網(wǎng)絡(luò)實(shí)現(xiàn):
1、前端端口和后端端口位于不同的網(wǎng)段���,所有外部客戶將會(huì)和應(yīng)用虛擬IP地址進(jìn)行連接����,此虛擬ip將會(huì)和前端端口(eth1)進(jìn)行綁定
2��、客戶的連接將會(huì)在設(shè)備上終止��,進(jìn)行安全檢查和過濾
3�����、合法的流量將會(huì)WAN口建立新的連接到負(fù)載均衡設(shè)備
4、負(fù)載均衡進(jìn)行流量的負(fù)載
5���、代理模式可以開啟所有的安全功能
工作特點(diǎn):基于應(yīng)用層的檢測�����,同時(shí)又擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢
對(duì)應(yīng)用數(shù)據(jù)錄入完整檢查���、HTTP包頭重寫�����、強(qiáng)制HTTP協(xié)議合規(guī)化�,杜絕各種利用協(xié)議漏洞的攻擊和權(quán)限提升
預(yù)期數(shù)據(jù)的完整知識(shí)(Complete Knowledge of expected values)���,防止各種形式的SQL/命令注入�����,跨站式腳本攻擊
實(shí)時(shí)策略生成及執(zhí)行�,根據(jù)您的應(yīng)用程序定義相應(yīng)的保護(hù)策略���,而不是千篇一律的廠家預(yù)定義防攻擊策略���,無縫的砌合您的應(yīng)用程序,不會(huì)造成任何應(yīng)用失真�。
梭子魚策略WAF配置建議:
1. 配置服務(wù):配置VIP地址和真實(shí)服務(wù)器地址。
2. 配置安全策略:開啟主動(dòng)防護(hù)模式���。
3. 開啟URL防護(hù)策略:例如阻斷SQL注入�,跨站攻擊等�。
4. 系統(tǒng)告警:一旦網(wǎng)站被攻擊�����,梭子魚馬上能通過郵件進(jìn)行告警�����。
我們分析完了Web安全常見的攻擊手法和防御方式�����,那么如何對(duì)應(yīng)用層攻擊進(jìn)行防御呢?請(qǐng)關(guān)注下一期的《拒絕阿喀琉斯之踵系列——下一代防火墻在行動(dòng)》����。
果.jpg)