如何防止系统和web应用层攻击,请说明都有哪些方案和处理措施
答案:2 悬赏:40 手机版
解决时间 2021-03-22 19:07
- 提问者网友:雨不眠的下
- 2021-03-22 06:53
如何防止系统和web应用层攻击,请说明都有哪些方案和处理措施
最佳答案
- 五星知识达人网友:傲气稳了全场
- 2021-03-22 08:13
Web应用安全防护解决思路:
Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为Web开发比较简单,缺乏经验的开发者也可以胜任。
针对Web应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。然而,多数网站的实际情况是:大量早期开发的Web应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的Web应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。
针对这种现状,专业的Web安全防护工具是一种合理的选择。Web应用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为Web应用提供实时的防护。与传统防火墙/IPS设备相比较,WAF最显著的技术差异性体现在:
对HTTP有本质的理解:能完整地解析HTTP,包括报文头部、参数及载荷。支持各种HTTP 编码(如chunked encoding、request/response压缩);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。
提供应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。
提供正向安全模型(白名单):仅允许已知有效的输入通过,为Web应用提供了一个外部的输入验证机制,安全性更为可靠。
提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。
如何正确选择WAF
并非对Web服务器提供保护的“盒子”都是WAF。事实上,一个真正满足需求的WAF应该具有二维的防护体系:
纵向提供纵深防御:通过建立协议层次、信息流向等纵向结构层次,构筑多种有效防御措施阻止攻击并发出告警。
横向:满足合规要求;缓解各类安全威胁(包括网络层面、Web基础架构及Web应用层面);降低服务响应时间、显著改善终端用户体验,优化业务资源和提高应用系统敏捷性。
在选择WAF产品时,建议参考以下步骤:
结合业务需求明确安全策略目标,从而定义清楚WAF产品必须具备的控制能力
评估每一家厂商WAF产品可以覆盖的风险类型
测试产品功能、性能及可伸缩性
评估厂商的技术支持能力
评估内部维护团队是否具备维护、管理WAF产品的必需技能
权衡安全、产出以及总成本。“成本”不仅仅意味着购买安全产品/服务产生的直接支出,还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销
Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为Web开发比较简单,缺乏经验的开发者也可以胜任。
针对Web应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。然而,多数网站的实际情况是:大量早期开发的Web应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的Web应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。
针对这种现状,专业的Web安全防护工具是一种合理的选择。Web应用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为Web应用提供实时的防护。与传统防火墙/IPS设备相比较,WAF最显著的技术差异性体现在:
对HTTP有本质的理解:能完整地解析HTTP,包括报文头部、参数及载荷。支持各种HTTP 编码(如chunked encoding、request/response压缩);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。
提供应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。
提供正向安全模型(白名单):仅允许已知有效的输入通过,为Web应用提供了一个外部的输入验证机制,安全性更为可靠。
提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。
如何正确选择WAF
并非对Web服务器提供保护的“盒子”都是WAF。事实上,一个真正满足需求的WAF应该具有二维的防护体系:
纵向提供纵深防御:通过建立协议层次、信息流向等纵向结构层次,构筑多种有效防御措施阻止攻击并发出告警。
横向:满足合规要求;缓解各类安全威胁(包括网络层面、Web基础架构及Web应用层面);降低服务响应时间、显著改善终端用户体验,优化业务资源和提高应用系统敏捷性。
在选择WAF产品时,建议参考以下步骤:
结合业务需求明确安全策略目标,从而定义清楚WAF产品必须具备的控制能力
评估每一家厂商WAF产品可以覆盖的风险类型
测试产品功能、性能及可伸缩性
评估厂商的技术支持能力
评估内部维护团队是否具备维护、管理WAF产品的必需技能
权衡安全、产出以及总成本。“成本”不仅仅意味着购买安全产品/服务产生的直接支出,还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销
全部回答
- 1楼网友:woshuo
- 2021-03-22 08:57
不明白啊 = =!
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯