解析如何评估并部署Web应用防火墙

来源：服安资讯   时间:2009-12-18  作者：秩名  点击：次  责任编辑：Flyfox
TAG:   应用 防火墙 Web 部署 评估   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。传统防火墙主要在于保护网络的外围部分，而WAF则部署在Web客户端与Web服务器之间。专家表示，Web应用防火墙的最大好处是，帮助分析应用层的流量以发现任何违法安全政策的安全问题。

虽然某些传统的防火墙能够提供某种程度的应用方面的保护，但是从针对性和范围来看，都比不上WAF。举例来说，WAF可以检测出应用程序是否以其规定的方式在运行，并且能够帮助你编写更具体的安全政策以防止同样的事情再次发生。

WAF与入侵防御系统(IPS)也存在差异，Gartner的分析师Greg Young表示，“这是一种非常不同的技术，它不是基于签名，而是从行为来分析，它能够帮助减少你自己无意中可能制造的漏洞问题，”

目前使用WAF的主要驱动力来自于支付卡行业数据安全标准(PCI DSS)，该标准主要通过两个办法来审查是否合规：WAF和代码审查。另外一个驱动力就是，大家越来越多的意识到攻击已经开始由网络转移到应用程序。 WhiteHat Security在2006月到2008年12月间对877个网站进行了评估，结果发现82%至少存在某种重要的紧急的系统严重性。

Web应用防火墙(WAF)的主要特性

Web应用防火墙市场仍然还不是很明确，有很多相似的产品被归类到WAF范围内。专家指出，“很多产品能够提供远远高于防火墙的功能，这使产品很难进行评估和比较。”此外，新的供应商也开始不断涌入市场，主要通过将已有的非WAF产品整合为综合产品。

那么Web应用防火墙应该觉有哪些特性?IT专家网总结发现，以下这些特性是WAF应该具备的：

·对HTTP有非常深入的理解，WAF必须能够深入分析和解析HTTP的有效性。

·提供正面的安全模型。积极的安全模型可以只允许已知流量通过，有时也被称为“白名单”，这就给应用程序提供了一个有效的外部验证盾牌保护。

·应用层规则。由于高昂的维护成本，积极的安全模式应该还要配合基于签名的系统来运作。但是由于web应用程序都是自定义编码的，传统的针对已知漏洞的签名都没有效。WAF规则应该是通用的并且能够检测攻击的任何变种，如SQL注入攻击。

·基于会话的保护：HTTP存在的最大缺点在于缺乏内置的可靠会话机制，WAF必须补充应用程序会话管理的功能并保护它免受基于会话和超时攻击。

·允许细粒度政策管理。应该对很少部分的应用程序执行例外处理，否则，可能造成安全漏洞。

Web应用防火墙选择标准

开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织，OWASP建议在选择Web应用防火墙时应该参照一下标准：

·很少出现误报(例如，不应该拒绝授权请求等)

·默认防御的强度

·容易操作模式

·可以预防的漏洞类型

·能够限制个人用户只能在当前对话中所看到的内容

·配置预防特定问题的能力，如紧急补丁等

·WAF提供形式：软件与硬件(一般偏好硬件)

Web应用防火墙主要需要考虑的问题

·WAF与源代码扫描的比较

WAF能够实时保护应用程序，而不是修复漏洞，这在过去一直受到大家的批评。有些供应商甚至避免使用“WAF”字眼，而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而，现在越来越普遍的共识是，只有通过正确的部署，WAF才可以作为多层安全模型中重要的组成部分，因为WAF可以在修复应用程序漏洞的时候提供保护。

笔者曾与安全设备提供商交流中表示，应用程序中存在太多漏洞，根本来不及修复代码本身，并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中，这样就能够减轻目前的状况并能过后再修复问题。

另一方面，Gartner公司建议客户考虑采用消除应用程序漏洞的技术，“在你花钱购买设备之前，应该考虑一下，能否通过更强大的系统开发生命周期来消除漏洞，或者通过使用其他工具，如源代码扫描器。”

对于大多数企业而言，采用其中任意一种方法就足够了，虽然对于应用安全需求很好的金融或内源用户而言，笔者认为综合的安全保护措施不失为更好的选择。

顶一下

(0)

0%

踩一下

(0)

0%

服务器安全资讯网(Fuancn.CN)登载此文仅为传递更多信息之目的，并不意味着赞同其观点或证实其描述。

本文引用地址：双击复制发送给您的朋友！

上一篇：为保障网络安全加一道防火墙 下一篇：没有了