V9-1 Web应用的安全实现方法.pptx

Web应用的安全实现方法主讲崔升广

一、Web应用的安全实现方法这种解决方案是将安全服务直接嵌入到应用程序中，从而在应用层实现通信安全。PGP系统就是在应用层实现Web安全的例子，它可以提供机密性、完整性和不可否认性，以及认证等安全服务。目前，很多安全厂商已经开发了专门针对Web应用的安全产品，即Web应用防火墙（WebApplicationFirewall，WAF），其也被称为网站应用级入侵防御系统、Web应用防护系统。利用国际上公认的一种说法，Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来为Web应用提供专门保护的一款产品。同时，Web应用防火墙还具有多面性的特点。如从网络入侵检测的角度来看，可以把WAF看作运行在HTTP层上的入侵检测系统（IntrusionDetectionSystem，IDS）设备；从防火墙角度来看，WAF是一种防火墙的功能模块；还有人把WAF看作深度检测防火墙的增强版。WAF对HTTPS进行双向深层次检测，对于来自Internet的攻击进行实时防护，避免黑客利用应用层漏洞非法获取或破坏网站数据，可以有效地抵御黑客的各种攻击，如结构化查询语言（StructuredQueryLanguage，SQL）注入攻击、XSS攻击、缓冲区溢出攻击、应用层拒绝服务/分布式拒绝服务攻击等；同时，对Web服务器响应的出错信息、恶意内容及不合规格内容进行实时过滤，避免敏感信息泄露，确保网站信息的可靠性。1．基于应用层实现Web安全

一、Web应用的安全实现方法安全套接字协议(SecureSocketsLayer，SSL)就是一种常见的基于传输层实现Web安全的解决方案。SSL协议提供的安全服务采用了对称加密和公钥加密两种加密机制，对Web服务器端和客户端的通信提供了机密性、完整性和认证服务。SSL协议在应用层协议通信之前，就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后，应用层协议所传输的数据都会被加密，从而保证了通信的安全。2．基于传输层实现Web安全

一、Web应用的安全实现方法传统的安全体系一般建立在应用层上，但是由于在网络层的IP数据包本身不具备任何安全特性，很容易被查看、篡改、伪造和重播，因此存在很大的安全隐患，而基于网络层的Web安全技术能够很好地解决这一问题。IPSec可提供基于端到端的安全机制，可以在网络层上对数据包进行安全处理，以保证数据的机密性和完整性。这样各种应用层的程序就可以享用IPSec提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，降低了产生安全漏洞的可能性。3．基于网络层实现Web安全

感谢您的观看主讲崔升广ThankYOU!