Я читал о брандмауэрах и натолкнулся на две концепции, которые меня сбили с толку - брандмауэр веб-приложений и «обычный» брандмауэр. Я не совсем уверен, в чем разница - похоже, они оба достигают одного и того же. Кто-нибудь знает разницу?
Спасибо!
«Обычный» брандмауэр обычно просматривает только уровни 3 и 4 Модель OSI. Например, чтобы разрешить TCP-порт 80, разрешить UDP-порт 53 только для определенных IP-адресов или запретить TCP-порт 25.
Для HTTP-запросов, как только барьер «разрешить TCP-порт 80» устранен, брандмауэр не интересуется тем, что передается через это соединение.
Брандмауэр веб-приложений работает почти исключительно на уровне 7, занимаясь безопасностью с точки зрения содержимого HTTP-запросов.
В основном они стремятся предотвратить запросы, выходящие за рамки того, что следует ожидать от вашего веб-приложения, используя правила, применяемые к входящим HTTP-запросам, для предотвращения атак, таких как межсайтовые сценарии, SQL-инъекции, обход каталога или попытки проверки подлинности методом грубой силы. По сути, вся их цель - защитить веб-сервер от манипуляций и вредоносных запросов, которые злоумышленники могут использовать для компрометации вашего веб-приложения.
Очень быстрым и грязным ответом на это будет то, что брандмауэр веб-приложения - это брандмауэр (устройство и / или программное обеспечение), который специально разработан для защиты транзакций веб-приложения, например HTTP-запросов, запросов к базе данных и т. Д. и, возможно, другой трафик, связанный со стеками веб-приложений.
Однако, чтобы уточнить:
«Стандартный» межсетевой экран, то есть обычный межсетевой экран уровня 4 OSI, фильтрует на основе информации о протоколе, например IP, TCP, UDP и ICMP. Вы можете установить правила в брандмауэре для разрешения на основе таких вещей, как диапазоны IP-адресов, порты TCP, типы ICMP и т. Д. Обычно это самый простой тип межсетевого экрана, который вы найдете.
Довольно большое большинство межсетевых экранов (на момент написания этой статьи) также включают функции проверки, более высокие в модели OSI - они могут и / или будут проверять фактический трафик протокола, проходящий через межсетевой экран. Примерами этого могут быть AIM, HTTP, SQL, Jabber и многие другие. Некоторые будут только проверять возможные атаки - другие позволяют более детально определять правила разрешения / запрета для определенных атрибутов сообщений в этом протоколе. Инспекция более высокого уровня и полезность базы правил обычно ограничены в зависимости от марки / модели.
Брандмауэр веб-приложений (или WAF) - это брандмауэр, подобный последнему, то есть он выполняет свою работу выше в стеке OSI, но предназначен для проверки потока трафика на уровне приложений и специально предназначен для бизнес-пространства веб-приложений. . Большинство WAF (но не все) предназначены не для замены традиционного межсетевого экрана, а для его улучшения. Обычно WAF работают в двух разных режимах - пассивном и «активном». Пассивный режим просто прослушивает трафик и может предупреждать, если обнаруживает какой-либо известный «плохой» трафик. Активный режим может активно блокировать «плохой» трафик, когда он обнаруживается, позволяя «хороший» трафик проходить через веб-приложение. Поставщики обычно также предоставляют услугу подписки, которая позволяет WAF поддерживать список известных эксплойтов в актуальном состоянии.
Большинство WAF и стандартных брандмауэров могут делать по существу одно и то же - создавать границу между двумя сетями и разрешать или запрещать трафик на основе списка правил. Основное отличие состоит в том, что WAF предназначен специально для защиты веб-приложений, и большинство из них не предназначены для замены традиционного межсетевого экрана.
Я сказал большую часть (но не все) ранее - есть термин / модное слово / marketpeak - под названием NG Firewall (или брандмауэр «нового поколения»). Эти штуки предназначены для защиты от стероидов. Они выполняют ваши стандартные функции брандмауэра, но также выполняют функции, которые раньше требовали выполнения многих отдельных устройств, например брандмауэр, проверка на вирусы, брандмауэр веб-приложений, фильтрация чатов / сообщений и брандмауэр других протоколов приложений. Я не тестировал такой YMMV; Я просто включил его в качестве примера устройства, которое предназначено для выполнения обеих функций и стремится выполнять их обе хорошо.