海塘题库|你的网站安全吗?Web安全交给谁?| 云计算


北京联盟_本文原题:你的网站安全吗?Web安全交给谁?| 云计算
海塘题库|你的网站安全吗?Web安全交给谁?| 云计算
本文插图

每天 , 我们通过越来越丰富的Web应用与资源连接在一起 , 研究表明 , 绝大多数用户是不愿意用“放弃互联网”来换取“防止个人信息泄露”的 。 因此 , Web服务器以其强大的计算能力、处理性能及掌握着这些蕴含高价值的信息成为了被攻击的主要目标 。 据统计 , 64%的公司曾遭受过来自Web的攻击 。 62%的公司曾被钓鱼或是社会工程学攻击 。 另外 , 59%的公司曾被恶意代码和僵尸网络攻击过 。
对于企业来说 , 保护蕴含高价值的企业网站和所存储的数据的安全是重中之重 。 但是在建站后 , 我们会发现 , 无论配置多么齐全 , 网站也会遭遇各种攻击、扫描 , 服务器仿佛成了裸奔的香饽饽 。 如果之前你没遇到过有恶意攻击者或者信息被偷窃的先例 , 那你肯定不会明白这种事情的后果有多么严重 , 风险离我们是如此地近 。 怎么办?
惯性思维会告诉我们 , 应该安装一个防火墙 , 但哪个选择更好呢?硬件防火墙?软件防火墙?Web应用防火墙?如果你不是专业人士 , 你一定会被市场上繁多的产品弄得晕头转向 。 要想弄清楚该选择何种防火墙 , 从需求入手是最好的办法 , 我们希望防火墙帮我们解决哪些问题?
先捋一下需求:
1、要能防御来自网络的恶意攻击:防止竞争对手恶意攻击或黑客敲诈勒索 , 导致的请求超时 , 瞬断 , 不稳定等问题 。
2、要能防止数据的泄露:防止黑客通过SQL注入、网页木马等攻击手段入侵网站数据库 , 获取核心业务数据 。
3、要能防止企业网站被篡改:防止黑客通过扫描系统漏洞 , 植入木马后修改页面内容或发布不良信息 , 影响网站形象 。
4、要做到政府要求的安全合规要求:符合相关法律法规要求 , 满足信息系统安全等级保护(等保测评)需求 。
接下来再来了解一下防火墙 。
一、传统意义上的防火墙(FireWall)
当我们接入互联网时 , 采用的防火墙是一种用于安全管理与筛选的软件和硬件设备 , 它将内网和公网(如Internet)分开 , 帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障 , 以保护用户资料与信息安全性的技术 。
硬件型防火墙好理解 , 通常是个长方型的扁盒子 , 它把防火墙程序固化到芯片中 , 由硬件执行这些功能 , 从而能降低CPU的负担 , 使服务更稳定 。 硬件防火墙中可能还有除软件防火墙以外的其他功能 , 例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)以及VPN等等的功能 , 这导致硬件防火墙的价格都很高 。
软件型防火墙是将软件部署在系统主机上来完成防火墙功能 , 其安全性较硬件防火墙差 , 同时占用系统资源 , 在一定程度上影响系统性能 。 其一般用于单机系统或是极少数的个人计算机 , 很少用于计算机网络中 。
防火墙的关键技术主要有过滤技术、加密技术、防病毒技术、代理服务器 。 主要功能有网络安全的屏障、强化网络安全策略、监控审计、防止内部信息的外泄、日志记录与事件通知 。
二、Web应用防火墙(Web Application Firewall)
较低的网络层(Web应用防火墙被安置在第七层)被许多设备所覆盖 , 每一种设备都有它们独特的功能 , 比如路由器 , 交换机 , 防火墙 , 入侵检测系统 , 入侵防御系统等等 。 然而 , 在HTTP的世界里 , 所有这些功能都被融入在一个设备里:Web应用防火墙 。 Web应用防火墙主要是对Web特有的入侵方式具备防护能力 , 例如常见的DDOS防护、SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等等 。 由于都是属于应用层而不是网络层的入侵 , 从技术上来看都是属于Web IPS(Web入侵防御系统) , 而不是传统的防火墙 。


推荐阅读