多组织可能使用web应用防火墙WAF帮助实现安全守法并安全网络应用多组织也在网络系统上积极部署IPv6这两组交叉点将经历安全漏洞,因为它们IPv6可实现网络应用,而WAF不积极检查IPv6网络连接
web应用安全
上头Cisco安全年度报告多年以来其他报告都显示 web应用中的漏洞如何向上上升并仍是一个实实在在的威胁并发开放Web应用安全项目OWASP努力提高对这些问题的认识并努力提高网络系统安全性跨点脚本(XSS)、跨点请求伪造(CSRF)、缓冲溢出、任意代码执行、特权变换、SQL注入等威胁以及其他攻击导致网络服务器失密组织安全网络服务器有几种选择或由Web安全应用公司审核或使用工具或软件系统拦截阻塞攻击
web应用防火墙WAFs系统是专用安全系统,检查网络请求并检测应用层攻击或至少观察网络流量如果WAF检测恶意连接,WAF便能重置连接阻塞攻击WAFs雷竞技电脑网站多年以来一直可用,现在在DMZ和数据中心部署中司空见惯WAFs可整合入服务器负载平衡器或应用提供控制器IPv6容量.
遵章标准
PCI/HIPAA/SOX/GLBA/FISMA或其他安全标准需要WAF时,应敏锐了解该产品有哪些特征和没有特征PCIDSS守法建议信息补充:需求6.6代码审查和应用防火墙澄清,由PCI安全标准理事会发布选项2讨论WAFsPCIDSS2.0不直接处理IPv6一些人可能假设隐含着标准和指南适用于IPv4通信和IPv6通信
服务器操作系统大都原创IPv6并默认启动IPv6多网络服务器会监听输入端口80连接 任何接口IPv6地址上没有任何管理员配置IPv6网络应用并连接IPv6互联网攻击者将识别网络应用同时有IPv4A记录和IPv6AADDNS记录,攻击者将使用两个协议测试服务器防御服务器应使用双协议防火墙、IPS和WAFs
上头web应用安全集团WASC组织帮助制定并推广WAF标准并进一步推广组织已起草web应用防火评价标准WAFec帮助组织选择产品并通知销售商哪些特征对客户重要可惜Web应用防火评价标准1.0版(2006年1月16日)没有提到IPv6本组正在研究WAFEC2.0但没有字表示它是否包含IPv6并发OWASPs最佳做法:使用Web应用防火墙并没有提到IPv6作为考量或要求
ICSA实验室由供应商中立独立测试实验室作为Verizon企业的独立分支运行焦点测试防火墙安全产品 但也测试web应用防火墙.ICSA实验室发布Web应用防火认证标准2.1版.但它至少没有提到IPv6ICSA实验室经认证数个WAFs,但这些产品没有一个测试支持IPv6ICSA实验室可基于IPv6产品测试NISTUSGV6测试程序表示他们知道IPv6, 但它只是没有切入其他测试标准
WAF销售商
下表显示市场上可提供的一些广受欢迎的WAF及其IPv6功能状况请注意,这并非详尽列表,如果知道IPv6能力WAF,请在这个博客上评论
QroniXWebKnightweb应用ISS防火墙似乎没有任何IPv6功能网站表示「WebKnight尚不准备IPv6使用,可能应该有人告诉他们世界IPv6启动
巴拉库达网络web应用防火墙即时IPv6备战数据表.Barracuda产品博客去年显示7.6固件有IPv6支持默认禁用.客户显然需要联系Barracuda支持工程师,走遍IPv6启动过程Barracuda网络WAF家族由ICSA实验室测试但不是IPv6
2010年思科发布生命终结CiscoACE网络应用防火墙产品没有任何IPv6支持,而且由于该产品已达到开发尾声,它永远无法获取IPv6能力
Citrix大赛净标量器应用送送控制器家族支持IPv6多年以来他们的产品数据表显示IPv6在所有平台和版本中都具有标准特征(不附加许可费)。Citrix大赛网标应用防火墙华府市IPv6容量Netscript还拥有简单扩展ACLs、DOS保护HDOSICSA实验室测试CitrixNetasser应用防火墙,但非IPv6容量
F5网络公司BIG-IP应用程序运行应用安全管理器WAF自TMOS软件版本11.1ASMWAFIPv6容量并提供IPv6网络应用和HTTP协议检验但也有一些提示列表ASM支持IPv6地址应用流量管理,ASM不支持IPv6地址如下配置:ICAP服务器、SMTP服务器、远程登录服务器、DNS服务器、WhiteHat服务器和搜索引擎/机器人域ICSA实验室测试F5BIGIP安全管理程序(ASM),但没有测试IPv6能力
Fortinet防火墙有显著作用IPv6支持多年以来但他们ftiWeb应用安全系统没有IPv6特性ICSA实验性能测试FortinetFortiWeb-1000C,但没有对本产品进行任何IPv6测试
Imperva制作AX序列安全线程中合伙A10网络.网络应用防火墙系统运行A10高级核心操作系统A10NetworksAX序列有相当IPv6功能,见2012年2月NWW清晰选择测试.ICSA实验室测试Imperva安全SphereWe应用防火墙,但不是IPv6
今年早些时候,Juniper获取Mykonos网页安全网络应用安全系统不幸无一在线文档指它IPv6容量期望随着产品进化并与其他juniperIPv6产品进一步整合
质量开发铁豆市开源Web应用防火墙IPv6不列特征显示华府参考手册显示IPv6地址如何配置
Mod安全最老Web应用防火墙ModSecurity支持信任波spidlabs和Med安全规则可提供支持合同最新版ModSecurity2.7.0-RC3有IPv6特征,这些特征首次引入2.6版IPv6还支持各种数据格式和日志.
web安全公司制造webApp安全web应用安全系统产品输入专业版和LiveCD版网站上没有任何IPv6产品能力细节webSecurity发布新闻稿8月20日表示他们的产品现在有IPv6支持,
扫描 :
先前文章提到公司可选择主动扫描和/或网络应用码验证帮助网络应用安全公司类维拉哥德并怀特黑特安全可执行动态或静态扫描 web应用执行静态离线代码评估时,这些公司也许能检查IPv6相关问题今日,微信微信微信微信能对IPv6传输执行动态扫描仍然可以对IPv4传输执行动态扫描并假设如果应用对IPv4安全,则它必须安全对IPv6安全然而,如果IPv4安全保护措施并不存在对IPv6同等存在,则这可能是假假设有多产品服务内空提供,但很少有IPv6功能web漏洞扫描工具像enzic海云可能没有IPv6功能安全公司像Rapid7已经接受IPv6解析性5.4扫描机元sploit4.2软件
结语 :
客户开始问安全商 IPv6产品能力然而,一些厂商尚未优先使用IPv6高产品开发路径图产品测试实验室也不测试安全装置能否同样有效保住IP两种版本
wAF非IPv6功能时,应避免启动IPv6互联网连接 web应用,如果你没有IPv6防御能力。IPv6网络应用暴露漏洞IPv6部署对许多组织很重要和焦点最好不要仓促IPv6部署并无意中制造安全性问题最好对IPv6授权上网系统采取约束性方法,确保自始即部署安全性。
斯科特