认识防火墙的不足，实现安全管理

发布者：admin　日期：2013-5-13　点击次：1422

各种网页被挂马、网站SQL 注入，导致网页被篡改、网站被查封，甚至被利用成为传播木马给浏览网站用户的一个载体。不仅在于各个传统防火墙存在不足和缺陷，也因为用户没有正面理解防火墙和使用防火墙。

传统防火墙的不足主要体现在：

1.主要工作在OSI 模型三、四层，基于IP 报文进行检测，控制对网络的访问。

2.在设计之初，就无需理解Web 应用程序语言如HTML 及XML，也无法理解HTTP 会话。

3.无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。

4.为了保障对web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用。

5.状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器。

梭子鱼的Web防火墙应用以其功能强大，操作简便，性价比高等优势继成为全球邮件安全和负载均衡市场领导者后，梭子鱼WEB应用防火墙通过在技术上的不断突破，占据市场的主体地位。以WAF配置为例，梭子鱼建议：

1. 配置服务：配置VIP地址和真实服务器地址。

2. 配置安全策略：开启主动防护模式。

3. 开启URL防护策略：例如阻断SQL注入，跨站攻击等。

4. 系统告警：一旦网站被攻击，梭子鱼马上能通过邮件进行告警。

用户在使用过程中，不仅需要认识到传统防火墙的不足，寻根究据对症下药，完成防火墙的更新换代，更要妥善采取博弈手段，跟“恶势力”抗争到底。