Web應用防火牆選購指南

Web應用防火牆選購指南

2011年04月21日 16:26分         作者：網界網 佚名      來源：ZDnet .

摘要：WAF(Web應用防火牆)旨在保護Web應用程序避免受到跨站腳本攻擊和SQL注入攻擊等常見的威脅。雖然一些傳統的防火牆提供了某種程度的應用程序熟悉能力，但是，傳統防火牆沒有Web應用防火牆提供的那樣精細和具體。

關鍵字：Web應用防火牆 .

.

不同於網絡入侵防御系統和網絡防火牆，WAF位於Web客戶端和服務器之間，分析違反計劃的安全政策的應用層通訊。作為最新一代的網絡防護技術，在選購方面應該注意哪些方面呢? .

安全顧問公司Cobweb Applications的創始人Michael Cobb說，WAF(Web應用防火牆)旨在保護Web應用程序避免受到跨站腳本攻擊和SQL注入攻擊等常見的威脅。網絡防火牆是防御網絡周邊環境的，安全顧問公司Security Curve的創始人Diana Kelley說，雖然一些傳統的防火牆提供了某種程度的應用程序熟悉能力，但是，傳統防火牆沒有Web應用防火牆提供的那樣精細和具體。例如，Web應用防火牆能夠檢測一個應用程序是否按照它設計的方式工作，它能夠讓你編寫具體的規則防止再次發生這種工具。

.

Gartner分析師Greg Young說，Web應用防火牆與入侵防御系統不同。它是一個完全不同的技術，不是以特征為基礎的，而是以行為為基礎的，防止你自己意外制造的安全漏洞。

.

目前，Web應用防火牆的主要推動因素之一是支付卡行業數據安全標准(PCI DSS)。這個標准定義兩方面的遵守法規的情況：Web應用防火牆和審查代碼。但是，另一個推動因素是人們日益認識到攻擊正在從網絡向應用程序轉移。在WhiteHat Security發表的研究報告中，82%的受訪者至少有一個高度的、重要的或者緊迫的嚴重問題。WhiteHat Security從2006年1月至2008年12月評估了877個網站。 .

主要WAF屬性Burton Group分析師Ramon Krikken說，Web應用防火牆市場仍然沒有定義，這個市場中還有許多不一樣的產品。許多產品提供的功能都超過了一般防火牆的功能。這使這類產品很難評估和對比。此外，新的廠商正在進入這個市場，把現有的非WAF產品擴展到集成的市場。 .

據研究和咨詢公司Xiom的創始人Ofer Shezaf提供的一個列表，下面是Web應用防火牆應該具有的屬性：。深入理解HTTP.WAF需要更有效地全面地解析和分析HTTP.。提供一個積極的安全模式。積極的安全政策僅允許合法的通訊通過。有時候這叫作“白名單”，這個功能對應用程序提供一個外部輸入驗證層。。應用層規則。由於很高的維護成本，使用基於特征的系統應該會增強積極的安全模式。但是，由於Web應用程序是客戶化編碼的，傳統的真對已知安全漏洞的特征是沒有效的。Web應用防火牆規則應該是普通的並且能夠檢測到SQL注入等任何攻擊的變體。。基於會話的保護。HTTP最大的缺點之一是缺乏內置的可靠的會話機制。一個WAF必須輔助應用會話管理，保護它防止基於會話的攻擊。。允許精細的政策管理。例外情況僅適應於極少部分應用程序。此外，誤報會產生更大的安全漏洞。 .

Web應用程序防火牆選擇規定 .

以改善應用軟件安全為重點的開放團體OWASP(開放Web軟件安全計劃)建議按照下列原則選擇Web應用防火牆： .

·很少誤報(應該永遠不會不允許授權的請求); .

·強大的默認的防御能力;

.

·強大的和容易學習的模式;

.

·它能夠防御的安全漏洞的類型; .

·能夠保持個人用戶遵守他們在當前的會話中看到的情況; .

·能夠經過設置之後防御具體的問題，如緊急的補丁。 .

·形狀：軟件與硬件(一般首選硬件)。 .

Web應用防火牆的主要考慮 .

Web應用防火牆與源代碼掃描。實時保護應用程序(而不是過後修復應用程序)的WAF過去曾引起一些批評。Kelley說，，一些廠商對WAF這個詞匯比較謹慎。他們喜歡用“應用程序熟悉”或者“應用層智能”這樣的詞匯。然而，人們現在越來越多地認識到，如果正確地實施，Web應用防火牆能夠作為一個多層次的安全模式的一個重要的部分，因為它們能夠在你修復應用程序安全漏洞的時候提供保護。 .

正如WhiteHat Securit安全公司創始人Jeremiah Grossman在博客中指出的那樣，安全漏洞太多了，代碼本身很難改正這些安全漏洞。他主張通過這樣的方法發現安全漏洞：把評估作為客戶化的規則植入到一個Web應用防火牆，先提出緩解安全漏洞的意見，以後再解決這個問題的根源。 .

Gartner勸告用戶考慮一些刪除應用程序安全漏洞的做法。Young說，在你花第一筆錢之前，你要考慮一下是否能夠通過一個更強大的系統開發生命周期和使用源代碼掃描器等工具清除這些安全漏洞。Web應用防火牆對於很難或者不可能修改的應用程序或者非常動態的應用程序是非常有用的。 .

他說，對於大多數企業來說，選擇一個方法或者其它一種方法都是不充分的，盡管有少數容忍風險程度很低的企業需要同時使用這兩個方法。 .

硬件設備對軟件。Jarden Consumer Solutions公司負責全球網絡服務和運營的IT經理Jack Nelson說，選擇Check Point軟件技術公司的配置集成的Web智能技術的“VPN-1/FireWall-1”網關的最大理由是它有這兩種配置。Jarden公司有一個沒有配備IT人員的遠程辦公室，因此，Nelson使用軟件解決方案讓那個辦公室的員工簡單地把任何PC重新設置為WAF，如果現有的Web應用防火牆崩潰的話。這是一種比購買第二個防火牆更靈活的方法，並且比支付快速反應維修的費用更便宜。他說，這個接口非常簡單，不需要防火牆專家。這個軟件許可證是以密鑰為基礎的，因此你可以遠程使用這個軟件。 .

責任編輯：網絡安全   聯系郵箱：[email protected]

.

.

思科技術達人“秀”揭秘無邊界網絡！ .

分享到：

.

.