web应用防火墙设计是为了保护Web应用不受常见攻击,如常见攻击跨站脚本编程并SQL注入.网络防火墙维护网络周界,WAF置置Web客户端和Web服务器间,分析程序层交通违章安全策略,Michael Cobb说Cobb,Cobweb应用创建者,安全咨询
传统防火墙提供一定程度的应用认知度, 但不是WAF提供粒度和特性, Diana Kelley说,咨询安全曲线创建者举例说WAF可检测应用行为是否不象设计时那样,它能帮助你写出具体规则防止这种攻击复发
WAF系统也不同于入侵预防系统Greg Young Gartner分析师表示:「技术大相径庭,
支付卡行业数据安全标准是当今WAF的主要驱动程序之一,它确定了两种实现方式:WAFs和代码审查(见源码分析工具:如何选择使用)但另一个驱动程序仅仅是日益认识到攻击正从网络移向应用怀特Hat安全研究从2006年1月至2008年12月评估877个网站,82%至少有一期高度、临界或紧急严重性
main WAF属性
web应用防火墙市场尚未定义,许多异样产品归WAF保护伞管Burton Group研究分析员Ramon Krikken表示:「许多产品提供功能超出人们所想防火墙”,这使得产品难以评价比较.................
研究咨询公司Xiom创建者Ofer Shezaf提供列表显示WAF应具备的属性如下:
深入理解HTTPWAF系统需要完全剖析和分析HTTP才能有效
提供正安全模型正安全策略只允许已知有效交通传递有时称它为白列表,它为应用提供外部输入验证屏蔽
应用层规则由于高维护成本,正安全模型应加签名系统但由于Web应用自定义编码,针对已知漏洞的传统签名无效WAF规则应泛泛并检测攻击的任何变式,如SQL注入
基于会议保护:HTTP最大的反面之一是缺少内置可靠会议机制WAF必须补充应用会话管理并保护它不受会话攻击和超时攻击
允许精锐化政策管理例外应仅适用于最小应用部分假阳性迫使安全漏洞大开
web应用防火墙选择标准
上头开放Web应用安全项目开放社区侧重于提高应用软件安全性-建议WAF选择下列标准
少有假阳性(即绝不应拒绝授权请求);
缺省强度(箱外防线);
权易模式
类型它可预防;
能力保持单个用户受限与当前会议所见完全一致
能力配置预防特殊问题,如紧急补丁
*表单因子:软件对硬件
web应用防火墙基本思想
WAFs对源码扫描.WAF实时保护应用(而非修复应用)在过去点燃批评偏向应用认知或应用层智能Kelley表示然而,今天似乎日益形成的共识是,WAF正确实施后,可成为分层安全模型的一个重要部分,因为这些安全模型提供保护同时修复应用漏洞
Jeremiah Grossman,白港安全创建者博客上争吵多重漏洞无法跟上代码本身的修复他主张通过评估发现的脆弱性应输入WAF定制规则,提供现时消解后解析问题源选项
Gartner则建议客户考虑消除应用漏洞技术开发系统生命周期并使用源码扫描仪等工具来消除漏洞WAF对难以或无法修改应用或动态应用有用
对大多数公司来说,“选择一种或另一种方法就足够了”,他说,尽管有一小部分公司的风险容度如此之低以致想同时使用两种方法。
硬件应用程序对软件.对Jarden消费者解决方案全球网络服务运营主管Jack Nelson而言,选择检验点软件技术VPN-1/FireWall-1网关与综合Web智能技术大全的原因是两种配置都可用。Jarden远程办公点不配置IT员工,Nelson使用软件版简单化办公室管理员重配置远比购买第二个防火墙灵活得多 费用比支付快速响应维护费用低接口简单到不需要防火墙专家,他说,许可证基础密钥,所以你可以远程应用
北美几家小分店Nelson使用检验点应用程序,因为他发现它更容易管理,支持更容易获取
内或带外部署关键是要先决定你是否计划部署WAF内联或带外,因为并非所有WAF都支持两种模式常见短列表由不同部署模式的产品组成,
WAF do和Don'ts
DO理解单机产品和集成产品之间的区别.理解销售商将WAF能力融入现有应用交付和网络安全产品与专门应用安全产品之间的区别很重要正确选择取决于多因素, 包括你已经安装的东西, 安全级别你需要, 以及你对专业产品或功能宽广的产品是否比较自在
Krikken指出,注重应用交付的产品需要用电线速度性能,因此不包括计算强度能力,如学习引擎和课前感知限黑名单白名单 出入境检验学习引擎帮助WAF学习应用行为并产生政策建议会识使WAF实时构建动态基于会话规则并使用规则判定后续请求是否有效
Nelson使用检验点综合产品开发公司虚拟专用网络和外部Web应用,对于Nelson来说,重要的是产品处理宽度安全构件,而不是应用专用防火墙能力整合而不牺牲性能管理能力
汽车零件供应商AutoAnything.com使用违反安全单机WAF保障电子商务安全,CTOParagPatel采取相反方法难得公司能做很多事
不视WAF银弹.多公司转WAFsPCI达标.分析师警告不要视WAF为结关项
杨加法人想,'如果我们买防火墙,审计师会离开', 但这并不够好需要定制应用防御以适应环境
DO目光超出传统WAF功能.传统WAF客户安全团队, 多产品对广大读者有吸引力,正因如此,他建议WAF评价应该包括那些负责企业架构、应用交付和软件开发者并减轻可用性和性能顾虑
一家全球能源公司实际上决定使用WAF后需要安全服务实现面向服务架构公司首席架构师决定反活动XML加速器安全装置,后由Cisco系统购买,转成ACEWAF能源公司确定它需要上网WAF时,Cisco向它保证它可以双重使用ACE满足内部SOA需要并安全Web应用并见SOA安全基础.)
DO考虑WAF性能监控.应用监控对WAF是一种非传统使用,它越来越受欢迎性,WAF能够检测性能问题或应用是否因断开链路服务报错页
不认为它置之不理.Krikken表示, 准备持续投入时间和精力除最简单Web应用外,即使是规则模板学习引擎 初始调试和持续定制 常需要优化效果并减少假阳性
在全球能源公司,首席架构师表示,他的公司能够在两小时内配置CiscoWAF使用案例不过,他想更多最佳做法指南 配置事物像字符滤波
DO考虑学习引擎特征.WAF使用学习引擎学习应用,以便创建甚至执行规则Krikken说,在动态环境里,WAF最好提醒你异常行为比阻塞它强
Patel使用Break学习引擎,他说这几个月内剖析Web应用在此期间,它标记异常行为,他的团队审查需要一定程度的宽慰 才能做出正确决策随时间推移,Patel想自动阻塞WAF识别异常并关闭这些尝试并同时发生,
WAF禁止竞争者从网站提取产品数据, 包括数以百万计SKUs和定价信息Patel表示:「如果我们看到某人每周或每月检查数据,
DO考虑企业级能力.Jarden的Nelson选择检验点产品部分用于企业级控制台,为Jarden所有防火墙提供集中管理他特别喜欢把防火墙归为所谓的“容器”,在这些容器内应用不同的策略
同时 安全消息工程师在营养补品厂 表示他使用Barracuda系统的一大优势 在于它可扩缩性公司WAF的主要动机是向世界各地想访问电子邮件的用户提供安全网络邮件接口并用它保护不受应用层攻击
安全工程师想为用户提供单一URL存取电子邮件,因为他可以添加WAF工具而不提供新IP地址,对用户透明如果开始超载, 我们要做的就是再取一个,放进机架中, 并用它聚在一起, 容量翻倍。”
故事Web应用防火墙:如何评价、购买、实现CSO系统 .