WAF简介

这篇具有很好参考价值的文章主要介绍了WAF简介。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

今天继续给大家介绍渗透测试相关知识,本文主要内容是WAF简介。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、WAF定义

所谓WAF,即Web Application Firewall,网络应用防火墙,是通过一系列执行针对HTTP/HTTPS的安全策略来为web应用提供安全防护的产品。
有别于传统的防火墙,WAF专门针对应用层web应用而设计,能够起到防止流量攻击、SQL注入、XSS攻击等等。
常见的WAF——安全狗防护页面如下所示:
WAF简介
WAF简介

二、WAF分类

通常而言,WAF可以分为以下4类:
1、软件型WAF
本身是一个软件,部署在服务器上,检测是否存在web攻击。
2、硬件型WAF
本身是一款硬件,可以有多种部署方式,如果是串联到链路中,则可以拦截恶意流量,如果是以旁路的形式部署,则只能记录攻击但是不能拦截。硬件型WAF一般而言比软件型WAF更加昂贵,但是检测速度快,不易称为网站瓶颈。
3、云WAF
我们可以将云WAF简单理解为带有WAF功能的CDN,因为其实现机理与CDN基本相同,都是通过更改目标站点的DNS记录,使其指向云WAF,然后对站点的访问进行过滤。云WAF通常以反向代理的方式进行工作,其最大的优点是方便快捷,但是如果攻击者能够找到站点的真实IP地址,那么云WAF就存在被直接绕过的风险。
4、站点内置WAF
所谓站点内置WAF,即网站的开发者考虑到站点的安全性,将一些过滤功能写成代码,嵌入到站点内,或者直接嵌入到页面代码中,或者以一个单独的文件列出,然后被相关页面所引用。
这种WAF的灵活性非常高,因为是直接开发在页面上,因此可以针对一项非常具体的业务,乃至一个微小的功能来实现检测和规律,但是相应的其通用型就比较低了。

三、WAF常见功能

通常而言,WAF一般具有以下功能:
1、会话审计
用于截获HTTP/HTTPS或者其他满足规则的会话。
2、访问控制
可以控制客户端对WEB应用的访问。
3、网站架构
有时WAF也可以作为一个反向代理设备,本身就是网站架构的一部分,在一些云WAF场景中经常如此。
4、WEB应用加固
WAF通常能够作为WEB应用的一道防线,屏蔽WEB应用内部安全方面的缺陷和漏洞,增强WEB应用的安全性。

四、WAF防护原理

WAF之所以能够起到对网络应用进行防护的作用,主要是基于以下手段:
1、异常检测机制
拒绝不符合HTTP标准的请求。
2、白名单/黑名单
采取白名单或者黑名单的方式,对HTTP内容进行验证。
3、基于规则和基于异常的保护
定义一些安全规则或者异常状态,基于此对服务器进行安全防护。
4、状态管理
对会话进行防护。
5、信息泄露保护
防止服务器信息泄露。
6、扫描器识别
WAF对于一些扫描器会进行识别并禁止扫描,常用的扫描器识别技术有:
(1)扫描器指纹
(2)单IP+Cookie指定时间内访问触发规则次数
(3)验证码验证
WAF——安全狗对工具检测如下:
WAF简介
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200文章来源地址https://www.toymoban.com/news/detail-408265.html

到了这里,关于WAF简介的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Web 应用程序防火墙 (WAF) 相关知识介绍

    Web应用程序防火墙 (WAF) 如何工作? Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 WAF通过过滤、监控和

    2024年02月06日
    浏览(55)
  • 今天给大家带来Python炫酷爱心代码

    前言: 这个是小编之前朋友一直要小编去做的,不过之前技术不够所以一直拖欠今天也完成之前的约定吧! 至于他是谁,我就不多说了直接上代码 如果有需要的话,可以联系小编噢!

    2024年02月05日
    浏览(50)
  • 今天跟大家推荐几款实用的ai写作生成器

    自ai技术的发展以来,人工智能在各个领域都展现出了无限可能。在学术界,写作论文是科研人员不可避免的重要任务,然而,论文写作需要大量的时间和经验技能,而这对刚刚步入学术领域的年轻科研人员来说尤为困难。在这样的背景下,提高写作效率、降低人力成本、缩

    2024年02月13日
    浏览(45)
  • 今天跟大家分享好用的智能ai绘画免费软件有哪些

    在教学的时候配合进行ai绘画操作来讲解日常的知识,可以帮助学生更好的理解,比如在讲解化学反应的时候,我们可以通过文字描述反应的化学式和反应过程,但是这可能会让学生感到无趣和枯燥,知识没办法真正的进入大脑。而如果借助ai绘画的软件,我们可以将反应的过

    2024年02月12日
    浏览(50)
  • 151.网络安全渗透测试—[Cobalt Strike系列]—[用户驱动攻击模块简介与测试]

    我认为,无论是学习安全还是从事安全的人多多少少都会有些许的情怀和使命感!!! 1、用户驱动攻击概念     用户驱动攻击User-Driven Attacks,利用人这个\\\"安全漏洞\\\"进行攻击,也就是说需要欺骗用户产生交互才行,但这种方式也有许多的优点,用户驱动攻击不包含恶意攻

    2024年02月03日
    浏览(38)
  • 今天教大家微信小程序怎么免300元认证费终身使用的教程

    众所周知微信小程序认证需要300元认证费,当然用已认证的微信公众号可以免费认证但是认证微信公众号也需要300认证费而且需要每年进行年检等于每年都要花300元。 不知道大家注册小程序的时候有没有发现审核很慢申请完需要等几天很费时间, 而且微信限制一个身份证只

    2024年02月08日
    浏览(58)
  • 怎么在树莓派环境上搭建web网站,并发布到外网可访问,今天教给大家

    这非常适合设置您的第一个网站,不仅可以学习管理 wordpress 站点,还可以学习 Linux。您将需要一个树莓派(Raspberry Pi)、几个小时和一台计算机来下载映像。 树莓派(RPI) 是学习这些东西的完美设备。 下载适用于您的操作系统的树莓派镜像工具。它支持大多数操作系统(Window

    2024年02月14日
    浏览(44)
  • 渗透测试-第一步 信息收集 【详细介绍】

    1. 信息收集 黑客的第一步要做的事情永远是信息收集 同样渗透也是 什么是信息收集? 信息收集是最具有灵魂的一步,通常拿到渗透测试站,需要对该站进行信息收集,只有收集到了足够多的信息后,对方暴露出来的问题越多,信息越多,攻击的面也越广。知己知彼百战百胜

    2023年04月18日
    浏览(85)
  • Kali Linux渗透测试技术介绍【文末送书】

    对于企业网络安全建设工作的质量保障,业界普遍遵循PDCA(计划(Plan)、实施(Do)、检查(Check)、处理(Act))的方法论。近年来,网络安全攻防对抗演练发挥了越来越重要的作用。企业的安全管理者通过组织内部或外部攻击队,站在恶意攻击者的视角,识别自身网络安

    2024年02月09日
    浏览(46)
  • 2023年8大在线渗透测试工具介绍与分析

    随着企业参与数字化运动,网络安全已成为大多数董事会讨论的一个重要方面。事实上,最近的一份报告显示,2022 年网络犯罪造成的损失总额达到惊人的 103 亿美元。 这就是在线渗透测试工具在网络安全中受到关注的地方。 今天,我们希望引导您了解在线渗透测试的重要性

    2024年02月09日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包