在复杂的网络攻击和数字创新的现代时代,企业了解他们面临的威胁以及他们的安全防御措施保护他们免受什么威胁是至关重要的。防火墙尤其如此,因为 Web 应用程序防火墙和网络防火墙保护组织免受不同类型的攻击。因此,重要的是要了解网络防火墙与应用程序防火墙的不同之处,以及如何防止 Web 攻击和更广泛的网络攻击。
传统上,企业使用网络防火墙保护他们的数据和用户,缺乏灵活性和透明度来抵御现代安全威胁。但是自带设备 (BYOD)、公共云和软件即服务 (SaaS) 解决方案的增长意味着他们需要 在其安全策略中添加 Web 应用程序防火墙 (WAF)。这增加了对 Web 应用程序攻击的保护,这些 Web 应用程序存储在远程服务器上,通过浏览器界面在 Internet 上传递,并且对黑客具有吸引力的目标。
了解应用程序级防火墙和网络级防火墙之间的区别
WAF 通过针对超文本传输协议 (HTTP) 流量来保护 Web 应用程序。这与标准防火墙不同,标准防火墙在外部和内部网络流量之间提供了屏障。
WAF 位于外部用户和 Web 应用程序之间,用于分析所有 HTTP 通信。然后,它会在恶意请求到达用户或 Web 应用程序之前检测并阻止它们。因此,WAF 可以保护关键业务 Web 应用程序和 Web 服务器免受零日威胁和其他应用程序层攻击。随着企业扩展到新的数字计划,这变得越来越重要,这可能会使新的 Web 应用程序和应用程序编程接口 (API) 容易受到攻击。详细了解什么是 WAF?
网络防火墙保护安全的局域网免受未经授权的访问,以防止攻击风险。其主要目标是将安全区域与不太安全的区域分开并控制两者之间的通信。没有它,任何具有公共 Internet 协议 (IP) 地址的计算机都可以在网络外部访问,并可能面临受到攻击的风险。
应用程序流量与网络流量
传统的网络防火墙可以减轻或防止对私有网络的未经授权的访问。防火墙策略定义允许进入网络的流量,并阻止任何其他访问尝试。这有助于防止未经授权的用户以及来自不太安全区域中的用户或设备的攻击的网络流量示例。
WAF 专门针对应用程序流量。它可以保护网络中面向 Internet 的区域中的 HTTP 和安全超文本传输协议 (HTTPS) 流量和应用程序。这可以保护企业免受跨站点脚本 (XSS) 攻击、分布式拒绝服务 (DDoS) 攻击和 SQL 注入攻击等威胁。
第 7 层与第 3 层和第 4 层的保护
应用级防火墙和网络级防火墙之间的关键技术区别在于它们运行的安全层。这些由开放系统互连 (OSI) 模型定义,该模型表征和标准化电信和计算系统中的通信功能。
WAF 在 OSI 模型第 7 层(即应用程序级别)保护攻击。这包括针对 Ajax、ActiveX 和 JavaScript 等应用程序的攻击,以及 cookie 操作、SQL 注入和 URL 攻击。它们还针对用于连接 Web 浏览器和 Web 服务器的 Web 应用程序协议 HTTP 和 HTTPS。
例如,第 7 层 DDoS 攻击将大量流量发送到服务器层,在该服务器层生成和交付网页以响应 HTTP 请求。WAF 通过充当反向代理来缓解这种情况,保护目标服务器免受恶意流量的侵害并过滤请求以识别 DDoS 工具的使用。
网络防火墙在 OSI 模型第 3 层和第 4 层运行,可保护数据传输和网络流量。这包括针对域名系统 (DNS) 和文件传输协议 (FTP) 以及简单邮件传输协议 (SMTP)、安全外壳 (SSH) 和 Telnet 的攻击。
Web 攻击与未经授权的访问
WAF 解决方案保护企业免受针对应用程序的基于 Web 的攻击。如果没有应用程序防火墙,黑客可以通过 Web 应用程序漏洞渗透到更广泛的网络。WAF 保护企业免受常见的 Web 攻击,例如:
- 直接拒绝服务:试图通过大量互联网流量来破坏网络、服务或服务器。它旨在耗尽其目标的资源,并且可能难以防御,因为流量并不总是明显恶意的。
- SQL 注入:一种注入攻击,使黑客能够执行恶意 SQL 语句,从而控制 Web 应用程序背后的数据库服务器。这使得攻击者可以绕过网页认证和授权,获取 SQL 数据库的内容,然后添加、修改和删除其记录。网络犯罪分子可以使用 SQL 注入来访问客户信息、个人数据和知识产权。 在 2017 年OWASP 前 10 名中,它被列为 Web 应用程序安全的第一大威胁 。
- 跨站点脚本:一种网络安全漏洞,使攻击者能够破坏用户与应用程序的交互。它使攻击者能够绕过隔离不同网站的同源策略。结果,攻击者可以伪装成真正的用户并访问他们有权访问的数据和资源。
网络防火墙可防止未经授权的访问和进出网络的流量。它们可以防止针对连接到 Internet 的设备和系统的网络范围内的攻击。常用网络攻击的示例包括:
- 未经授权的访问:攻击者未经许可访问网络。这通常是通过凭据盗窃和由于人们使用弱密码、社会工程和内部威胁而导致的帐户受损来实现的。
- 中间人 (MITM) 攻击:攻击者拦截网络与外部站点之间或网络本身内部的流量。这通常是由于不安全的通信协议使攻击者能够窃取传输中的数据,然后获取用户凭据并劫持用户帐户。
- 权限提升:攻击者获得对网络的访问权限,然后使用权限提升将其范围扩大到更深的系统。他们可以水平地这样做,从而获得对相邻系统的访问权限,或者通过在同一系统中获得更高的特权而垂直地这样做。
选择应用程序或网络防火墙
标准网络防火墙和 WAF 可防御不同类型的威胁,因此选择正确的威胁至关重要。单独的网络防火墙无法保护企业免受网页攻击,而网页攻击只能通过 WAF 功能来预防。因此,如果没有应用程序防火墙,企业可能会让其更广泛的网络开放,从而通过 Web 应用程序漏洞进行攻击。但是,WAF 无法抵御网络层的攻击,因此应该补充而不是取代网络防火墙。
基于 Web 的解决方案和网络解决方案都在不同的层工作,并防止不同类型的流量。因此,它们不是相互竞争,而是相互补充。网络防火墙通常保护更广泛的流量类型,而 WAF 处理传统方法无法覆盖的特定威胁。因此,建议同时使用这两种解决方案,尤其是当企业的操作系统与 Web 密切合作时。
挑战不是选择其中一个,而是选择最适合业务需求的正确 WAF 系统。WAF 应具有硬件加速器、监控流量并阻止恶意尝试、高度可用且可扩展以随着业务增长保持性能。
