第30回 Webアプリケーションファイアウォール(WAF)
...なんでしょこれ。
読んでみると、まあ、ファイアウォールと言えなくはないか。
静的なルールで通信を遮断するので。
でもそのルールを書くのは大変だと思うけど。
考え得るパターン全部かいとかねばならん。
あまりに一般的な攻撃なら製品についてるだろうけど。
でもWebアプリケーションは、みなそれぞれ挙動が違うからね。
それに下手に通信を切られると、アプリケーション自体が動かないことになる。
難しいぞ。これ。
ここで出てくる技術が二つあるので、書いときます。
1.SSLアクセラレータ
SSLアクセラレータはアクセラレータゆうくらいだから、速くなるのだ。
昔々その昔はCPUアクセラレータゆうのがふつーにうっとったが。
最近はCPU自体を換装した方が速いので、もうないかの。
ふつーは、SSLはWebサーバに仕込んでおく。
けれど、それをやるとWebサーバに負担がかかるのです。CPUが忙しいのです。
如何せん暗号化/複合化を1通信毎にやらねばならん。
で、これを専用機にやらせてしまおう。というのが、SSLアクセラレータ。
専用機なので一応速いし、Webサーバに負担がかからない。
というのは、SSLアクセラレータとWebサーバの間はふつーのhttp通信なので。
ユーザ---HTTPS---SSLアクセラレータ---HTTP---Webサーバ
こんな感じです。
2.リバースプロキシ
通常のプロキシは内から外へで使われるものですが、リバースというくらいなので、
逆向きです。つまり外から内へ。
これをやることにより、ゲートを作れます。
つまり、FWを置くことができるわけです。(リバースプロキシ機能を持ったFW)
あと、Webサーバを隠蔽することもできます。
つまり直接的なアクセスを防ぐことができる。(本末転倒な気もしますが。)
以上二つの機能をもつものが多いようです。WAF。(プロレス団体みたいだの。)
でもこれ、まだ一般的な技術とは言えない気がするので、試験にはでないでしょ。
出るとしても午前問題でちろっと。
なので、無視していいと思います。
...なんでしょこれ。
読んでみると、まあ、ファイアウォールと言えなくはないか。
静的なルールで通信を遮断するので。
でもそのルールを書くのは大変だと思うけど。
考え得るパターン全部かいとかねばならん。
あまりに一般的な攻撃なら製品についてるだろうけど。
でもWebアプリケーションは、みなそれぞれ挙動が違うからね。
それに下手に通信を切られると、アプリケーション自体が動かないことになる。
難しいぞ。これ。
ここで出てくる技術が二つあるので、書いときます。
1.SSLアクセラレータ
SSLアクセラレータはアクセラレータゆうくらいだから、速くなるのだ。
昔々その昔はCPUアクセラレータゆうのがふつーにうっとったが。
最近はCPU自体を換装した方が速いので、もうないかの。
ふつーは、SSLはWebサーバに仕込んでおく。
けれど、それをやるとWebサーバに負担がかかるのです。CPUが忙しいのです。
如何せん暗号化/複合化を1通信毎にやらねばならん。
で、これを専用機にやらせてしまおう。というのが、SSLアクセラレータ。
専用機なので一応速いし、Webサーバに負担がかからない。
というのは、SSLアクセラレータとWebサーバの間はふつーのhttp通信なので。
ユーザ---HTTPS---SSLアクセラレータ---HTTP---Webサーバ
こんな感じです。
2.リバースプロキシ
通常のプロキシは内から外へで使われるものですが、リバースというくらいなので、
逆向きです。つまり外から内へ。
これをやることにより、ゲートを作れます。
つまり、FWを置くことができるわけです。(リバースプロキシ機能を持ったFW)
あと、Webサーバを隠蔽することもできます。
つまり直接的なアクセスを防ぐことができる。(本末転倒な気もしますが。)
以上二つの機能をもつものが多いようです。WAF。(プロレス団体みたいだの。)
でもこれ、まだ一般的な技術とは言えない気がするので、試験にはでないでしょ。
出るとしても午前問題でちろっと。
なので、無視していいと思います。
※コメント投稿者のブログIDはブログ作成者のみに通知されます