企业怎么选择国产Web应用防火墙?

2005年前后，Web应用防火墙(WAF)进入了IT安全领域，最早提供这类产品的供应商是几家新兴公司，如Perfecto、KaVaDo和NetContinuum。工作原理相当简单：随着攻击范围向IP堆栈的上层移动，瞄上针对特定应用的安全漏洞，这时势必需要开发旨在识别和预防这些攻击的产品。虽然网络防火墙在阻止较低层攻击方面很有效，但并不擅长解开IP数据包层，以分析较高层协议;这就意味着，网络防火墙缺少应用感知功能，而要关闭自定义Web应用中的漏洞窗口，就需要这种功能。

但是尽管WAF炒得很火，供应商承诺的优点也很多，但最终用户的使用体验却相当差。早期产品存在诸多缺点，比如误报率高，给受保护应用的性能带来负面影响，又很难有效地管理。2005年前后，包括思科、思杰和F5在内的大牌网络供应商或收购或开发了Web层监控技术，WAF随之成为一道公认的边界安全防线。促使WAF得到主流用户采用的另一个因素是，出台了支付卡行业数据安全标准(PCI-DSS)，该标准在第6.6项需求中明确要求使用具有应用层感知功能的防火墙。

如今，WAF已是IT安全工具箱中一个公认的组成部分。但许多企业仍在为这个问题而纠结：该买哪一种WAF、如何最合理地把它们集成到Web应用风险管理产品系列中。本文分析了采购WAF方面一些主要的决策因素，并给出了相应的建议，以便确保它们很适合企业架构和网络生态系统。

1、架构和物理尺寸

WAF应该适合于现有的架构，并采用得到安全操作团队接受和支持的物理尺寸。WAF放置方面主要有两种架构方案可以考虑：桥接模式(in-line)或分接/跨接模式(tap/span)。

桥接模式：在这种架构(又叫主动配置)中，WAF就直接放在请求方(如浏览器客户端)与Web应用服务器之间的流量路径当中。WAF在检查应用请求和响应之后再传送请求和响应。

在桥接模式里面，WAN到底采用哪一种方法来传送流量，企业可以作出众多选择。网络方面的选择有：路由器(3层)、网桥(2层)和HTTP反向代理系统。WAF还可以直接在主机服务器(Web应用驻留在上面)上使用，这种WAF名为基于主机的WAF或嵌入式WAF。使用网桥模式的WAF可能不需要改动网络，但流量必须定向至路由器或反向代理模式中的WAF。热门产品：腾讯云Web应用防火墙 3折特惠体验
架构方面要考虑的另一个因素是，将安装和管理多少个WAF。如果需要WAF用于多个场合，那不妨考虑支持分布式管理或分布式WAF的解决方案。在这种模式下，可使用中央控制台来管理用于多个场合的防火墙。可以针对所有WAF统一运用规则或设置;也可以根据每个WAF的情况，逐个运用规则集，具体取决于WAF在保护哪一种Web应用。

2、WAF检测技术

刚才已讨论了架构和物理尺寸问题，现在要问一下这个问题：WAF如何检测Web应用中的漏洞以及针对Web应用的攻击?WAF的目的是智能地保护Web应用，所以拥有细粒度规则和检测机制很要紧。大多数WAF采用结合不同检测技术的方法，确保检测范围最广泛、结果最准确。除了问供应商使用哪些检测技术外，还要让供应商出示证明误报率/漏报率的依据以及第三方测试结果，以便更清楚地了解WAF在实际使用时效果会有多好。下面是一些检测技术，以及向最后选出来的几家产品供应商询问的几个问题：

特征：与为反恶意软件和网络入侵检测系统(IDS)编写的特征很相似，WAF特征也将预定字符串或正则表达式(RegEx)与流量进行匹配，以查找已知攻击。

规则：规则在特征概念的基础上更进了一步，它可以用逻辑与运算符把一系列字符串联系起来，用或运算符添加更复杂的匹配机制，或者用非运算符实现排斥功能。还可以设定规则，寻索非常特定的字符串类型，就像16位号码(比如信用卡号)，作为来自Web服务器的响应而发送。一些WAF能够动态学习流量模式，根据一套基准规则来查找异常行为。学到的信息可以发送给管理员，提议针对WAF或互补性保护设备(如IDS或网络防火墙)设定什么样的新规则。

规范化：攻击者的一种惯用手法是，对漏洞的有效载荷做手脚，冒充没有危害的内容(比如对有效载荷的一部分进行URL编码)，从而避开WAF的检测。为了检测出这种攻击，WAF就要能够对请求进行规范化处理，以便进行分析。以下是仅仅几个规范化机制完整清单请参阅Web应用安全联盟Web应用防火墙评估标准的第3.1章节。

高可用性和高吞吐量：如果WAF在流量很大的环境下，它应该能够在不减慢Web应用速度的情况下，处理庞大流量，如果它是桥接式WAF更要有这种功能。如果一个WAF或Web应用失效或超过安全界限，WAF就得支持故障切换，与负载均衡器共同防止服务受到干扰。一些WAF与高可用性设备紧密集成，可作为Web流量管理系统的组件来运行。如果是独立式WAF，就要确保它们满足贵公司的高可用性需求，以便同时符合性能和架构方面的要求。

SSL和加密：加密可以保护传送的数据被人窥视，但这也意味着WAF要是不先对数据解密，就无法检查数据。这方面有两个选择：一是为WAF提供密钥，那样就能对数据解密。二是在WAF处终结SSL连接，然后建立一条新的加密隧道，以便数据从WAF传送到Web服务器/浏览器(建立加密隧道是可选功能)。SSL处理给处理器带来了开销，所以要精心选择可合理终结SSL会话的WAF，考虑使用加速板来卸载一部分处理工作。

与Web应用扫描器集成：Web应用扫描器这种产品能够自动扫描来自外部的Web应用，以模拟攻击者可能会发现的那种安全漏洞。扫描器与WAF互为补充，因为它们能发现管理员利用自定义WAF规则可以缓解的安全漏洞。有些Web应用扫描器供应商与WAF供应商结成了合作伙伴，那样扫描过程中发现了安全漏洞后，扫描器就能自动提议采用什么样的自定义规则，使用正确的WAF句法。这有助于迅速消除安全漏洞，也不需要试图制定防止攻击的最佳规则所需要的管理开销。

总结

你在购买WAF产品之前，需要弄清楚上述问题和考虑因素，它们是确保你买到合适产品的基础。想了解更多的详细内容和考虑因素，请参阅Web应用安全联盟的Web应用防火墙评估标准评估响应矩阵。将上述几点和评估响应阵里面的更多详细内容作为基准，列明需求，并确定必要的功能特性，然后向供应商提交采购需求，敲定最后的需求。虽然WAF市场不像其他一些市场来得拥挤，但事先做好明确采购需求方面的工作将大大缩小产品的选择范围，并有助于确保企业能够得到合适的工具。

企业怎么选择国产Web应用防火墙?相关推荐

Web 应用防火墙如何添加域名
Web 应用防火墙是一款基于 AI 的一站式 Web 业务运营风险防护方案.沉淀了安全大数据检测能力和多年自营业务 Web 安全防护经验.通过 Web 入侵防护.0day 漏洞补丁修复.恶意访问惩罚. ...
等保测评中web应用防火墙怎么选择？
随着<网络安全法>的出台,类似于金融.线上医院.物流货运等越来越多的平台被要求做等保测评工作.现阶段,大部分企业是被要求做等保二级或者等保三级工作.等保测评主要分为安全产品和测评板块,安全 ...
目前有哪些免费web应用防火墙(云oaf)适合企业和个人网站防护?
目前有哪些免费web应用防火墙(云oaf)适合企业和个人网站防护? 企业想要防护网络安全云waf必不可少,云waf也就是我们通常说的web应用防火墙,主要是用来防护网站的安全.网站一旦受到攻击,或者是 ...
2021年十大开源web应用防火墙
开源web应用防火墙是网络安全的重要部分,Cloudflare认为:十年后数字经济的网络安全基础设施会像水过滤系统一样普及,而这个过滤系统的核心就是waf.对于服务器来说,部署WEB应用防火墙十分重要 ...
“下一代智能硬件Web应用防火墙”——创宇盾X完成统信互认
创宇盾X是由知道创宇国际顶尖网络安全专家团队打造的全新硬件形态Web应用防火墙,近期已成功完成了统信软件产品互认证明,基于统信服务器操作系统v20和华为鲲鹏.飞腾CPU平台的创宇盾X 能够良好兼容.性 ...
腾讯云Web应用防火墙有什么用?Web应用防火墙是防御原理介绍
腾讯云Web应用防火墙有什么用?Web应用防火墙是防御原理介绍腾讯云 Web 应用防火墙是一款专业为网站及 Web 服务的一站式智能防护平台,帮助企业组织应对网站及 Web 业务面临的 Bot 爬虫 ...
WAF——web安全及web应用防火墙
WEB应用安全风险分析 ■网站代码程序设计存在隐患 ■0day漏洞频发 ■网站运维和管理人员安全意识淡薄 ■黑客进入门槛越来越低法律法规网络安全法:对应用安全和数据安全提出明确要求等报2.0: ...
web安全防火墙介绍
Web应用防火墙(Web application firewall,WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击.WAF位于Web客户端和Web服务器之间,分析应用程序层的通信,从 ...
如何购买和设置阿里云国际版的 Web 应用防火墙
本教程87cloud将引导您了解如何购买和设置阿里云的 Web 应用防火墙. 阿里云提供强大的Web 应用防火墙 (WAF)来保护您的基于云的服务和网站免受黑客的常见技术和威胁. 本教程将引导您完成购 ...

企业怎么选择国产Web应用防火墙?

企业怎么选择国产Web应用防火墙?相关推荐

最新文章

热门文章