qq3250845

据了解国家互联网应急中心（以下简称 CNCERT）近日发布一则“关于 Mirai 变种Miori 僵尸网络大规模传播的风险提示”，指出一个新的僵尸网络 Mirai_miori（ Mirai 变种）正在互联网上快速传播。

通过跟踪监测发现，该僵尸网络自出现起每日上线境内肉鸡数（以IP数计算）最多已超过1万，且每日会针对多个攻击目标发起 DDoS 攻击，后期随着控制规模扩大攻击行为日益活跃。攻击最猛烈的时候共对323个目标发起攻击，曾先后调动2.5千台肉鸡攻击某受害目标。

Mirai_miori 变种僵尸网络攻击趋势

就在不久前，CNCERT 已经就 Mirai 变种僵尸网络大规模传播发出过一次风险预警，CNCERT 提示，捕获的 Mirai 变种样本至少迭代过4个版本，其日上线境内肉鸡数最高达到2.1万台，累计感染肉鸡数达到11.2万。

僵尸网络为何如此危险？

作为一种恶意软件，Mirai 能够感染在 ARC 处理器上运行的智能联网（IoT）设备，比如网络摄像头、家用路由器、家用网络存储设备（NAS）、安卓设备及Linux服务器，并将其转变为远程控制的机器人或“僵尸”并组成网络，通常用于发动 DDoS 攻击或通过挖矿牟利。

Mirai 的作者在一个著名安全专家的网站上发起了 DDoS 攻击，或许是为了隐藏这次攻击的源头，一周后，他们向公众发布了源代码。随后几年里，代码被许多黑客团伙下载复制并重复使用相同的技术来创建其他僵尸网络，Mirai 变种源源不绝，统计显示，全球约有五分之一的物联网设备被 Mirai 及其变种病毒感染。

由于互联网上存在安全漏洞的IoT设备和云主机数量庞大，Mirai 僵尸网络的规模正在不断扩大。而智能物联网设备的用户很多并不知道系统已被控制，也较少对设备固件进行升级，除非用户将设备淘汰更换，失陷设备可能一直被黑客团伙控制。

网络安全厂商 Cloudflare 宣布拦截了史上最大规模 DDoS 攻击，攻击峰值达到17.2M rps，该攻击正是由一个 Mirai僵尸网络变种发起的，攻击流量来自全球125个国家的超过2万个僵尸主机，针对 Cloudflare 的一个金融客户，在短短几秒钟内就发起了超过3.3亿个攻击请求。

不仅仅是 Mirai 僵尸网络，Dofloo、XOR DDoS、 BillGates、Gafgyt 几大家族的攻击活动都非常活跃，给网络空间带来较大威胁。也不仅仅局限于物联网设备，《全球DDoS威胁报告》指出，Mirai、BillGates 僵尸网络新增大量运行着 GitLab 服务的服务器，表明犯罪团伙已经将触手伸向了存在漏洞的 IDC 服务器。

企业如何抵御僵尸网络和DDoS？

DDoS僵尸网络控制的资源众多，攻击目标变换迅速，溯源非常困难，其活跃程度和凶险程度给企业正常业务造成重大威胁，防护挑战正逐步升级。

部分广泛使用的基础软件存在漏洞，大量 IoT 设备或 IDC 服务器也容易受漏洞影响成为肉鸡。企业应该及时梳理已有资产列表，不使用弱密码或默认密码，定期更换密码；发现服务器存在高危安全漏洞时，务必及时修复，否则，不仅导致存在漏洞的设备被黑客攻陷，还会波及内部其他服务器，导致大量服务器被部署僵尸网络的攻击程序，持续对外发起 DDoS 攻击。

虚拟货币监管的加码，导致大量肉鸡流入 DDoS 攻击黑产，对于企业来讲，需要评估在遭遇 Tb 级超大流量攻击的极端场景下，现有防护方案和防护资源是否还能保障业务不受 DDoS 攻击影响。如今僵尸网络成扫段攻击的重要推手，由于大量 IP 被同时攻击，很容易出现少量透传导致机房网络异常、大量攻击流量与业务流量叠加，导致防护设备性能紧张等问题，应对方案和普通的 DDoS 攻击有较大区别。

通常来讲，普通企业不具备足够大的带宽跟DDoS大流量做对抗，专业化的黑产团伙甚至具有比防守方更丰富的经验，这个对抗过程需要非常精锐的团队进行7×24小时的支撑；面对扫段攻击等特殊的攻击方式，必须秒级监测、秒级清洗才能对避免业务和服务造成影响。因此，选择跟专业度高的安全团队合作是企业应对DDoS攻击最有保障的一种方式。

DDoS攻击是所有网络威胁中唯一可以指哪打哪的攻击，效果可谓立竿见影。更有甚者，DDoS也正在成为勒索犯罪团伙的首选手段，其实施成本低、收益丰厚、难以溯源，预计未来一段时间内，都将对企业安全构成较大威胁。DDoS防护是许多企业的安全能力短板，在日常安全防护中应制定必要的预案，进行适当的演练，提升监测和响应的灵敏度，避免企业的核心资产、日常业务及品牌声誉在攻击面前化为灰烬。

qq3250845

误区1：DDoS不再是问题

根据全球应用和网络安全报告，大约三分之一的受访者遭受了拒绝服务(DDoS)攻击。攻击者正在远离简单的体积洪水，而专注于更复杂、更难缓解的应用层(L7)DDoS攻击。根据研究，90%的攻击低于10Gbps，平均每秒数据包数(PPS)有所下降，但几乎所有报告DDoS攻击的受访者(91%)都表示首选攻击向量是应用程序层。

此外，体积管道饱和攻击下降了约9%，但针对特定网络组件（如应用程序服务器、防火墙和SQL服务器）的攻击有所增加。

这意味着，虽然DDoS攻击的性质正在发生变化，但DDoS攻击仍然是组织非常关注的问题，并且是防范的高优先级。

误区2：DDoS赎金票据已成为过去

同样，在过去的几个月里，DDoS勒索攻击再次出现。根据全球应用安全报告，勒索攻击同比增长16%，70%的北美公司将勒索列为网络攻击的主要动机。

过去几个月发生了两次重大的DDoS勒索活动：第一次是针对南非的银行，最近是针对澳大利亚银行和金融机构的有针对性的活动。在这两种情况下，赎金票据先于大规模、复杂和持续的打击金融服务的运动。

这意味着虽然我们可能不像过去那样听到关于DDoS勒索攻击的消息，但攻击者并没有放弃这种攻击媒介，组织必须对这种类型的攻击保持警惕和警惕。

误区3：您的ISP可以保护您

为了应对急剧下降的连接成本，越来越多的互联网服务提供商(ISP)、运营商和移动运营商正在提供DDoS保护服务，以提供增值服务并提高客户保留率。

对于许多客户来说，将低成本的安全服务与他们的互联网服务捆绑在一起可能是一个令人信服的提议。毕竟， 谁能打败免费的价格？

然而，问题在于，在大多数情况下，安全性是您的ISP的副业。这意味着他们缺乏提供真正有效保护的技术和安全专业知识。此外，由于它通常是支持其其他服务的损失领先产品，因此经常激励ISP尽可能少地投资于防御。

因此，它们通常只提供成本最低的最简单、最基本的保护。因此，此类客户无法获得针对最新、最复杂的攻击类型的保护，例如突发攻击、动态IP攻击、应用层DDoS攻击、SSL DDoS? ?洪水??等。

依靠其ISP提供保护的客户可能会在短期内节省服务成本，但很可能会发现这种类型的低成本保护最终会变得更加昂贵。

误区4：所有DDoS保护都是相同的

随着越来越多的服务在线迁移，安全越来越关注应用程序安全和数据保护，而不是网络层安全。这导致一些组织认为DDoS保护是网络层问题，已成为过去，因此，DDoS保护都是相同的。

正如我们上面所解释的，DDoS攻击的性质正在发生变化，不久前曾经足够的保护不再有效。DDoS攻击者越来越集中在应用层，利用复杂的僵尸程序发起攻击，并使用复杂的攻击向量，如突发攻击、SSL洪水和地毯式轰炸攻击。

DDoS保护服务因技术、网络和服务而异。这就是为什么选择DDoS保护服务非常重要的原因，该服务提供的行为保护超越了简单的签名和速率限制，能够应对最大规模的攻击，并以可量化和可衡量的SLA指标支持他们的营销主张。

qq3250845

通过网络推广做SEO优化手段方式有很多，那么如何做好对整个网站的SEO优化呢？

一、定位网站关键词。

SEO开始优化一个网站的时候，不是马上设置关键词，而是先分析网站主要做什么产品/服务。知道网站的目的是做什么，是卖产品还是提供服务，这个网站的线下市场是什么？网络市场是什么样的？真正的互联网需求是什么？基于此，我们根据核心产品/服务确定他的主要关键词。

比如，某某公司是做国外移民业务的，它们的移民项目包括投资移民、亲戚移民、雇主担保移民、技术移民、留学移民等。所以移民的核心关键词包括投资移民、相对移民、雇主担保移民。

二、确定网站关键词

在定位中选择3~5个关键词，最后确定3个关键词，添加公司品牌词。把重要关键词和品牌词放在网站首页，重点优化。全站优化可以通过核心关键词和公司投入预算，选择适合公司实际情况的优化方法。

三、长尾关键词优化

在主要关键词和网站优化的基础上，围绕主要关键词，通过搜索行为、需求和习惯，可以找到用户可能找到的长尾词。根据不同关键词的分类，我们可以优化不同的网站页面，撰写不同的文章，发布到不同类型的网站页面，以满足用户的需求，达到网站优化的目的。

四.网站诊断报告分析

我们可以通过网站诊断报告列出网站的域名、pr、主要关键词；然后，把网站当前收录，反链，域名，主机位置，ping值，其他有IP的网站，是否被降级，百度排名作为核心关键词。

诊断网站结构是否是树状结构，301跳转，404页机器人文件，死链接，稳定空间，动态URL，H标签，蜘蛛陷阱等。

我们可以通过完整的诊断报告来评估网站的现状，我们可以通过诊断报告来完全实现网站未来优化需要做的一切。

动词（verb的缩写）网站优化调整

网站优化过程是阶段性的。在网站优化过程中，我们通过关键词排名、网站收录数据、网站内容更新量、网站外部链接收录量、友情链接等相关数据做好网站备份和网站修改数据。

只有根据现有的优化数据和效果，及时调整合理的优化方案，未来的网络优化效果才会更好。

qq3250845

近日，kaba发布报告，根据报告数据显示，第一季度DDoS攻击总数创下历史新高，是去年第一季度的4.5倍，主要攻击目标是政府和金融业务受创最为严重。特别是在1月和2月达到顶峰，DDoS攻击的持续时间也比之前的要长很多，以下是报告中发现的部分关键数据：

1、根据相关数据显示第一季度总共检测到91052次DDoS攻击；

2、主要的攻击目标是位于美国，占比达到44.34%；

3、主要发起攻击命令和服务器的地区是美国，占比55.53%；

4、每周的DDoS攻击数量周日占比最大，达16.35%；

5、大部分的DDoS攻击都是UDP flood攻击，占比53.64%；

6、大多数攻击（94.95%）持续时间不到 4 小时，但最长的攻击持续了 549 小时（近 23 天）；

这些攻击来自多个不同的来源，既有俄罗斯支持的网络部队，也有试图帮助乌克兰进行网络战的黑客组织。非常短时的攻击和长时间攻击的比例都有所增加，持续时间超过一天的大多数攻击目标都是针对政府机构和银行。许多组织并未做好应对此类威胁的准备，所有这些因素都表明了DDoS攻击的广泛性和危险程度。



目前为止，想要避免DDoS攻击几乎是不可能的，DDoS攻击不会突然消失，反而是越来越难以对抗。互联网企业在搭建网络环境时，应加强网络安全意识，提前考虑部署DDoS防御措施，将DDoS攻击防护提升至战略重心的高度。对于预算充足的互联网企业，可以筹建专业的安全部门，以有效应对包括DDoS攻击在内的各种复杂网络安全攻击。而对于一些自身不具备高水平安全能力的中小企业而言，我们建议通过和专业的网络安全公司需求技术支持，通过接入安全厂商的服务及资源，来有效防御DDoS攻击，在保障业务连续性、可操作性和所需成本之间找到最佳平衡点。

我们以先进的技术，进行多维度实时威胁分析，通过自研抗CC攻击指纹防护引擎盾，及时感知网络空间安全态势，层层递进动态优化网站防御策略，针对不同应用场景提供防护策略优化，可使防护能力达到最佳，同时支持移动应用、API接口应用、小程序应用、OA应用场景，可根据实际自身需求开启或关闭各类防护策略，开启全部防御策略后可抵御99.99%以上的各类Web应用攻击，保障服务器稳定运行！

qq3250845

很多游戏公司会遇到这样的情况，游戏开发完刚刚上线，游戏服务器被DDoS攻击被迫下线。那么，游戏行业会被哪几种DDoS攻击呢


1.SYN/ACK Flood 攻击

通过向受害主机发送大量伪造源 IP 和源端口的 SYN 或 ACK 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务， 由于源都是伪造的故追踪起来比较困难， 缺点是实施起来有一定难度， 需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问， 但却可以 Ping 的通， 在服务器上用 Netstat -na 命令会观察到存在大量的 SYN_RECEIVED 状态，大量的这种攻击会导致 Ping 失败、TCP/IP 栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

2.刷脚本攻击

这种攻击主要是针对存在 ASP、JSP、PHP、CGI 等脚本程序，并调用 MSSQLServer、MySQLServer、Oracle 等数据库的网站系统而设计的，特征是和服务器建立正常的 TCP 连接， 并不断的向脚本程序提交查询、 列表等大量耗费数据库资源的调用， 一般来说， 提交一个 GET 或 POST 指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录， 这种处理过程对资源的耗费是很大的， 常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的， 因此攻击者只需通过 Proxy 代理向主机服务器大量递交查询指令， 只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP 程序失效、PHP 连接数据库失败、数据库主程序占用 CPU 偏高。这种攻击的特点是可以完全绕过普通的防火墙防护， 轻松找一些 Proxy 代理就可实施攻击， 缺点是对付只有静态页面的网站效果会大打折扣，并且有些 Proxy 会暴露攻击者的 IP 地址。

3.TCP 全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤 T earDrop、Land 等 DOS 攻击的能力，但对于正常的 TCP 连接是放过的，殊不知很多网络服务程序(如：IIS、Apache 等 W eb 服务器)能接受的 TCP 连接数是有限的，一旦有大量的 TCP 连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP 全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的 TCP 连接，直到服务器的内存等资源被耗尽而被拖跨， 从而造成拒绝服务， 这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的 IP 是暴露的，因此容易被追踪。

qq3250845

慢速连接攻击，是DDoS攻击的一种形式，它与其他DDoS攻击有很大的不同，但均会最终导致服务器拒绝服务。那么什么是慢速连接攻击呢？它有几种攻击类型？


一、什么是慢速连接攻击

我们知道，DDoS攻击的最终目的，是瘫痪目标服务器，使其拒绝为正常用户服务。大多数DDoS会利用协议或系统的缺陷，向目标服务器发送大量的数据，使服务器不堪重负而宕机。但慢速连接攻击却反其道而行。它的攻击特点就是一个字“慢”。

慢速连接攻击的速度实在太慢，以至于服务器为了接收数据，一直处于等待状态，等待队列达到一定程度时，服务器资源被消耗殆尽，就拒绝服务了。

二、慢速连接攻击类型

1.Slow headers攻击

攻击者向服务器发起HTTP请求，而且不停地发送HTTP头部。服务器为需要接收完所有HTTP头部，才能处理请求。由于HTTP头部不停地被攻击者发送，服务器永远也无法接收完，服务器的web容器很快就会被攻击者占满了TCP连接，而不再接收新的请求，最终拒绝服务。

2.Slow body攻击

攻击者向目标服务器发送POST请求，服务器以为要接收大量数据，一直保持连接状态，但攻击者却以10S-100s一个字节的速度去发送数据，类似的连接被不断增加后，服务器资源被大量消耗，最终达到极限拒绝服务。

3.Slow read攻击

攻击者与服务器建立连接后，会发送完整的请求给服务器，一直保持连接状态，然后以极低的速度读取Response，或者让服务器觉得客户端很忙，消耗服务器的连接和内存资源。

以上三种攻击都是慢速连接攻击的代表，攻击者会控制大量的傀儡机，去执行慢速连接攻击的操作，危害极大，所以能够早了解其特点，那么就可提早防治避免被攻击，影响业务安全降低损失。

qq3250845

最近两年来，DDoS攻击事件频发，针对全球各大机构的大规模DDoS攻击事件，使DDoS攻击重新成为业界关注的焦点。虽然金融机构根据要求建立了本地和运营商级别的DDos攻击检测清洗服务，但随着互联网类业务的迅速发展，同时DDos攻击的成本不断下降，新的攻击手段层出不穷，攻击工具的泛滥，使DDos攻击形成了一个地下产业，投入极低的成本便可以发起DDos攻击，互联网类业务所受威胁也在不断增加。
结合多年网络安全运营的经验以及对DDos的基本认识，对DDos攻击的原理和基本防范思路进行了探讨。

拒绝服务攻击是指通过各种方式消耗网络带宽和系统CPU、内存、连接数等资源，直接导致网络带宽或系统资源的消耗，使目标系统不能为普通用户提供业务服务，从而产生拒绝服务。DDos分布式拒绝服务攻击由Dos演变而来，黑客使用多台受控制计算机(肉鸡)向一个特定目标发送尽可能多的网络访问请求，从而形成大量的流量流，冲击目标业务系统，攻击源分散，范围广泛，遍及全球。在“机密性”、“完整性”和“可用性”这三个信息安全要素中，传统的拒绝服务攻击以系统“可用性”为目标。

目前，DDos攻击主要分为两类：流量攻击和应用攻击。

业务流攻击的最大特点是业务流量大，快速消耗用户的网络带宽，造成带宽枯竭，有可能出现某一特定目标单位受到攻击，会影响共享运营商资源的其他单位带宽受到影响的情况。流量攻击的DDos又可以分为直接型和反射型，直接型包括SYNACKICMPUDPFLOOD等，反射型包括NTPDNSSSDP直接反射FLOOD等。

应用DDos攻击最典型的就是CC攻击和HTTP攻击，CC攻击是DDos攻击的一种，CC攻击是利用代理服务器产生合法的对受侵害主机的请求，实现DDOS和伪装，CC攻击(ChallengeCollapsar)主要是通过大量后台数据库查询操作来攻击页面，消耗目标资源；HTTP慢速攻击是CC攻击的变种，它适用于任何开放HTTP访问的服务器，攻击者首先建立连接，指定较大的content-length，然后以极低的速度将其发包，比如1-10s发送一个字节，然后保持这种连接不间断。
假如客户机不断建立这样的连接，那么服务器上可用的连接数量就会一点点地被占用，从而导致拒绝服务。应用型攻击，如CC攻击、慢速攻击和流量DDos的区别在于流量DDos是针对IP的攻击，CC攻击是针对服务器资源的。

当一般恶意组织发起DDos攻击时，首先被感知并发挥作用的一般是本地数据中心内的DDos保护装置，而金融机构本地保护装置则更多地采用旁路镜像部署方式。
当地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心，首先，DDos检测设备每天通过流量基线自我学习，根据不同的维度，如syn消息率、http访问率等，统计出流量基线，从而产生流量阈值。
在学习结束后，继续按照基线学习的维度做流量统计，并将统计结果与防御阈值比较，发现超过阈值的情况，通知管理中心。从管理中心发出引流策略到清洗设备，开始进行引流清洗。异常流清洗通过特征、基线、回复确认等多种方式识别、清洗攻击流。在对异常流量进行清理之后，为了防止流量再次被引到DDos清理设备，可以通过使用出口设备回注接口上强制回注的策略路将流量送到数据中心内部网络来访问目标系统。

在攻击流量超过因特网链路带宽或本地DDos清洗设备性能不足以应付DDos流量攻击时，需要通过运营商清洗服务完成攻击流量的清洗，或者借助运营商临时增加带宽，运营商需要通过各级DDos防护设备以清洗服务帮助用户解决带宽消耗型DDos攻击行为。
实际应用表明，运营商清洗服务能够较好地应对DDos流量攻击。

在运营商DDos流量清洗无法达到既定效果的情况下，可以考虑紧急启用运营商云清洗服务进行最后一轮清洗。利用运营商主干网分布部署的异常流量清理中心，实现了运营商主干网络附近近攻击源的分布式近源清理技术，提高了运营商对攻击的对抗能力。有适用场景的可考虑采用CNAME或域名方式，将源站解析到厂商安全提供的云端域名，实现引流、清理、回注，提高抗干扰能力。做这样的清理需要对流道进行较大的改动，牵涉面较大，一般不建议作为日常常规防护手段。

归纳起来，上述三种防御方法有共同的缺点：由于本地DDos防护设备和运营商都不具有HTTPS加密的通信解码能力，导致对HTTPS通信流量的防御能力有限；同时由于运营商的清洗服务多是基底。

qq3250845

很多企业在上线新项目的时候，大都会对服务器做一些安全防范措施，Linux服务器在各行各业都有运用，在安全领域，运维人员根据不同的企业、不同的应用场景和不同的服务器类型会采取不一样的措施。这里我们介绍下Linux服务器如何做好安全防范减少攻击。

Linux服务器经常会受到的攻击

据了解，SYN ddos， TCP DDoS 和HTTP DDoS攻击等依然是最常见的攻击类型。据报告显示，基于Linux和基于Windows的DDoS bots病毒的活跃性比例之前出现失衡。Linux bots 病毒成为 SYN-DDoS最具攻击力的工具。

硬件保护措施

运行在各类Linux系统上的服务器和台式机，以及交换机、路由器、调制解调器、无线设备等都比较脆弱。在嵌入式Linux系统上运行的物联网设备，同样也十分容易受到攻击。原因是大多数情况下，用户无法及时更新或重新配置带有漏洞的软件，尤其是在工作负载量大的关键服务器上，也无法更新不受制造商设备支持的旧版软件。

所以，Linux服务器租用的企业必须了解并实施SELinux，及时更新软件和内核，并采用强大的密码政策，以抵抗此类漏洞的威胁。而linux主机也必须强化或改进系统的安全性。

系统安全配置与更新

Linux是一个安全性比较高的操作系统。只要经过合理的配置和封锁，Linux就能够抵御目前许多的漏洞和攻击。除此之外，建议使用Linux的企业应该及时安装系统补丁，并对系统进行安全配置和强化，这样无关的服务和应用程序就不会在系统上运行或安装。这种方法将有助于企业建立入侵防御系统以及新一代防火墙，将网络攻击对系统的伤害降至最低，而且还能够限制黑客入侵系统或利用系统发起僵尸网络攻击。

qq3250845

Web应用的日益普及和Web攻击的与日俱增，让Web安全问题备受关注。但对于正常流量中的危险分子，传统的安全产品根本无能为力，此时，我们该靠什么来保护Web应用?Web应用防火墙(WAF)无疑是最佳之选。但Web应用防火墙究竟是什么?它和传统的安全产品有什么不同?应用起来又有要注意什么?

那么，Web应用防火墙(WAF)既然也叫“防火墙”，是不是和传统防火墙差不多?它和IPS产品又有什么区别?网页防篡改产品也能保护Web应用，它是不是也可以算是Web应用防火墙的一种?

WAF和网络防火墙、网页防篡改、IPS三者的区别

WAF与传统防火墙

传统防火墙的弱点在于：工作在三四层，攻击可以从80或443端口顺利通过防火墙检测。

由于Web应用防火墙(WAF)的名字中有“防火墙”三个字，所以很多用户都很困惑，我的网络中已经有了防火墙，再引入Web应用防火墙，是不是属于重复投资?

实际上，Web应用防火墙和传统意义上的防火墙，然名字中都有“防火墙”三个字，但它们属于两类完全不同的产品，不能互相替代。

从部署位置上看，传统防火墙需要架设在网关处，而Web应用防火墙则部署在Web客户端和Web服务器之间。

从防范内容来看，传统防火墙只是针对一些底层(网络层、传输层)的信息进行阻断，提供IP、端口防护，对应用层不做防护和过滤;而Web应用防火墙则专注在应用核心层，对所有应用信息进行过滤，从而发现违反预先定义好的安全策略的行为。

Web应用防火墙(WAF)作为一种专业的Web安全防护工具，基于对HTTP/HTTPS流量的双向解码和分析，可应对HTTP/HTTPS应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障Web应用的高可用性和可靠性。

WAF与IPS

IPS入侵防御的弱点在于它基于已知漏洞和攻击行为的防护，而且不能终止和处理SSL流量。

Web应用防火墙(WAF)的与众不同之处在于它对Web应用的理解，对HTTP协议的深刻理解，和对应用层攻击的理解。

与传统防火墙/IPS设备相比，WAF最显著的技术差异性体现在：

1.对HTTP有本质的理解：能完整地解析HTTP，支持各种HTTP编码，提供严格的HTTP协议验证，提供HTML限制，支持各类字符集编码，具备response过滤能力。

2.提供应用层规则：Web应用通常是定制化的，传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则，且具备检测变形攻击的能力，如检测SSL加密流量中混杂的攻击。

3.提供正向安全模型(白名单模型)：仅允许已知有效的输入通过，为Web应用提供了一个外部的输入验证机制，安全性更为可靠。

4.提供会话防护机制：防护基于会话的攻击类型，如Cookie篡改及会话劫持攻击。

WAF不局限于网页防篡改

网页防篡改的弱点在于对于攻击行为并不进行分析，也不阻止攻击的发生。

不可否认，网页被篡改是目前最直观的Web安全问题，无论是政府网站、高校网站，还是运营商网站、企业网站，都曾出现过严重的网页篡改事件，这让网页防篡改产品开始映入人们的眼帘。

但网页防篡改系统是一种软件解决方案，它的防护效果直接，但是只能保护静态页面，而无法保护动态页面。

而网页防篡改系统的不足，恰恰是Web应用防火墙的优势。WAF部署在网络中，深入分析HTTP协议流量，在全面防御各种Web安全威胁的同时，对Web服务器没有任何干扰，从根本上解决了包括网页篡改在内的主要Web安全问题。

qq3250845

TCP/IP协议，即Transmission Control Protocol/Internet Protocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，这是因特网最基本的协议也是国际互联网的基础，此协议由网络层的IP协议和传输层的TCP协议组成。TCP/IP 主要使电子设备连入因特网，以及对数据相互产生传输的起着规范作用。这些协议主要分为4层的层级结构，分别为：链路层、网络层、传输层和应用层。

链路层：负责封装和解封装IP报文，发送和接受ARP/RARP报文等；

网络层：负责路由以及把分组报文发送给目标网络或主机；

传输层：负责对报文进行分组和重组，并以TCP或UDP协议格式封装报文；

应用层：负责向用户提供应用程序，比如HTTP、FTP、Telnet、DNS、SMTP等。

而这每一层都是运用它的下一层所提供的协议来完成自己本层的需求。在数据链路层，数据传输在经过各层都要对其进行协议封装，用来标明对应层的通信协议。需要注意的是在网络体系结构中要建立网络通信只能在双方对等层进行，不可以调级或者交错。简单来讲就是：TCP负责发现传输数据，传输过程中有问题就发出错误信号，要求重新进行数据传输，直到所有数据安全及正确地传输到目的地。TCP主要是面向连接的可靠服务，通过三次握手建立的连接过程；仅支持单项传输；允许双方的通信应用程序随时都可以发送数据。传输层协议除了TCP协议，还有一个具有代表性的是UDP协议。

现在说说UDP协议，全称是用户数据报协议，在网络中也是用于处理传输的数据包，属于无连接的协议。处于IP协议的上一层。UDP的不可靠性在于不会对其数据包分组、组装、排序，换言之，当报文发送完成之后，是无法获悉此数据包是否是安全完整到达的也不会备份数据。不过优势也是不可忽视的。

UDP主要是面向报文的，也属于无连接型的，当应用层的数据到达传输层UDP协议时，数据只会被增加标识是UDP协议，发送给网络层，网络层再将数据传输到传输层后去除UDP协议发给应用层，这期间不会对数据报文做任何拆分和拼接的操作；UDP是有多功能的，不仅支持一对一，一对多，多对多，多对一；UDP不会被拥塞控制，一般会议稳定的速度发送数据，如果网络不好时，会自动调整发送率，不会有丢包出现。因此一般电话会议要求高的场景就会使用UDP。

TCP协议与IP协议各有各的优势如补助，我们建议大家根据实际操作应用环境选择适合的协议。如果想要数据传输的准确性，可以接收时间的延迟，就选择TCP协议；如果是需要实效性比较高就只能选择UDP协议。