如果你细心观察的话,应该会发现,随着Web应用越来越多,黑客的攻击目标也逐渐转向了针对Web安全的攻击。传统的防火墙主要专注于网络层的攻击防御,对Web安全的防御能力相对欠缺。因此,WAF(Web Application Firewall,Web应用防护系统)的概念也就被提了出来。WAF说白了就是应用网关防火墙的一种,它只专注于Web安全的防御,近几年来逐渐被当成一个相对独立的产品方向来研究。
那么,WAF和防火墙到底有哪些区别呢?针对我们之前讲过的各种Web攻击手段,WAF是如何提供保护的呢?今天,我们就一起来看!
黑客在网络攻击时,第一步会扫描系统对外开放的端口,尝试发起连接或者攻击。比如,黑客可以扫描公司公网IP的22端口(SSH服务),然后尝试爆破登录。这个时候,通过防火墙,我们既可以屏蔽掉开放的22端口,也能拦截爆破的请求。所以,防火墙是面对外部入侵的第一道防线。
感谢你来学习安全专栏,如果有任何疑惑或者建议欢迎留言和我沟通。新的一年祝你工作顺利、事业有成、升职加薪!
从这一讲开始,我们讨论安全防御工具。实际上,每个公司都需要进行安全体系建设,业内将这些通用性的建设经验进行总结,形成了各种安全标准和框架。从这些标准和框架中,我们能了解到建设安全体系的思路和方向,对于实际的安全落地工作,有很大的指导作用。
如今,大数据处理已经成为了每一个应用和公司都必备的业务。因此,除了数据库之外,分布式的平台和框架也是开发人员最熟悉的工具之一。
说到分布式,就不得不提到Hadoop。Hadoop可以说是一个划时代的分布式框架,底层的HDFS提供了大数据存储的文件系统支持,YARN提供了大数据运算的资源调度能力,而MapReduce的计算框架,更是彻底革新了数据运算的方式。基于此,Hadoop又衍生了一系列的分布式工具和数据处理生态圈。
说到数据库,你肯定会说:“数据库是我最熟悉的工具了。利用它,我能够设计复杂的表结构、写出炫酷的SQL语句、优化高并发场景下的读写性能。”当然,我们的日常工作离不开数据库的使用。而且,数据库中储存的大量机密信息,对于公司和用户都至关重要。
那关于数据库的安全你知道多少呢?你知道数据库是如何进行认证的吗?使用数据库交换数据的过程是安全的吗?假如黑客连入了数据库,又会发生什么呢?
今天,我就以两种比较常见的数据库Redis和MySQL为例,来和你一起探讨数据库的安全。
你平时使用手机连接无线网络的时候,一定看到过这样的安全提示:不要连接陌生的Wi-Fi。也一定看过很多这样的报道:某先生/女士因为使用了陌生的Wi-Fi,信息遭到泄露,不仅账号被盗用,还造成了经济损失。
从这一讲开始,我们讨论Linux系统和应用安全。我们知道,在开发一个应用的过程中,需要涉及代码、操作系统、网络和数据库等多个方面。所以,只是了解代码安全肯定是不够的,我们还需要了解常见的基础环境和工具中的安全机制,学会通过正确地配置这些安全机制,来提升安全保障。
我在Web安全的前6讲中,给你讲解了各种漏洞的产生和防护方法,比如:XSS、SQL注入、CSRF、SSRF和插件漏洞。除了这些漏洞之外,我也着重强调了一点,黑客善于通过“蛛丝马迹”推断出代码逻辑,然后发起攻击。学习了这些内容,在实际工作的过程中,我们其实就能基本避免大部分的Web安全问题了。但是,有一天,我又遇到了新的问题。