解析如何评估并部署Web应用防火墙

Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。传统防火墙主要在于保护网络的外围部分，而WAF则部署在Web客户端与Web服务器之间。专家表示，Web应用防火墙的最大好处是，帮助分析应用层的流量以发现任何违法安全政策的安全问题。

　　虽然某些传统的防火墙能够提供某种程度的应用方面的保护，但是从针对性和范围来看，都比不上WAF。举例来说，WAF可以检测出应用程序是否以其规定的方式在运行，并且能够帮助你编写更具体的安全政策以防止同样的事情再次发生。

　　WAF与入侵防御系统(IPS)也存在差异，Gartner的分析师Greg Young表示，“这是一种非常不同的技术，它不是基于签名，而是从行为来分析，它能够帮助减少你自己无意中可能制造的漏洞问题，”

　　目前使用WAF的主要驱动力来自于支付卡行业数据安全标准(PCI DSS)，该标准主要通过两个办法来审查是否合规：WAF和代码审查。另外一个驱动力就是，大家越来越多的意识到攻击已经开始由网络转移到应用程序。WhiteHat Security在2006月到2008年12月间对877个网站进行了评估，结果发现82%至少存在某种重要的紧急的系统严重性。

　　Web应用防火墙(WAF)的主要特性

　　Web应用防火墙市场仍然还不是很明确，有很多相似的产品被归类到WAF范围内。专家指出，“很多产品能够提供远远高于防火墙的功能，这使产品很难进行评估和比较。”此外，新的供应商也开始不断涌入市场，主要通过将已有的非WAF产品整合为综合产品。

　　那么Web应用防火墙应该觉有哪些特性？IT专家网总结发现，以下这些特性是WAF应该具备的：

　　·对HTTP有非常深入的理解，WAF必须能够深入分析和解析HTTP的有效性。

　　·提供正面的安全模型。积极的安全模型可以只允许已知流量通过，有时也被称为“白名单”，这就给应用程序提供了一个有效的外部验证盾牌保护。

　　·应用层规则。由于高昂的维护成本，积极的安全模式应该还要配合基于签名的系统来运作。但是由于web应用程序都是自定义编码的，传统的针对已知漏洞的签名都没有效。WAF规则应该是通用的并且能够检测攻击的任何变种，如SQL注入攻击。

　　·基于会话的保护：HTTP存在的最大缺点在于缺乏内置的可靠会话机制，WAF必须补充应用程序会话管理的功能并保护它免受基于会话和超时攻击。

　　·允许细粒度政策管理。应该对很少部分的应用程序执行例外处理，否则，可能造成安全漏洞。

　　 Web应用防火墙选择标准

　　开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织，OWASP建议在选择Web应用防火墙时应该参照一下标准：

　　·很少出现误报(例如，不应该拒绝授权请求等)

　　·默认防御的强度

　　·容易操作模式

　　·可以预防的漏洞类型

　　·能够限制个人用户只能在当前对话中所看到的内容

　　·配置预防特定问题的能力，如紧急补丁等

　　·WAF提供形式：软件与硬件(一般偏好硬件)

　　Web应用防火墙主要需要考虑的问题

　　·WAF与源代码扫描的比较

　　WAF能够实时保护应用程序，而不是修复漏洞，这在过去一直受到大家的批评。有些供应商甚至避免使用“WAF”字眼，而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而，现在越来越普遍的共识是，只有通过正确的部署，WAF才可以作为多层安全模型中重要的组成部分，因为WAF可以在修复应用程序漏洞的时候提供保护。

　　笔者曾与安全设备提供商交流中表示，应用程序中存在太多漏洞，根本来不及修复代码本身，并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中，这样就能够减轻目前的状况并能过后再修复问题。

　　另一方面，Gartner公司建议客户考虑采用消除应用程序漏洞的技术，“在你花钱购买设备之前，应该考虑一下，能否通过更强大的系统开发生命周期来消除漏洞，或者通过使用其他工具，如源代码扫描器。”

　　对于大多数企业而言，采用其中任意一种方法就足够了，虽然对于应用安全需求很好的金融或内源用户而言，笔者认为综合的安全保护措施不失为更好的选择。

　　·硬件设备与软件比较

　　Jarden Consumer Solutions公司的全球网络服务和运作IT主管Jack Nelson表示，他们选择硬件安全网关（集成Web应用安全技术）的主要原因在于，能够有效的对这两者进行配置。Jarden公司有个没有配备IT人员的远程办公室，因此Nelson使用基于软件的版本解决方案，这样办公室管理人员就可以在现有WAF失效的时候轻松将任何电脑配置为WAF。“这比购买第二个防火墙更灵活，这样比快速反应维护费要便宜，”他表示，这种界面非常简单并且不需要防火墙专家来配置，另外授权是基于密钥的，这样比较适用于远程。

专家表示，首先就想清楚部署内置WAF还是外带的WAF是至关重要的，并不是所有WAF都支持这两种模式，很少看到包含不同部署模式的产品。

关于WAF的注意事项

　　清楚理解独立产品和集成产品的区别。我们有必要区分这两种供应商：将WAF功能集成到现有应用交付和网络安全产品中的供应商以及那些专门生产应用程序安全产品的供应商。选择哪种供应商主要取决于很多因素，包括系统中已经安装了哪些程序，企业需要的安全级别，企业是需要专门的产品还是拥有广泛功能的产品。

　　安全专家表示，侧重应用交付的产品对于应用安全而言是远远不够的，因为并不包括计算密集型功能，例如了解引擎和会话意识等。了解引擎可以使WAF了解应用程序的行为并生成相关的建议政策。会话认知可以让WAF建立实时的动态的、基于会话的规则，并使用这些规则来确定随后的请求是否有效。

　　不要把WAF当作灵丹妙药！很多公司为了PCI合规的目的而开始使用WAF，然而，分析师警告说，最好不要将WAF作为通过合规检测的产品。

　　“很多人病急乱投医，”Young补充说，“很多人认为，只要购买了防火墙，就能够打发审计员，但是这样做是不够的，你需要将应用程序防御配置为适合自身环境的模式。”

　　看看传统WAF功能之外的增强功能。虽然传统的WAF客户都是安全团队，不过现在很多WAF产品开始吸引广大普通客户的关注，主要是现在的WAF的分析功能、单点登陆支持和与Web服务安全的集成。

　　在一家全球性能源公司，使用WAF的目的在于满足该公司服务导向架构(SOA)部署的安全服务，该公司的总设计师决定采用Reactivity XML加速器安全装置(随后被思科收购)。

　　从性能监测角度来考虑WAF。应用检测是WAF的非传统用法，由于WAF能够检测性能问题以及检测应用程序是否因为无效链接而造成的错误页面等问题，这使这个功能越来越受到欢迎。

　　不要忽视细节。虽然可以使用黑名单规则来保证基本的安全，但是还是需要为最简单的web应用程序投入持续的时间和劳动力，即使有规则模板和学习引擎，还是需要经常对系统进行细节调整和自定义化以提高有效性和降低报错。

　　考虑学习引擎功能。有了学习引擎，WAF就可以学习了解应用程序行为，这样就能创建甚至执行规则。在非常动态的环境中，最好让WAF对不正确的行为进行提醒而不是阻止。

　　考虑企业级别的功能。Jarden公司的Nelson选择了硬件安全产品来处理企业级别的控制台功能，提供对所有防火墙的集中管理。他特别喜欢将所有的防火墙集中到所谓的“容器”中，并在这些容器中使用不同的政策。

　　与此同时，一家营养品制造商的安全通讯工程师表示，梭子鱼系统的最大优势在于它的可扩展性，该公司使用WAF的主要动机是，为想要接收来自世界各地的用户提供一个安全的web电子邮件界面，同样使用WAF来保护系统免受应用层的攻击。

　　安全工程师希望向用户提供一个简单的URL来接收电子邮件，而不管用户在什么地方，他同样希望能够在不被中断的情况下，扩大系统范围。因为它可以在不需要新IP地址的情况下，添加额外的WAF设备，这对用户而言是完全透明的。“如果开始被重载，我们必须做的事情就是使用另外一个设备，将两个整合在一起，获得两倍能力。”