡全球。这对最终用户来说效果不佳，因为它比黑客简单地扫描端口造成了更多的漏洞。这些应用程序充满了人们无法轻易理解和修复的错误和错误。结果，犯罪分子开始利用每一个漏洞为自己谋利。,这就是 WAF 诞生的时候。在 WAF 开发的初始阶段，公司使用内部服务器来安装软件以从字面上消除数以千计的攻击。随着软件和防火墙的成熟，基于云的服务公司购买了一个订阅计划来消除所有网络威胁。在很短的时间内，每个大小 IT 公司都开始采用 Web 应用程序防火墙，因为它不仅仅是比较端口号和 IP 地址。, WAF 是如何工作的？,Web 应用程序防火墙可以设计用于软件、硬件设备或两者。WAF 接管 Web 应用程序的控制权并拒绝来自恶意站点的所有请求。WAF 与后端网络一起部署以防止 Web 服务器和用户数据，它们通常遵循称为反向代理的常见配置。在这种方法中，存在于客户端和后端网络之间的中间人或中间人是 WAF。因此，当客户端请求后端网络时，它必须首先通过 Web 应用程序防火墙。,WAF 接管对客户端请求以及传出服务器响应的控制。当这种情况发生在两个方向时，软件可以识别违反安全策略的流量。使用消极或积极的安全模型来阻止流量或过滤恶意站点。,在消极安全模型的情况下，防火墙预设了某些规则以跨服务器发送请求。大多数传统防火墙遵循否定模型，因为它们过去允许几乎所有传入请求都遵循一些预定义的安全规则。它在那些日子里可能奏效，但在当今技术为先的世界中，这种安全模型无法为用户提供全面保护。负面模型有很多黑客可以利用的漏洞，IT部门面临的一些主要问题是：,当我们谈论积极的安全模型时，我们需要了解它只是请求通过消极安全规则后的另一道防线。一旦 Web 请求遵循负面安全规则，它们将再次受到审查并与用户请求进行比较。如果在扫描过程中发现任何异常情况，防火墙会阻止流量。除了这两种模型之外，还有另一种连接到下一代 Web 应用程序防火墙的高级方法。它们遵循一种独特的方法来过滤流量，但它们也可以实现混合模型。, Web 应用程序防火墙的类型,随着技术的进步，人们得到了更好的工具和软件来构建应用程序。因此，选择正确的 WAF 以完美弥合应用程序界面和 Web 服务器之间的差距非常重要。现在，从各种各样的选项中进行选择的问题是您需要了解每个选项的优缺点。为了帮助您选择正确的 WAF 类型，我们列出了三个选项，涵盖了市场上几乎所有的安全防火墙。, 基于硬件的 Web 应用防火墙,通过硬件设备使用的 WAF 主要旨在为每天有数千访问者的组织提供服务。拥有硬件设备可提高客户端效率，并以高速和高性能照顾庞大的用户群。这种类型的Web应用防火墙需要安装在局域网内，这就是它每天可以高速运行的原因。与其他费用相比，硬件安装和定期维护成本要高得多，但对于规模庞大的企业来说，这些成本很容易负担得起。最著名的基于硬件的 WAF 之一是 WAPPLES，它带有负载均衡器并遵循基于规则的检测算法来提高交付速度和应用程序性能。, 基于软件的 Web 应用防火墙,这里的安装过程是虚拟完成的，而不是使用物理机。与硬件WAF不同的只是安装；其余组件具有相同的功能。使用基于软件的 WAF 的最终用户也需要拥有他们的虚拟机管理程序。简单来说，软件WAF就像通过得来速吃汉堡，而硬件WAF就像在店里吃汉堡。这种类型的 WAF 最好的部分是它为组织提供的灵活性。员工可以通过云连接并访问应用服务器。尽管可以在云系统上部署软件 WAF，但当虚拟机执行过滤过程时，它确实会遇到高延迟数字。, 下一代/基于云的 WAF,任何拥有基于云的系统的组织都不会受到任何限制，因为这种防火墙安全模型不需要额外的维护和物理存储成本。下一代应用防火墙也不需要管理员不断监控系统的差异。通过云集成，WAF 软件以最低订阅成本作为服务提供。一个很好的例子是 Cloudbric，这是一种 SECaaS 产品，提供DDoS保护和CDN等服务的组合。, WAF 解决方案的必备功能是什么？,WAF 需要某些功能来提高速度和整体性能，因此优先考虑功能集以完成 WAF 解决方案至关重要。我们列出了一些必须具备的功能，可以考虑扩展正常的 WAF 功能，因此请务必阅读每个功能并将它们与您的要求保持一致。, OWASP 十大威胁的解决方案,OWASP是收集有关 Web 服务器攻击的重要信息的基础，正如我们在前面的部分中已经提到的。社区成员包括行业专家和其他开发人员，他们寻找解决方案来减轻不安全的直接对象引用和缺少功能级访问控制等攻击。在他们的官网上有更多关于这些攻击的信息，所以每个WAF解决方案都必须涵盖OWASP提供的十大安全威胁。, PCI DSS...