網絡實現:
1��、前端端口和后端端口位于不同的網段�,所有外部客戶將會和應用虛擬IP地址進行連接,此虛擬ip將會和前端端口(eth1)進行綁定
2�����、客戶的連接將會在設備上終止�,進行安全檢查和過濾
3、合法的流量將會WAN口建立新的連接到負載均衡設備
4���、負載均衡進行流量的負載
5�����、代理模式可以開啟所有的安全功能
工作特點:基于應用層的檢測�,同時又擁有基于狀態(tài)的網絡防火墻的優(yōu)勢
對應用數據錄入完整檢查�����、HTTP包頭重寫���、強制HTTP協議合規(guī)化�,杜絕各種利用協議漏洞的攻擊和權限提升
預期數據的完整知識(Complete Knowledge of expected values)����,防止各種形式的SQL/命令注入,跨站式腳本攻擊
實時策略生成及執(zhí)行�����,根據您的應用程序定義相應的保護策略�����,而不是千篇一律的廠家預定義防攻擊策略�����,無縫的砌合您的應用程序���,不會造成任何應用失真�����。
梭子魚策略WAF配置建議:
1. 配置服務:配置VIP地址和真實服務器地址����。
2. 配置安全策略:開啟主動防護模式。
3. 開啟URL防護策略:例如阻斷SQL注入���,跨站攻擊等����。
4. 系統(tǒng)告警:一旦網站被攻擊���,梭子魚馬上能通過郵件進行告警��。
我們分析完了Web安全常見的攻擊手法和防御方式�����,那么如何對應用層攻擊進行防御呢?請關注下一期的《拒絕阿喀琉斯之踵系列——下一代防火墻在行動》����。
