解析如何评估并部署Web应用防火墙
虽然某些传统的防火墙能够提供某种程度的应用方面的保护,但是从针对性和范围来看,都比不上WAF。举例来说,WAF可以检测出应用程序是否以其规定的方式在运行,并且能够帮助你编写更具体的安全政策以防止同样的事情再次发生。
WAF与入侵防御系统(IPS)也存在差异,Gartner的分析师Greg Young表示,“这是一种非常不同的技术,它不是基于签名,而是从行为来分析,它能够帮助减少你自己无意中可能制造的漏洞问题,”
目前使用WAF的主要驱动力来自于支付卡行业数据安全标准(PCI DSS),该标准主要通过两个办法来审查是否合规:WAF和代码审查。另外一个驱动力就是,大家越来越多的意识到攻击已经开始由网络转移到应用程序。WhiteHat Security在2006月到2008年12月间对877个网站进行了评估,结果发现82%至少存在某种重要的紧急的系统严重性。
Web应用防火墙(WAF)的主要特性
Web应用防火墙市场仍然还不是很明确,有很多相似的产品被归类到WAF范围内。专家指出,“很多产品能够提供远远高于防火墙的功能,这使产品很难进行评估和比较。”此外,新的供应商也开始不断涌入市场,主要通过将已有的非WAF产品整合为综合产品。
那么Web应用防火墙应该觉有哪些特性?IT专家网总结发现,以下这些特性是WAF应该具备的:
·对HTTP有非常深入的理解,WAF必须能够深入分析和解析HTTP的有效性。
·提供正面的安全模型。积极的安全模型可以只允许已知流量通过,有时也被称为“白名单”,这就给应用程序提供了一个有效的外部验证盾牌保护。
·应用层规则。由于高昂的维护成本,积极的安全模式应该还要配合基于签名的系统来运作。但是由于web应用程序都是自定义编码的,传统的针对已知漏洞的签名都没有效。WAF规则应该是通用的并且能够检测攻击的任何变种,如SQL注入攻击。
·基于会话的保护:HTTP存在的最大缺点在于缺乏内置的可靠会话机制,WAF必须补充应用程序会话管理的功能并保护它免受基于会话和超时攻击。
开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织,OWASP建议在选择Web应用防火墙时应该参照一下标准:
·很少出现误报(例如,不应该拒绝授权请求等)
·默认防御的强度
·容易操作模式
·可以预防的漏洞类型
·能够限制个人用户只能在当前对话中所看到的内容
·配置预防特定问题的能力,如紧急补丁等
·WAF提供形式:软件与硬件(一般偏好硬件)
Web应用防火墙主要需要考虑的问题
·WAF与源代码扫描的比较
WAF能够实时保护应用程序,而不是修复漏洞,这在过去一直受到大家的批评。有些供应商甚至避免使用“WAF”字眼,而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而,现在越来越普遍的共识是,只有通过正确的部署,WAF才可以作为多层安全模型中重要的组成部分,因为WAF可以在修复应用程序漏洞的时候提供保护。
笔者曾与安全设备提供商交流中表示,应用程序中存在太多漏洞,根本来不及修复代码本身,并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中,这样就能够减轻目前的状况并能过后再修复问题。
另一方面,Gartner公司建议客户考虑采用消除应用程序漏洞的技术,“在你花钱购买设备之前,应该考虑一下,能否通过更强大的系统开发生命周期来消除漏洞,或者通过使用其他工具,如源代码扫描器。”
对于大多数企业而言,采用其中任意一种方法就足够了,虽然对于应用安全需求很好的金融或内源用户而言,笔者认为综合的安全保护措施不失为更好的选择。
·硬件设备与软件比较
Jarden Consumer Solutions公司的全球网络服务和运作IT主管Jack Nelson表示,他们选择硬件安全网关(集成Web应用安全技术)的主要原因在于,能够有效的对这两者进行配置。Jarden公司有个没有配备IT人员的远程办公室,因此Nelson使用基于软件的版本解决方案,这样办公室管理人员就可以在现有WAF失效的时候轻松将任何电脑配置为WAF。“这比购买第二个防火墙更灵活,这样比快速反应维护费要便宜,”他表示,这种界面非常简单并且不需要防火墙专家来配置,另外授权是基于密钥的,这样比较适用于远程。
清楚理解独立产品和集成产品的区别。我们有必要区分这两种供应商:将WAF功能集成到现有应用交付和网络安全产品中的供应商以及那些专门生产应用程序安全产品的供应商。选择哪种供应商主要取决于很多因素,包括系统中已经安装了哪些程序,企业需要的安全级别,企业是需要专门的产品还是拥有广泛功能的产品。
安全专家表示,侧重应用交付的产品对于应用安全而言是远远不够的,因为并不包括计算密集型功能,例如了解引擎和会话意识等。了解引擎可以使WAF了解应用程序的行为并生成相关的建议政策。会话认知可以让WAF建立实时的动态的、基于会话的规则,并使用这些规则来确定随后的请求是否有效。
不要把WAF当作灵丹妙药!很多公司为了PCI合规的目的而开始使用WAF,然而,分析师警告说,最好不要将WAF作为通过合规检测的产品。
“很多人病急乱投医,”Young补充说,“很多人认为,只要购买了防火墙,就能够打发审计员,但是这样做是不够的,你需要将应用程序防御配置为适合自身环境的模式。”
看看传统WAF功能之外的增强功能。虽然传统的WAF客户都是安全团队,不过现在很多WAF产品开始吸引广大普通客户的关注,主要是现在的WAF的分析功能、单点登陆支持和与Web服务安全的集成。
在一家全球性能源公司,使用WAF的目的在于满足该公司服务导向架构(SOA)部署的安全服务,该公司的总设计师决定采用Reactivity XML加速器安全装置(随后被思科收购)。
从性能监测角度来考虑WAF。应用检测是WAF的非传统用法,由于WAF能够检测性能问题以及检测应用程序是否因为无效链接而造成的错误页面等问题,这使这个功能越来越受到欢迎。
不要忽视细节。 虽然可以使用黑名单规则来保证基本的安全,但是还是需要为最简单的web应用程序投入持续的时间和劳动力,即使有规则模板和学习引擎,还是需要经常对系统进行细节调整和自定义化以提高有效性和降低报错。
考虑学习引擎功能。有了学习引擎,WAF就可以学习了解应用程序行为,这样就能创建甚至执行规则。在非常动态的环境中,最好让WAF对不正确的行为进行提醒而不是阻止。
考虑企业级别的功能。Jarden公司的Nelson选择了硬件安全产品来处理企业级别的控制台功能,提供对所有防火墙的集中管理。他特别喜欢将所有的防火墙集中到所谓的“容器”中,并在这些容器中使用不同的政策。
与此同时,一家营养品制造商的安全通讯工程师表示,梭子鱼系统的最大优势在于它的可扩展性,该公司使用WAF的主要动机是,为想要接收来自世界各地的用户提供一个安全的web电子邮件界面,同样使用WAF来保护系统免受应用层的攻击。
安全工程师希望向用户提供一个简单的URL来接收电子邮件,而不管用户在什么地方,他同样希望能够在不被中断的情况下,扩大系统范围。因为它可以在不需要新IP地址的情况下,添加额外的WAF设备,这对用户而言是完全透明的。“如果开始被重载,我们必须做的事情就是使用另外一个设备,将两个整合在一起,获得两倍能力。”
开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织,OWASP建议在选择Web应用防火墙时应该参照一下标准:
·很少出现误报(例如,不应该拒绝授权请求等)
·默认防御的强度
·容易操作模式
·可以预防的漏洞类型
·能够限制个人用户只能在当前对话中所看到的内容
·配置预防特定问题的能力,如紧急补丁等
·WAF提供形式:软件与硬件(一般偏好硬件)
Web应用防火墙主要需要考虑的问题
·WAF与源代码扫描的比较
WAF能够实时保护应用程序,而不是修复漏洞,这在过去一直受到大家的批评。有些供应商甚至避免使用“WAF”字眼,而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而,现在越来越普遍的共识是,只有通过正确的部署,WAF才可以作为多层安全模型中重要的组成部分,因为WAF可以在修复应用程序漏洞的时候提供保护。
笔者曾与安全设备提供商交流中表示,应用程序中存在太多漏洞,根本来不及修复代码本身,并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中,这样就能够减轻目前的状况并能过后再修复问题。
另一方面,Gartner公司建议客户考虑采用消除应用程序漏洞的技术,“在你花钱购买设备之前,应该考虑一下,能否通过更强大的系统开发生命周期来消除漏洞,或者通过使用其他工具,如源代码扫描器。”
对于大多数企业而言,采用其中任意一种方法就足够了,虽然对于应用安全需求很好的金融或内源用户而言,笔者认为综合的安全保护措施不失为更好的选择。
·硬件设备与软件比较
Jarden Consumer Solutions公司的全球网络服务和运作IT主管Jack Nelson表示,他们选择硬件安全网关(集成Web应用安全技术)的主要原因在于,能够有效的对这两者进行配置。Jarden公司有个没有配备IT人员的远程办公室,因此Nelson使用基于软件的版本解决方案,这样办公室管理人员就可以在现有WAF失效的时候轻松将任何电脑配置为WAF。“这比购买第二个防火墙更灵活,这样比快速反应维护费要便宜,”他表示,这种界面非常简单并且不需要防火墙专家来配置,另外授权是基于密钥的,这样比较适用于远程。
清楚理解独立产品和集成产品的区别。我们有必要区分这两种供应商:将WAF功能集成到现有应用交付和网络安全产品中的供应商以及那些专门生产应用程序安全产品的供应商。选择哪种供应商主要取决于很多因素,包括系统中已经安装了哪些程序,企业需要的安全级别,企业是需要专门的产品还是拥有广泛功能的产品。
安全专家表示,侧重应用交付的产品对于应用安全而言是远远不够的,因为并不包括计算密集型功能,例如了解引擎和会话意识等。了解引擎可以使WAF了解应用程序的行为并生成相关的建议政策。会话认知可以让WAF建立实时的动态的、基于会话的规则,并使用这些规则来确定随后的请求是否有效。
不要把WAF当作灵丹妙药!很多公司为了PCI合规的目的而开始使用WAF,然而,分析师警告说,最好不要将WAF作为通过合规检测的产品。
“很多人病急乱投医,”Young补充说,“很多人认为,只要购买了防火墙,就能够打发审计员,但是这样做是不够的,你需要将应用程序防御配置为适合自身环境的模式。”
看看传统WAF功能之外的增强功能。虽然传统的WAF客户都是安全团队,不过现在很多WAF产品开始吸引广大普通客户的关注,主要是现在的WAF的分析功能、单点登陆支持和与Web服务安全的集成。
在一家全球性能源公司,使用WAF的目的在于满足该公司服务导向架构(SOA)部署的安全服务,该公司的总设计师决定采用Reactivity XML加速器安全装置(随后被思科收购)。
从性能监测角度来考虑WAF。应用检测是WAF的非传统用法,由于WAF能够检测性能问题以及检测应用程序是否因为无效链接而造成的错误页面等问题,这使这个功能越来越受到欢迎。
不要忽视细节。 虽然可以使用黑名单规则来保证基本的安全,但是还是需要为最简单的web应用程序投入持续的时间和劳动力,即使有规则模板和学习引擎,还是需要经常对系统进行细节调整和自定义化以提高有效性和降低报错。
考虑学习引擎功能。有了学习引擎,WAF就可以学习了解应用程序行为,这样就能创建甚至执行规则。在非常动态的环境中,最好让WAF对不正确的行为进行提醒而不是阻止。
考虑企业级别的功能。Jarden公司的Nelson选择了硬件安全产品来处理企业级别的控制台功能,提供对所有防火墙的集中管理。他特别喜欢将所有的防火墙集中到所谓的“容器”中,并在这些容器中使用不同的政策。
与此同时,一家营养品制造商的安全通讯工程师表示,梭子鱼系统的最大优势在于它的可扩展性,该公司使用WAF的主要动机是,为想要接收来自世界各地的用户提供一个安全的web电子邮件界面,同样使用WAF来保护系统免受应用层的攻击。
安全工程师希望向用户提供一个简单的URL来接收电子邮件,而不管用户在什么地方,他同样希望能够在不被中断的情况下,扩大系统范围。因为它可以在不需要新IP地址的情况下,添加额外的WAF设备,这对用户而言是完全透明的。“如果开始被重载,我们必须做的事情就是使用另外一个设备,将两个整合在一起,获得两倍能力。”
解析如何评估并部署Web应用防火墙相关推荐
- 2021年十大开源web应用防火墙
开源web应用防火墙是网络安全的重要部分,Cloudflare认为:十年后数字经济的网络安全基础设施会像水过滤系统一样普及,而这个过滤系统的核心就是waf.对于服务器来说,部署WEB应用防火墙十分重要 ...
- web应用防火墙的部署方式
web应用防火墙也被称为网站应用级入侵防御系统,按照一些常规的定义,WAF是指通过一系列针对HTTP/HTTPS的安全策略专门为web应用提供保护的产品.它主要用于防御针对网络应用层的攻击,像SQL注 ...
- 浅析web应用防火墙的反向代理部署
浅析web应用防火墙的反向代理部署 现在,随着互联网的发展,越来越多用户对于网络的安全要求越来越高,对于安全设备的部署模式也需要根据不同场景的业务需要来进行调整.有一些客户为了对内网用户也隐藏自己真实 ...
- web安全防火墙介绍
Web应用防火墙(Web application firewall,WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击.WAF位于Web客户端和Web服务器之间,分析应用程序层的通信,从 ...
- 轻松了解“Web应用防火墙”
导语: 传统网站的安全问题总是面临各种问题,例如,.×××***造成数据泄露. 资金损失.业务中断 :网页被篡改. 挂链,机器灌水,恶意推广等. 如今,互联通推出"Web应用防火墙" ...
- Web应用防火墙的主要特性
随着web2.0时代的到来,Web应用也逐渐被人广泛的接受和使用.当然,每个新技术的到来对应着其安全问题也接踵而来.面对Web安全问题,不同于IDS与IPS的新技术,Web应用防火墙也逐渐映入人们的眼 ...
- 阿里云安全ACP认证试验之阿里云Web应用防火墙接入体验
实验概述 越来越多的公司出于对成本和效率的考量,将业务部署在网站上.主机和网络的漏洞,给一些恶意访问提供了可乘之机,盗取网站的信息.比如:发生在2014年的索尼影业黑客入侵事件,黑客组织"和 ...
- [等保测评]Web应用防火墙WAF产品汇总
WAF是Web应用防火墙(Web Application Firewall)的简称,WAF是当前对Web业务进行防护的一种比较常用且有效的手段之一,目前市场上的WAF产品也相对比较成熟,为了提高Web ...
- Web应用防火墙 (WAF) 挡不住的攻击类型
一.网站应用防火墙介绍 网站应用防火墙系统就是我们通常称的WAF,WAF的主要功能包括:对访问请求进行控制,可以主动识别.阻断攻击流量,通过对HTTP(S)请求进行检测,识别并阻断SQL注入.跨站脚本 ...
最新文章
- 3月到9月之9月到12月
- 不同Logger的使用
- oracle 外部表装载,Oracle 原理:数据装载 ,SQLldr ,外部表
- 【IDEA】IDEA git log 点击 没有代码变更
- java中继承applet类_java.applet.Applet类
- 【报告分享】2021年中国新经济企业500强发展研究报告.pdf(附下载链接)
- MongoDB创建集合及创建文档(非常详细哦~)
- PHP 多维数组转换一维数组
- python爬虫毕业论文大纲参考模板_毕业论文提纲参考模板
- 因子分析(SPSS)
- python椭圆花瓣_Python抓取花瓣网高清美图
- 用手机打开word图表位置很乱_原来Word还可以自动生成图片和图表目录!
- 如何将Excel的单元格设置成下拉选项?-excel设置下拉菜单
- 转:管理欲望:领导者的自我觉察与突破
- 普渡大学工程学院计算机工程,普渡大学电气工程专业申请条件.pdf
- 思科3650交换机的密码恢复
- 火狐浏览器设置默认缩放比例
- python笔记(五)
- iOS静态库SDK制作(包含支付宝支付、微信支付或其它第三方静态库)
- H5/APP客服端源码/uniapp在线客服系统源码开源了,全源码代码解读及发行安装教程...