日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Web應(yīng)用防火墻(Web application firewall，WAF)主要用來保護(hù)Web應(yīng)用免遭跨站腳本和SQL注入等常見攻擊。WAF位于Web客戶端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ牛瑥亩l(fā)現(xiàn)違反預(yù)先定義好安全策略的行為。

盡管某些傳統(tǒng)防火墻也能提供一定程度的應(yīng)用認(rèn)知功能，但是它不具備WAF的精度和準(zhǔn)度。舉例來說，WAF可以檢測(cè)一個(gè)應(yīng)用程序是否按照其規(guī)定的方式運(yùn)行，而且它能讓你編寫特定的規(guī)則來防止特定攻擊行為的再次發(fā)生。

WAF也不同于入侵防御系統(tǒng)(IPS)，兩者是完全不同的兩種技術(shù)，后者是基于簽名，而前者是從行為來分析，它能夠防護(hù)用戶自己無意中制造的漏洞。

目前WAF的主要推動(dòng)因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)，該標(biāo)準(zhǔn)主要通過兩個(gè)辦法來驗(yàn)證是否合規(guī)：WAF和代碼審查。另外一個(gè)推動(dòng)因素是，人們?cè)絹碓蕉嗟恼J(rèn)識(shí)到攻擊已經(jīng)開始由網(wǎng)絡(luò)轉(zhuǎn)移到應(yīng)用程序。根據(jù)WhiteHat Security公布的一份研究報(bào)告，從2006年1月到2008年12月間對(duì)877個(gè)網(wǎng)站進(jìn)行了評(píng)估，結(jié)果發(fā)現(xiàn)82%的網(wǎng)站至少存在一個(gè)高?；蚓o急安全漏洞。

WAF的主要特性

Web應(yīng)用防火墻市場(chǎng)仍然不確定，有很多不同的產(chǎn)品被歸類到WAF范疇。研究機(jī)構(gòu)Burton Group的分析師Ramon Krikken表示，“很多產(chǎn)品提供的功能遠(yuǎn)遠(yuǎn)超出了我們通常認(rèn)為防火墻應(yīng)該具有的功能，這使得產(chǎn)品的評(píng)價(jià)和比較難以進(jìn)行?！贝送?，通過將已有的非WAF產(chǎn)品整合到綜合產(chǎn)品中的方式，新廠商開始進(jìn)入市場(chǎng)。

根據(jù)研究和咨詢公司Xiom創(chuàng)始人Ofer Shezaf提供的清單，下面列出Web應(yīng)用防火墻應(yīng)該具備的特性：

·深入理解HTTP。WAF必須全面深入分析和解析HTTP的有效性。

·提供明確的安全模型。明確的安全模型只允許已知流量通過，這就給應(yīng)用程序提供了外部驗(yàn)證保護(hù)。

·應(yīng)用層規(guī)則。由于高昂的維護(hù)費(fèi)用，明確的安全模型應(yīng)該配合基于簽名的系統(tǒng)來運(yùn)作。不過由于web應(yīng)用程序是自定義編碼，傳統(tǒng)的針對(duì)已知漏洞的簽名是無效的。WAF規(guī)則應(yīng)該是通用的，并且能夠發(fā)現(xiàn)像SQL注入這樣的攻擊變種。

·基于會(huì)話的保護(hù)：HTTP的最大弱勢(shì)之一在于缺乏嵌入式的可靠的會(huì)話機(jī)制。WAF必須實(shí)現(xiàn)應(yīng)用程序會(huì)話管理，并保護(hù)應(yīng)用程序免受基于會(huì)話的攻擊和超時(shí)攻擊。

·允許細(xì)粒度政策管理。例外政策應(yīng)該只對(duì)極少部分的應(yīng)用程序執(zhí)行，否則，可能會(huì)造成重大安全漏洞。

WAF的選擇標(biāo)準(zhǔn)

開放網(wǎng)絡(luò)應(yīng)用安全計(jì)劃組織(OWASP)主要工作是改進(jìn)應(yīng)用軟件的安全性。以下是OWASP提出的WAF的選擇標(biāo)準(zhǔn)：

·幾乎不出現(xiàn)誤報(bào)(即，從不拒絕授權(quán)請(qǐng)求)
·默認(rèn)防御強(qiáng)度
·具備易學(xué)模式
·預(yù)防的攻擊類型
·具備將單個(gè)用戶限定在當(dāng)前對(duì)話中可見的能力
·配置預(yù)防像緊急補(bǔ)丁等特定問題的能力
·波形因數(shù)：軟件與硬件(通常硬件優(yōu)先)

選擇WAF首要考慮的問題

WAF與源代碼掃描

WAF不能修復(fù)應(yīng)用程序只能進(jìn)行實(shí)時(shí)保護(hù)的特點(diǎn)，過去一直備受指責(zé)。有些廠商甚至避免使用“WAF”術(shù)語形容他們的產(chǎn)品，而是代之以“應(yīng)用層意識(shí)”或“應(yīng)用層智能”。不過，現(xiàn)在人們已經(jīng)越來越普遍地認(rèn)為，通過正確的實(shí)施，WAF能夠成為多層安全模型中的重要組成部分，因?yàn)楫?dāng)人們修補(bǔ)應(yīng)用程序漏洞的時(shí)候WAF可以提供保護(hù)。

正如WhiteHat Security公司的創(chuàng)始人Jeremiah Grossman在博客中堅(jiān)持的那樣，應(yīng)用程序中攻擊和漏洞太多，根本來不及修復(fù)代碼本身。他主張，通過評(píng)估發(fā)現(xiàn)的漏洞應(yīng)該作為自定義規(guī)則嵌入WAF中，這樣就能為減輕當(dāng)前狀況并為過后再修復(fù)問題提供選擇。

Gartner公司則建議客戶考慮采用技術(shù)手段消除應(yīng)用程序漏洞。在花錢購買設(shè)備之前，用戶首先應(yīng)該考慮一下，是否通過更強(qiáng)大的系統(tǒng)開發(fā)生命周期和使用源代碼掃描器等工具來消除漏洞。WAF對(duì)于那些不容易改變的應(yīng)用程序是非常有用的。
雖然一小部分風(fēng)險(xiǎn)承受力低的公司需要采用上述兩種方法進(jìn)行安全防護(hù)，但是對(duì)于大多數(shù)公司而言，采用其中任意一種方法就足夠了。

硬件設(shè)備與軟件

Jarden Consumer Solutions公司負(fù)責(zé)全球網(wǎng)絡(luò)服務(wù)和運(yùn)作的IT主管Jack Nelson表示，他們之所以選擇Check Point軟件技術(shù)VPN-1/FireWall-1集成網(wǎng)絡(luò)智能技術(shù)的一大原因在于，能夠有效的對(duì)這兩者進(jìn)行配置。Jarden公司有個(gè)沒有配備IT維護(hù)人員的遠(yuǎn)程辦公室，因此Nelson使用基于軟件的版本解決方案，當(dāng)現(xiàn)有WAF失效的時(shí)候辦公室管理人員就可以輕松地將任何電腦配置為WAF。Nelson表示：“這比再買一個(gè)防火墻更靈活，比快速反應(yīng)維護(hù)費(fèi)更便宜?！边@種界面足夠簡單，不需要防火墻專家配置，另外授權(quán)是基于密鑰的，因此可以遠(yuǎn)程應(yīng)用。

在北美的幾個(gè)小辦公室里，Nelson使用Check Point設(shè)備，因?yàn)樗l(fā)現(xiàn)這種設(shè)備更便于管理和提供支持。

內(nèi)置與外帶

決定部署內(nèi)置WAF還是外帶的WAF是非常關(guān)鍵的，并不是所有WAF都支持這兩種模式。包含不同部署模式的產(chǎn)品并不多見。

選擇WAF的宜與忌

宜：切實(shí)弄懂單機(jī)和集成產(chǎn)品的不同

弄清兩種供應(yīng)商的不同是非常重要的，一種供應(yīng)商將WAF功能集成到現(xiàn)有應(yīng)用交付和網(wǎng)絡(luò)安全產(chǎn)品中，而另一種供應(yīng)商則專門生產(chǎn)應(yīng)用程序安全產(chǎn)品。選擇供應(yīng)商的決定因素很多，如系統(tǒng)中已經(jīng)安裝的程序，客戶需要的安全級(jí)別，客戶需要專有產(chǎn)品還是功能齊全的產(chǎn)品等。

安全專家表示，致力于應(yīng)用交付的產(chǎn)品對(duì)于應(yīng)用安全而言是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)檫@類產(chǎn)品不包括像了解引擎和會(huì)話意識(shí)等計(jì)算密集型功能。了解引擎可以使WAF了解應(yīng)用軟件的行為并生成政策建議。會(huì)話認(rèn)知可以讓W(xué)AF實(shí)時(shí)地建立動(dòng)態(tài)的、基于會(huì)話的規(guī)則，并使用這些規(guī)則來判斷隨后的請(qǐng)求是否有效。

Nelson在公司的虛擬專用網(wǎng)絡(luò)和外部網(wǎng)絡(luò)應(yīng)用程序中使用Check Point的集成產(chǎn)品。集成產(chǎn)品可以處理廣泛的安全組件，而不只是一個(gè)特定于應(yīng)用程序的防火墻，這一點(diǎn)是非常重要的?！拔覀兿Ｍ诓粻奚阅芎涂晒芾硇缘那疤嵯履軌蚣訌?qiáng)功能性?！彼f。

同時(shí)，汽車零部件供應(yīng)商AutoAnything.com公司則采取相反的做法，他們使用Breach Security的單機(jī)WAF來保護(hù)電子商務(wù)的安全。 “一個(gè)公司將很多事情都做好是不可能的。 ”其CTO Parag Patel表示。

忌：不要把WAF當(dāng)成靈丹妙藥

許多公司為了PCI合規(guī)的目的開始使用WAF，然而，分析師警告稱，不要將WAF作為通過合規(guī)檢測(cè)的產(chǎn)品項(xiàng)目。

“我見過很多錯(cuò)誤的做法，”Young補(bǔ)充說，“很多人認(rèn)為，只要買了防火墻就可以打發(fā)審計(jì)員，但是事實(shí)并非如此，必須定制適合自身環(huán)境的應(yīng)用程序防御配置才行。”

宜：看看超越傳統(tǒng)WAF功能的增強(qiáng)功能

Krikken表示，雖然傳統(tǒng)的WAF客戶都是安全團(tuán)隊(duì)，不過現(xiàn)在很多WAF產(chǎn)品開始引起了更多普通客戶的關(guān)注，這要?dú)w功于WAF新增加的的分析功能、單點(diǎn)登陸支持和Web服務(wù)安全的集成功能。這也是為什么他建議WAF評(píng)價(jià)應(yīng)該包括企業(yè)架構(gòu)、應(yīng)用實(shí)施和軟件開發(fā)的負(fù)責(zé)人的原因。“這將改善解決方案安全方面的信心，以及減輕可用性和性能問題。 ”他說。

事實(shí)上，一家全球性能源公司決定應(yīng)用WAF的目的是滿足該公司服務(wù)導(dǎo)向架構(gòu)(SOA)部署安全服務(wù)的需要。該公司的總設(shè)計(jì)師決定采用Reactivity XML加速器安全裝置，在該業(yè)務(wù)被思科收購后，思科將其轉(zhuǎn)變?yōu)锳CE WAF。當(dāng)能源公司決定購買一個(gè)面向因特網(wǎng)的WAF時(shí)，思科向其保證可以利用ACE將兩種功能整合在一起，既滿足其內(nèi)部的SOA需求，又保護(hù)其Web應(yīng)用程序的安全。

宜：關(guān)注WAF的性能監(jiān)測(cè)功能

應(yīng)用監(jiān)測(cè)作為WAF的非傳統(tǒng)用法，正日益流行和普及。WAF能夠檢測(cè)性能問題，或者是檢測(cè)應(yīng)用程序是否因?yàn)闊o效鏈接而造成錯(cuò)誤網(wǎng)頁等問題。

忌：不要認(rèn)為有了WAF就一勞永逸

Krikken表示，雖然可以使用黑名單規(guī)則來保證基本的安全，但是還是需要準(zhǔn)備好為最簡單的web應(yīng)用程序投入持續(xù)的時(shí)間和精力。“即使有規(guī)則模板和學(xué)習(xí)引擎，為了提高有效性和降低報(bào)錯(cuò)，還是需要經(jīng)常對(duì)系統(tǒng)進(jìn)行初步調(diào)整和持續(xù)定制。”他說。
在全球能源公司，總設(shè)計(jì)師稱用思科的WAF可以在兩小時(shí)內(nèi)配置一個(gè)應(yīng)用實(shí)例。不過，他希望有更多的像特點(diǎn)過濾等配置方面的最佳操作指南，而不是客戶自己摸索著操作。
 ”
宜：關(guān)注學(xué)習(xí)引擎功能

有了學(xué)習(xí)引擎，WAF可以學(xué)習(xí)和了解應(yīng)用程序，進(jìn)而創(chuàng)建甚至執(zhí)行規(guī)則。Krikken表示，在動(dòng)態(tài)環(huán)境中，最好讓W(xué)AF對(duì)異常行為作出提醒而不是直接阻止。

Patel用了幾個(gè)月Breach的學(xué)習(xí)引擎，他稱其為簡化的網(wǎng)絡(luò)應(yīng)用程序。Patel的團(tuán)隊(duì)回顧那段時(shí)間的工作時(shí)發(fā)現(xiàn)，Breach的學(xué)習(xí)引擎可以標(biāo)記不規(guī)則行為。Patel表示：“你需要一定程度的舒適性，它會(huì)作出正確的決定 ”然而，隨著時(shí)間的推移，Patel希望實(shí)現(xiàn)自動(dòng)攔截功能。“隨著我們網(wǎng)站流量的增大，WAF判斷違規(guī)操作并第一時(shí)間關(guān)閉那些企圖是非常必要的。 ”他說。

舉例來說，WAF阻止其競(jìng)爭對(duì)手處理網(wǎng)站上的產(chǎn)品數(shù)據(jù)，其中包括數(shù)以百萬計(jì)的庫存(SKUs)和價(jià)格信息。 “如果我們看到有人按周或按月檢查數(shù)據(jù)，這表示我們的競(jìng)爭情報(bào)蒙受了重大損失。 ”Patel說。

宜：關(guān)注企業(yè)級(jí)應(yīng)用

Jarden公司的Nelson選擇Check Point安全產(chǎn)品的部分原因就是為了滿足企業(yè)級(jí)應(yīng)用，其控制臺(tái)功能可以實(shí)現(xiàn)對(duì)全公司所有防火墻的集中管理。他特別喜歡的功能就是將所有的防火墻集中到所謂的“容器”中，并在這些容器內(nèi)應(yīng)用不同的策略。

與此同時(shí)，一家營養(yǎng)品制造商的安全通訊工程師表示，其使用的梭子魚系統(tǒng)(Barracuda system)的最大優(yōu)勢(shì)在于它的可擴(kuò)展性。該公司使用WAF的主要?jiǎng)訖C(jī)是為那些需要接收來自世界各地郵件的用戶提供安全的web電子郵件界面。同時(shí)WAF也被用來阻止應(yīng)用層攻擊。

安全工程師希望，不管用戶在什么地方，只要向用戶提供一個(gè)單一的URL，他們就可以接收電子郵件，他還希望在不中斷的情況下能夠擴(kuò)大系統(tǒng)范圍。因?yàn)樗梢栽诓恍枰翴P地址的情況下添加額外的WAF設(shè)備?！叭绻_始被重載，我們必須做的事情就是使用另外一個(gè)設(shè)備，將兩個(gè)設(shè)備整合在一起，獲得雙倍能力。”他說。

當(dāng)前標(biāo)題：如何評(píng)價(jià)、選擇和實(shí)施Web應(yīng)用防火墻
瀏覽路徑：http://www.5511xx.com/article/cojssio.html