解析如何評估並部署Web應用防火牆

Web應用防火牆(WAF)旨在保護Web應用程序免受常見攻擊(如跨站腳本攻擊和SQL注入攻擊等)的威脅。專家表示，Web應用防火牆的最大好處是，幫助分析應用層的流量以發現任何違法安全政策的安全問題。

　　雖然某些傳統的防火牆能夠提供某種程度的應用方面的保護，但是從針對性和范圍來看，都比不上WAF。舉例來說，WAF可以檢測出應用程序是否以其規定的方式在運行，並且能夠幫助你編寫更具體的安全政策以防止同樣的事情再次發生。

　　WAF與入侵防御系統(IPS)也存在差異，Gartner的分析師Greg Young表示，“這是一種非常不同的技術，它不是基於簽名，而是從行為來分析，它能夠幫助減少你自己無意中可能制造的漏洞問題，

　　目前使用WAF的主要驅動力來自於支付卡行業數據安全標准(PCI DSS)，該標准主要通過兩個辦法來審查是否合規：WAF和代碼審查。另外一個驅動力就是，大家越來越多的意識到攻擊已經開始由網絡轉移到應用程序。WhiteHat Security在2006月到2008年12月間對877個網站進行了評估，結果發現82%至少存在某種重要的緊急的系統嚴重性。

　　Web應用防火牆(WAF)的主要特性

　　Web應用防火牆市場仍然還不是很明確，有很多相似的產品被歸類到WAF范圍內。專家指出，“很多產品能夠提供遠遠高於防火牆的功能，這使產品很難進行評估和比較。此外，新的供應商也開始不斷湧入市場，主要通過將已有的非WAF產品整合為綜合產品。

　　那麼Web應用防火牆應該覺有哪些特性？IT專家網總結發現，以下這些特性是WAF應該具備的：

　　·對HTTP有非常深入的理解，WAF必須能夠深入分析和解析HTTP的有效性。

　　·提供正面的安全模型。積極的安全模型可以只允許已知流量通過，有時也被稱為“白名單，這就給應用程序提供了一個有效的外部驗證盾牌保護。

　　·應用層規則。由於高昂的維護成本，積極的安全模式應該還要配合基於簽名的系統來運作。但是由於web應用程序都是自定義編碼的，傳統的針對已知漏洞的簽名都沒有效。WAF規則應該是通用的並且能夠檢測攻擊的任何變種，如SQL注入攻擊。

　　·基於會話的保護：HTTP存在的最大缺點在於缺乏內置的可靠會話機制，WAF必須補充應用程序會話管理的功能並保護它免受基於會話和超時攻擊。

　　·允許細粒度政策管理。應該對很少部分的應用程序執行例外處理，否則，可能造成安全漏洞。

Web應用防火牆選擇標准

　　開放式Web應用程序安全項目(OWASP)是一個側重於促進應用軟件安全發展的開發式非營利性組織，OWASP建議在選擇Web應用防火牆時應該參照一下標准：

　　·很少出現誤報(例如，不應該拒絕授權請求等)

　　·默認防御的強度

　　·容易操作模式

　　·可以預防的漏洞類型

　　·能夠限制個人用戶只能在當前對話中所看到的內容

　　·配置預防特定問題的能力，如緊急補丁等

　　·WAF提供形式：軟件與硬件(一般偏好硬件)

　　Web應用防火牆主要需要考慮的問題

　　·WAF與源代碼掃描的比較

　　WAF能夠實時保護應用程序，而不是修復漏洞，這在過去一直受到大家的批評。有些供應商甚至避免使用“WAF字眼，而是采用“應用層意識或者“應用層智能來形容他們的產品。然而，現在越來越普遍的共識是，只有通過正確的部署，WAF才可以作為多層安全模型中重要的組成部分，因為WAF可以在修復應用程序漏洞的時候提供保護。

　　筆者曾與安全設備提供商交流中表示，應用程序中存在太多漏洞，根本來不及修復代碼本身，並建議通過評估發現的漏洞應該作為自定義規則嵌入WAF中，這樣就能夠減輕目前的狀況並能過後再修復問題。

　　另一方面，Gartner公司建議客戶考慮采用消除應用程序漏洞的技術，“在你花錢購買設備之前，應該考慮一下，能否通過更強大的系統開發生命周期來消除漏洞，或者通過使用其他工具，如源代碼掃描器。

　　對於大多數企業而言，采用其中任意一種方法就足夠了，雖然對於應用安全需求很好的金融或內源用戶而言，筆者認為綜合的安全保護措施不失為更好的選擇。

　　·硬件設備與軟件比較

　　Jarden Consumer Solutions公司的全球網絡服務和運作IT主管Jack Nelson表示，他們選擇硬件安全網關（集成Web應用安全技術）的主要原因在於，能夠有效的對這兩者進行配置。Jarden公司有個沒有配備IT人員的遠程辦公室，因此Nelson使用基於軟件的版本解決方案，這樣辦公室管理人員就可以在現有WAF失效的時候輕松將任何電腦配置為WAF。“這比購買第二個防火牆更靈活，這樣比快速反應維護費要便宜，他表示，這種界面非常簡單並且不需要防火牆專家來配置，另外授權是基於密鑰的，這樣比較適用於遠程。

　　專家表示，首先就想清楚部署內置WAF還是外帶的WAF是至關重要的，並不是所有WAF都支持這兩種模式，很少看到包含不同部署模式的產品。

關於WAF的注意事項

　　清楚理解獨立產品和集成產品的區別。我們有必要區分這兩種供應商：將WAF功能集成到現有應用交付和網絡安全產品中的供應商以及那些專門生產應用程序安全產品的供應商。選擇哪種供應商主要取決於很多因素，包括系統中已經安裝了哪些程序，企業需要的安全級別，企業是需要專門的產品還是擁有廣泛功能的產品。

　　安全專家表示，側重應用交付的產品對於應用安全而言是遠遠不夠的，因為並不包括計算密集型功能，例如了解引擎和會話意識等。了解引擎可以使WAF了解應用程序的行為並生成相關的建議政策。會話認知可以讓WAF建立實時的動態的、基於會話的規則，並使用這些規則來確定隨後的請求是否有效。

　　不要把WAF當作靈丹妙藥！很多公司為了PCI合規的目的而開始使用WAF，然而，分析師警告說，最好不要將WAF作為通過合規檢測的產品。

　　“很多人病急亂投醫，Young補充說，“很多人認為，只要購買了防火牆，就能夠打發審計員，但是這樣做是不夠的，你需要將應用程序防御配置為適合自身環境的模式。

　　看看傳統WAF功能之外的增強功能。雖然傳統的WAF客戶都是安全團隊，不過現在很多WAF產品開始吸引廣大普通客戶的關注，主要是現在的WAF的分析功能、單點登陸支持和與Web服務安全的集成。

　　在一家全球性能源公司，使用WAF的目的在於滿足該公司服務導向架構(SOA)部署的安全服務，該公司的總設計師決定采用Reactivity XML加速器安全裝置(隨後被思科收購)。

　　從性能監測角度來考慮WAF。應用檢測是WAF的非傳統用法，由於WAF能夠檢測性能問題以及檢測應用程序是否因為無效鏈接而造成的錯誤頁面等問題，這使這個功能越來越受到歡迎。

　　不要忽視細節。 雖然可以使用黑名單規則來保證基本的安全，但是還是需要為最簡單的web應用程序投入持續的時間和勞動力，即使有規則模板和學習引擎，還是需要經常對系統進行細節調整和自定義化以提高有效性和降低報錯。

　　考慮學習引擎功能。有了學習引擎，WAF就可以學習了解應用程序行為，這樣就能創建甚至執行規則。在非常動態的環境中，最好讓WAF對不正確的行為進行提醒而不是阻止。

　　考慮企業級別的功能。Jarden公司的Nelson選擇了硬件安全產品來處理企業級別的控制台功能，提供對所有防火牆的集中管理。他特別喜歡將所有的防火牆集中到所謂的“容器中，並在這些容器中使用不同的政策。

　　與此同時，一家營養品制造商的安全通訊工程師表示，梭子魚系統的最大優勢在於它的可擴展性，該公司使用WAF的主要動機是，為想要接收來自世界各地的用戶提供一個安全的web電子郵件界面，同樣使用WAF來保護系統免受應用層的攻擊。

　　安全工程師希望向用戶提供一個簡單的URL來接收電子郵件，而不管用戶在什麼地方，他同樣希望能夠在不被中斷的情況下，擴大系統范圍。因為它可以在不需要新IP地址的情況下，添加額外的WAF設備，這對用戶而言是完全透明的。“如果開始被重載，我們必須做的事情就是使用另外一個設備，將兩個整合在一起，獲得兩倍能力。