下一代防火墙设备-华思特(在线咨询)-湛江防火墙设备

WAF与IPS的区别总结

Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高，Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐，网传的Web漏洞挖掘和攻击工具让攻击的门槛降低，也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序，还有SQL批量注入和挂马等。但对于重要的Web应用（比如运营商或***），始终有受利益驱动的进行持续的跟踪。

如果说传统的“大而全”安全防护产品能抵御大多数由工具产生的攻击行为，那么对于有针对性的攻击行为则力不从心。而WAF正是应需求而生的一款***安全产品，这也是市场需求细化的必然趋势。但由于其部署和功能方面与IPS有类似，有人提出疑问，防火墙设备报价，为什么不能用IPS，或者说WAF与IPS有什么异同？谁更适合保护Web服务器？

这些疑问其实是有道理的，差异化的产生在于需求是不同的，从而需要细化功能贴合具体需求和符合应用现状的产品，下一代防火墙设备，这也是用户需求是随着业务自身的发展所决定的。

你真的了解防火墙吗？

一、划分网络的边界

防火墙设备的其中一个功能，就是划分网络的边界，严格地将网络分为“外网”和“内网”。

“外网”则是防火墙认为的——不安全的网络，不受信任的网络；“内网”则是防火墙认为的——安全的网络，受信任的网络。

二、加固网络的安全

防火墙的其中一个功能，就是网络流量流向的问题（内到外可以访问，外到内默认不能访问），这就从一定程度上加强了网络的安全性，那就是：“内网属于私有环境，外人非请莫入！”

另外，防火墙还能从另外一些方面来加固内部网络的安全：

1：隐藏内部的网络拓扑

这种情况用于互联网防火墙。因为内网一般都会使用私有IP地址，而互联网是Internet的IP地址。

由于在IPv4环境下IP地址不足，内部使用大量的私有地址，转换到外部少量的Internet地址，思科防火墙设备，这样的话，外部网络就不会了解到内部网络的路由，也就没法了解到内部网络的拓扑了。

同时，防火墙上还会使用NAT技术，将内部的服务器映射到外部，所以从外部访问服务器的时候只能了解到映射后的外部地址，根本不会了解到映射前的内部地址。

下面我们将结合Tunnel接口介绍一下防火墙对GRE流量的转发过程

1． 企业的私si网流量到达防火墙的入接口，防火墙查询路由表对此流量进行转发。

2． 防火墙根据路由查找结果，将此流量引导到Tunnel接口进行GRE封装。

3． 封装后的GRE报文再次查找路由进行流量转发。

4． 防火墙根据路由查找结果，找到出接口，并将流量发送到Internet。

这就是防火墙对私si网流量进行GRE封装和转发的全过程，很简单吧。有些小伙伴肯定在想了，这里只介绍了封装过程，那隧道对端是如何解封装的？

其实解封装也很简单。首先隧道对端在接收到报文以后，先根据该报文目的地址判断是不是发给自己的，在

明确报文是发给自己以后，再去判断这个报文是不是GRE报文。怎么判断呢？在封装原理那幅图中我们可以看

到封装后的GRE报文会有个新的IP头，这个新的IP头中有个Protocol字段，字段中标识了内层协议类型，如果这

个Protocol字段值是47，就表示这个报文是GRE报文。

下一代防火墙设备-华思特(在线咨询)-湛江防火墙设备由深圳市华思特科技有限公司提供。深圳市华思特科技有限公司（www.fastchina.net）拥有很好的服务与产品，不断地受到新老用户及业内人士的肯定和信任。我们公司是全网商盟认证会员，点击页面的商盟***图标，可以直接与我们***人员对话，愿我们今后的合作愉快！同时本公司（www.hst913.com）还是从事深圳机房改造，东莞网络机房，广州机房施工的服务商，欢迎来电咨询。