第六章 防火墙技术



            于检测，很多时候在 IDS 发现入侵行为以后，也需要 IDS 本身对入侵及时遏止。
            显然，要让处于旁路侦听的 IDS 完成这个任务又太难，同时主链路又不能串联太
            多类似设备，在这种情况下，如果防火墙能和 IDS、病毒检测等相关安全产品联
            系起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，
            那么系统网络的安全性就能得以明显提升。




                          第二节 Web 应用防火墙原理与类型


                 一、Web 应用防火墙原理


                 Web 应用防火墙主要工作在网络七层协议中的应用层，状态包过滤防火墙
            对 Web 应用层的安全问题束手无策，而 Web 应用防火墙填补了这一漏洞，对其
            无法检测的数据进行内容过滤，配合更新及时的规则库对比分析，从而判断这一

            数据是否可以放行，对 Web 应用形成有效保护。Web 应用防火墙根据它的应用
            以及市场变化，又有硬件 WAF、软件 WAF 和云 WAF 之分。
                 （一）硬件 WAF
                 硬件 WAF 通常作为产品以串行的方式部署在 Web 应用前端，基本处于区域

            网络的安全边界位置。部署便捷，适用于中大型网络，性能较好，对于数据访问
            量的并发数有较大的承受能力。根据部署的方式不同，又可以分为四类。
                 透明代理模式。又称为网桥模式，Web 客户端发起的连接请求，在用户看
            起来，是由 Web 服务器直接回应的，WAF 对数据包进行的截取、监听、检测等

            一系列动作从用户的角度看都是没有发生的，即 WAF 是透明存在的。因此称为
            透明代理模式。
                 路由代理模式。这种模式与透明代理模式类似，主要区别在于，路由代理
            模式是基于路由转发请求的，相当于通信中的一个节点存在，而透明代理模式并

            不是。
                 反向代理模式。Web 客户端发起连接请求，在用户看起来是由 Web 服务器
            直接回应的，但其实回应的地址并不是 Web 服务器的地址，而是 WAF 充当了
            Web 服务器进行应答。用户看到的也只是 WAF 上其中一个可用的公网地址。

            WAF 收到请求后，会对发起的数据包进行过滤检测确定是否可以放行，得到放


                                                                                    185
                                                                                    185