解析如何評估並部署Web應用防火牆

 

　　Web應用防火牆(WAF)旨在保護Web應用程序免受常見攻擊(如跨站腳本攻擊和SQL注入攻擊等)的威脅。傳統防火牆主要在於保護網絡的外圍部分，而WAF則部署在Web客戶端與Web服務器之間。專家表示，Web應用防火牆的最大好處是，幫助分析應用層的流量以發現任何違法安全政策的安全問題。

.

　　雖然某些傳統的防火牆能夠提供某種程度的應用方面的保護，但是從針對性和范圍來看，都比不上WAF。舉例來說，WAF可以檢測出應用程序是否以其規定的方式在運行，並且能夠幫助你編寫更具體的安全政策以防止同樣的事情再次發生。 .

　　WAF與入侵防御系統(IPS)也存在差異，Gartner的分析師Greg Young表示，“這是一種非常不同的技術，它不是基於簽名，而是從行為來分析，它能夠幫助減少你自己無意中可能制造的漏洞問題，” .

　　目前使用WAF的主要驅動力來自於支付卡行業數據安全標准(PCI DSS)，該標准主要通過兩個辦法來審查是否合規：WAF和代碼審查。另外一個驅動力就是，大家越來越多的意識到攻擊已經開始由網絡轉移到應用程序。WhiteHat Security在2006月到2008年12月間對877個網站進行了評估，結果發現82%至少存在某種重要的緊急的系統嚴重性。 .

　　Web應用防火牆(WAF)的主要特性 .

　　Web應用防火牆市場仍然還不是很明確，有很多相似的產品被歸類到WAF范圍內。專家指出，“很多產品能夠提供遠遠高於防火牆的功能，這使產品很難進行評估和比較。”此外，新的供應商也開始不斷湧入市場，主要通過將已有的非WAF產品整合為綜合產品。 .

　　那麼Web應用防火牆應該覺有哪些特性？IT專家網總結發現，以下這些特性是WAF應該具備的：

.

　　·對HTTP有非常深入的理解，WAF必須能夠深入分析和解析HTTP的有效性。 .

　　·提供正面的安全模型。積極的安全模型可以只允許已知流量通過，有時也被稱為“白名單”，這就給應用程序提供了一個有效的外部驗證盾牌保護。 .

　　·應用層規則。由於高昂的維護成本，積極的安全模式應該還要配合基於簽名的系統來運作。但是由於web應用程序都是自定義編碼的，傳統的針對已知漏洞的簽名都沒有效。WAF規則應該是通用的並且能夠檢測攻擊的任何變種，如SQL注入攻擊。 .

　　·基於會話的保護：HTTP存在的最大缺點在於缺乏內置的可靠會話機制，WAF必須補充應用程序會話管理的功能並保護它免受基於會話和超時攻擊。

.

　　·允許細粒度政策管理。應該對很少部分的應用程序執行例外處理，否則，可能造成安全漏洞。

.

　　  Web應用防火牆選擇標准

 

.

　　開放式Web應用程序安全項目(OWASP)是一個側重於促進應用軟件安全發展的開發式非營利性組織，OWASP建議在選擇Web應用防火牆時應該參照一下標准： .

　　·很少出現誤報(例如，不應該拒絕授權請求等)

.

　　·默認防御的強度

.

　　·容易操作模式 .

　　·可以預防的漏洞類型 .

　　·能夠限制個人用戶只能在當前對話中所看到的內容 .

　　·配置預防特定問題的能力，如緊急補丁等 .

　　·WAF提供形式：軟件與硬件(一般偏好硬件) .

　　Web應用防火牆主要需要考慮的問題 .

　　·WAF與源代碼掃描的比較 .