精华内容
下载资源
问答
  • 什么是Web应用防火墙

    2019-10-06 12:29:16
    Web应用防火墙web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备的一款产品 。 Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能...

    Web应用防火墙是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备的一款产品 。

     

    Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。­

    Web应用防火墙主要是对Web特有入侵方式的加强防护,如DDoS防御、SQL注入、XML注入、XSS等。

    Web应用防火墙的功能

    1、事前主动防御,智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击,全方位保护WEB应用。

    2、事中智能响应,快速P2DR建模、模糊归纳和定位攻击,阻止风险扩散,消除“安全事故”于萌芽之中。

    3、事后行为审计,深度挖掘访问行为、分析攻击数据、提升应用价值,为评估安全状况提供详尽报表。

    4、面向客户的应用加速,提升系统性能,改善WEB访问体验。

    5、面向过程的应用控制,细化访问行为,强化应用服务能力。

    6、面向服务的负载均衡,扩展服务能力,适应业务规模的快速壮大。

     

    Web应用防火墙的特点

    异常检测协议

    Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

    增强的输入验证

    增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

    及时补丁

    修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。

    转载于:https://www.cnblogs.com/iors/p/9775914.html

    展开全文
  • Web应用防火墙web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备的一款产品 。 Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、...

    Web应用防火墙是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备的一款产品 。

    Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。

    Web应用防火墙主要是对Web特有入侵方式的加强防护,如DDOS防御、SQL注入、XML注入、XSS等。

    Web应用防火墙的功能

    1、事前主动防御,智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击,全方位保护WEB应用。

    2、事中智能响应,快速P2DR建模、模糊归纳和定位攻击,阻止风险扩散,消除“安全事故”于萌芽之中。

    3、事后行为审计,深度挖掘访问行为、分析攻击数据、提升应用价值,为评估安全状况提供详尽报表。

    4、面向客户的应用加速,提升系统性能,改善WEB访问体验。

    5、面向过程的应用控制,细化访问行为,强化应用服务能力。

    6、面向服务的负载均衡,扩展服务能力,适应业务规模的快速壮大。

    Web应用防火墙的特点

    异常检测协议

    Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

    增强的输入验证

    增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

    及时补丁

    修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。

    转载于:https://my.oschina.net/u/3778497/blog/1620760

    展开全文
  • 什么是Web认证

    千次阅读 2010-08-19 16:32:00
    简而言之,web认证就是一个确认对方身份的过程。Web认证最典型的方式通过用户名和密码。   Web认证有多种方式   A. Http协议内建的认证方法    1. ...

    简而言之,web认证就是一个确认对方身份的过程。Web认证最典型的方式是通过用户名和密码。

     

    Web认证有多种方式

     

    A. Http协议内建的认证方法

     

        1. Http Basic Authentication (Http基本认证)

     

            HTTP基本认证是最简单也是曾经使用过很长时间的一种认证方式。基本认证要求为每一个保护域(realm)提供一个用户名和密码进行认证。 

     

            流程简介:

     

            a. 客户端浏览器访问一个受http基本认证保护的资源。

     

            b. 服务器返回401(authentication required)状态,要求客户端提供用户名和密码进行认证。Response Header里面有一个属性WWW-Authenticate,它的值比如: Basic realm="Restlet tutorial"。

     

            c. 客户端弹出一个窗口,用于输入用户名和密码(基本上所有的浏览器都提供对基本认证的支持,它们都内建了一个用户名密码输入窗口)。

     

            d. 输入用户名密码并确认之后,客户端把%username%:%password%用Base64进行编码后通过Request Header: Authorization传送给服务器,所以可以看到Http基本认证是明文传输,安全风险很大。比如Authorization: Basic xxxxxxxxxx.

     

            e. 如果认证成功,则返回相应的资源。如果认证失败,则跳回b,重新进行认证。

     

            特点:

     

            *. Http是无状态的,即使来自同一个客户端,对同一个realm内资源的每一个访问还是会被要求进行认证。

     

            *. 客户端会缓存用户名和密码,并和认证域(authentication realm)一起保存。所以,如果对同一个域(realm)的其它资源进行访问,不需要你重新输入用户名和密码。

     

            *. 登录信息会和认证域以及服务器名一起存储,所以可以很好地和其他登录信息区分开来。

     

            *. 基本认证方式是不安全的,因为用户名密码以及内容都是以非加密的方式传输。

     

        2. Digest Authentication (摘要式身份认证)

     

            摘要式认证是一种基于challenge-response的认证模式。

     

            流程简介:

     

            a. 客户端发起一个请求(没有认证信息)。

     

            b. Web服务器返回一个带有WWW-Authenticate头的response(401),请求提供认证。

     

            c. 客户端返回用户名和密码的摘要信息(比如说MD5加密),而不是明文。

     

            d. 通过认证,则返回相应的内容。否则,继续b。

     

            特点:

     

            *. 摘要认证主要是为了解决基本认证中最大的漏洞,即用明文传输用户名和密码的问题。

     

            *. 挑战模式:每次返回401响应的时候,都会返回一个nonce(number used only once)。或者,为了安全起见,还可能会使用一次性nounce(每个request都得到一个不同的nounce)等其它方法来加强安全性。

     

            *. Checksum(默认是MD5 checksum)是username, password, nonce值, HTTP方法, 和被请求的URI的checksum。

     

            *. 安全隐患:虽然密码并非明文传输,但黑客还是可以利用digest值来访问网站。并且,它对内容并不加密。

     

    B. Form-based

     

        基于Form的认证方式是高度可定制,也应该是目前用地最多的一种认证方式。

     

        流程简介:

     

        1. 客户端通过一个form,把用户名和密码post给服务端。

     

        2. 服务端通过一些逻辑来判断认证是否有效。

     

        3. 如果认证成功,服务器返回一个cookie(一个能唯一确认客户端的cookie,比如sessionId),用于客户端接下来的访问。如果认证失败,会提示用户进行重新输入用户名密码再次认证。

     

        特点:

     

        *. 高度可定制:可以根据自己的需要来实现认证逻辑。

     

        *. 服务器端要有一个保存客户端信息的地方,比如session。

     

        *. 客户端要有一个cookie来表明自己的身份,一般是username和一个cookie值(比如sessionId)的组合。

     

        *. 客户端cookie的生命周期和安全性息息相关。比如现在很多站点都支持“remember me”,其实就是在服务器端remember session并在客户端remember cookie。有些站点为了更好的安全性,用这种方式登录时,如果要执行一些重要的操作比如改密码,会要求客户用用户名和密码的方式重新登录。

     

    C. 证书认证

     

        证书认证方式比之其他方式是最安全的认证方式。

     

        对于数字证书的作用,我在这篇文章 里面做了详细介绍。

     

    D. 微软提供的认证方式

     

         这几种认证方式都是微软提供的,不做太多介绍。

     

         1. NTLM,IE only。

     

         2. Microsoft Passport(Single Signon).

         

    好了,这篇文章就简单介绍一下各种认证方式吧。下篇文章,主要讨论几种认证方式在各种服务器上的实现方式。

    展开全文
  •  Web应用防护墙(Web Application Firewall,简称WAF)通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用...

      当Web应用越来越为丰富的同时,Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。

      Web应用防护墙(Web Application Firewall,简称WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。

      WAF通过记录分析黑客攻击样本库及漏洞情况,使用数千台防御设备和骨干网络以及安全替身、攻击溯源等前沿技术,构建网站应用级入侵防御系统,解决网页篡改、数据泄露和访问不稳定等异常问题,保障网站数据安全性和应用程序可用性。

      WAF的工作原理

      WAF部署在web应用程序前面,在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量,可以防止源自web应用程序的安全漏洞(如SQL注入,跨站脚本攻击,文件包含和安全配置错误)的攻击。

      WAF的出现解决了传统防火墙无法解决的针对应用层的攻击问题:

      WAF会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求,从而减少攻击的影响范围;WAF增强了输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为,减小Web服务器被攻击的可能;WAF可以对用户访问行为进行监测,为Web应用提供基于各类安全规则与异常事件的保护;WAF还有一些安全增强的功能,用以解决WEB程序员过分信任输入数据带来的问题,如隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护等。

      WAF有哪些功能

      攻击防护:智能识别Web系统服务状态,实时在线优化防御规则库、分发虚拟补丁程序,提供持续的安全防御支持。数千台防御设备,数百GB海量带宽和内部高速传输网络,实时有效抵御各类DDoS攻击、CC攻击。

      安全替身:通过前沿的安全替身技术,虚拟补丁服务,采用主动发现、协同防御的方式将Web安全问题化于无形。即使在极端情况下,Web系统被入侵,甚至被完全破坏,也能重新构造安全内容,以保障系统正常服务。

      攻击溯源:现有全球30万黑客档案库及漏洞情况服务中心,对攻击进行实时拦截、联动动态分析。通过百亿日志的大数据分析追溯攻击人员和事件,并利用“反向APT”技术完善黑客档案库,为攻击取证提供详尽依据。

      登录安全:通过对登录过程中失败的用户名、密码、登录评率和登录后地域变化等多因素进行关联判断,从而实现Web系统登录安全。

      大连正规妇科医院 http://mobile.62671288.com/

    展开全文
  • 在应用Spring Security的Web应用中,假定全部采用缺省配置,如果用户在未登录状态试图访问一个受保护的HTTP资源,可能我们的一个页面,也可能一个Restful API,此时: Spring Security会抛出异常...
  • <p>And by that i don't mean using HTTPS, but data encryption. <p>Is there a nice encryption method that i can use in ... <p>Thanks in advance. </div>
  • Web应用越来越为丰富的同时,Web服务器以其强大的计算能力、处理性能及蕴含的较高价值...什么是Web应用防火墙? WAF通过记录分析黑客攻击样本库及漏洞情况,使用数千台防御设备和骨干网络以及安全替身、攻击溯源等
  • 首先,开发一套安全策略  保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被... 网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜...
  • web apis 编程 什么是JSON Web令牌? 为什么它们在微服务架构风格的背景下很重要? 很高兴你问。 关于JSON Web令牌,有很多要讨论的内容,但让我们先概述一下API网关,然后我们将深入研究JSON Web令牌和入门方法...
  • 我们在编写web项目时,为了保护资源的目的,可以将资源文件,比如jsp页面,文档,我们希望这些资源留给开发人员查看的,不希望别人随意查看自己的源代码,所以,可以将这些资源放在WEB-INF目录下,这样就不可以...
  • 第一篇blog,没有什么特别想写的,恰好昨天被一个小问题(也大问题)给耽误了一天,不如就把它写下来吧。 myeclipse中,如果把jsp写在WEB-INF下的话,将受到访问保护,需要配置web.xml来访问。 但同时,如果...
  • 缓存很多Web前端人员都了解,但降级和限流是什么呢?接下来的文章中,我就给大家简单介绍。 降级 服务降级是当服务器压力剧增的情况下,根据当前业务情况及流量对一些服务和页面有策略的降级,以此释放服务器资源以...
  • 首先,开发一套安全策略 保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的...网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜欢冒险的用户将会被...
  • Web应用防火墙究竟是什么?它和传统的安全产品有什么不同?应用起来又有要注意什么?请看《走出Web应用防火墙认识误区》系列文章。  系列一:谁能保护Web应用?  如今,电子政务、电子商务、运营商的增
  • 什么是JSON Web令牌? 为什么它们在微服务架构风格的背景下很重要? 很高兴你问。 关于JSON Web令牌,有很多要讨论的内容,但让我们首先概述一下API网关,然后我们将深入研究JSON Web令牌和入门方法(包括一个很棒的...
  • 本文讲的 什么真正符合Gartner PPDR模型的应用保护产品,Gartner在2017年6月发布的《Market Guide for Application Shielding》中强调,随着移动应用、物联网及 Web 应用程序普及给人们生活带来更多便捷的同时...
  • 什么是 Let’s Encrypt Let’s Encrypt 互联网安全研究组织 (ISRG) 提供的免费证书认证机构。它提供了一种轻松自动的方式来获取免费的 SSL/TLS 证书 - 这Web 服务器上启用加密和 HTTPS 流量的必要步骤。获取...
  • Filecoin第一个与实际应用挂钩的区块链项目,是Web3.0的存储基础设施。其稳定运行至关重要,这个稳定运行的保障来自于抵押。其抵押模型的设计也其经济模型中的重要部分。 首先,抵押与收益直接挂钩:收益越高,...
  • 1、什么是Spring Security Spring Security为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为...
  • 用JWT来保护我们的ASP.NET Core Web API

    千次阅读 2017-01-20 23:22:50
    在上一篇博客中,自己动手写了一个Middleware来处理...JWT的全称JSON WEB TOKENS,一种自包含令牌格式。官方网址:https://jwt.io/,或多或少应该都有听过这个。  先来看看下面的两个图:  站点通过RPC的
  • 当您正在使用电子商务、电子银行转存帐,可能您的Web页面需要经过安全加密处理,那么,此时您就必须用到https,其中的ssecure(安全保护的意思)https在安全套接层(SSL)之上使用http,所以http的内容被SSL所保护...
  • 我们说WEB-INF目录下有 *.xml classes lib 等目录和文件,它们一般都不让直接访问的。 说明这个目录安全的,我们回想为什么不把jsp、html等页面文件放进去呢? 这样会不会安全一些呢?大家猜的不错,这样...
  • 电子商务许多公司的重要来源。...因此,选择快速,安全的托管解决方案的关键是保护您的用户数据免受黑客和网络钓鱼站点的攻击。最常见的安全风险包括网络攻击形式,如注入,身份验证和跨站点脚本。 1.遵...
  •  说明这个目录安全的,我们回想为什么不把jsp、html等页面文件放进去呢? 这样会不会安全一些呢?大家猜的不错,这样安全了(使用过滤器也可以实现该功能), 有一个路径问题需要解决,使用页面入口问题,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 843
精华内容 337
关键字:

web保护是什么