Web應用防火墻選購指南
不同于網絡入侵防御系統和網絡防火墻,WAF位于Web客戶端和服務器之間,分析違反計劃的安全政策的應用層通訊。作為最新一代的網絡防護技術,在選購方面應該注意哪些方面呢?
安全顧問公司Cobweb Applications的創始人Michael Cobb說,WAF(Web應用防火墻)旨在保護Web應用程序避免受到跨站腳本攻擊和SQL注入攻擊等常見的威脅。網絡防火墻是防御網絡周邊環境的,安全顧問公司Security Curve的創始人Diana Kelley說,雖然一些傳統的防火墻提供了某種程度的應用程序熟悉能力,但是,傳統防火墻沒有Web應用防火墻提供的那樣精細和具體。例如,Web應用防火墻能夠檢測一個應用程序是否按照它設計的方式工作,它能夠讓你編寫具體的規則防止再次發生這種工具。
Gartner分析師Greg Young說,Web應用防火墻與入侵防御系統不同。它是一個完全不同的技術,不是以特征為基礎的,而是以行為為基礎的,防止你自己意外制造的安全漏洞。
目前,Web應用防火墻的主要推動因素之一是支付卡行業數據安全標準(PCI DSS)。這個標準定義兩方面的遵守法規的情況:Web應用防火墻和審查代碼。但是,另一個推動因素是人們日益認識到攻擊正在從網絡向應用程序轉移。在WhiteHat Security發表的研究報告中,82%的受訪者至少有一個高度的、重要的或者緊迫的嚴重問題。WhiteHat Security從2006年1月至2008年12月評估了877個網站。
主要WAF屬性Burton Group分析師Ramon Krikken說,Web應用防火墻市場仍然沒有定義,這個市場中還有許多不一樣的產品。許多產品提供的功能都超過了一般防火墻的功能。這使這類產品很難評估和對比。此外,新的廠商正在進入這個市場,把現有的非WAF產品擴展到集成的市場。
據研究和咨詢公司Xiom的創始人Ofer Shezaf提供的一個列表,下面是Web應用防火墻應該具有的屬性:。深入理解HTTP.WAF需要更有效地全面地解析和分析HTTP.。提供一個積極的安全模式。積極的安全政策僅允許合法的通訊通過。有時候這叫作“白名單”,這個功能對應用程序提供一個外部輸入驗證層。。應用層規則。由于很高的維護成本,使用基于特征的系統應該會增強積極的安全模式。但是,由于Web應用程序是客戶化編碼的,傳統的真對已知安全漏洞的特征是沒有效的。Web應用防火墻規則應該是普通的并且能夠檢測到SQL注入等任何攻擊的變體。。基于會話的保護。HTTP最大的缺點之一是缺乏內置的可靠的會話機制。一個WAF必須輔助應用會話管理,保護它防止基于會話的攻擊。。允許精細的政策管理。例外情況僅適應于極少部分應用程序。此外,誤報會產生更大的安全漏洞。
Web應用程序防火墻選擇規定
以改善應用軟件安全為重點的開放團體OWASP(開放Web軟件安全計劃)建議按照下列原則選擇Web應用防火墻:
·很少誤報(應該永遠不會不允許授權的請求);
·強大的默認的防御能力;
·強大的和容易學習的模式;
·它能夠防御的安全漏洞的類型;
·能夠保持個人用戶遵守他們在當前的會話中看到的情況;
·能夠經過設置之后防御具體的問題,如緊急的補丁。
·形狀:軟件與硬件(一般首選硬件)。
Web應用防火墻的主要考慮
Web應用防火墻與源代碼掃描。實時保護應用程序(而不是過后修復應用程序)的WAF過去曾引起一些批評。Kelley說,一些廠商對WAF這個詞匯比較謹慎。他們喜歡用“應用程序熟悉”或者“應用層智能”這樣的詞匯。然而,人們現在越來越多地認識到,如果正確地實施,Web應用防火墻能夠作為一個多層次的安全模式的一個重要的部分,因為它們能夠在你修復應用程序安全漏洞的時候提供保護。
正如WhiteHat Securit安全公司創始人Jeremiah Grossman在博客中指出的那樣,安全漏洞太多了,代碼本身很難改正這些安全漏洞。他主張通過這樣的方法發現安全漏洞:把評估作為客戶化的規則植入到一個Web應用防火墻,先提出緩解安全漏洞的意見,以后再解決這個問題的根源。
Gartner勸告用戶考慮一些刪除應用程序安全漏洞的做法。Young說,在你花第一筆錢之前,你要考慮一下是否能夠通過一個更強大的系統開發生命周期和使用源代碼掃描器等工具清除這些安全漏洞。Web應用防火墻對于很難或者不可能修改的應用程序或者非常動態的應用程序是非常有用的。
他說,對于大多數企業來說,選擇一個方法或者其它一種方法都是不充分的,盡管有少數容忍風險程度很低的企業需要同時使用這兩個方法。
硬件設備對軟件。Jarden Consumer Solutions公司負責全球網絡服務和運營的IT經理Jack Nelson說,選擇Check Point軟件技術公司的配置集成的Web智能技術的“VPN-1/FireWall-1”網關的最大理由是它有這兩種配置。Jarden公司有一個沒有配備IT人員的遠程辦公室,因此,Nelson使用軟件解決方案讓那個辦公室的員工簡單地把任何PC重新設置為WAF,如果現有的Web應用防火墻崩潰的話。這是一種比購買第二個防火墻更靈活的方法,并且比支付快速反應維修的費用更便宜。他說,這個接口非常簡單,不需要防火墻專家。這個軟件許可證是以密鑰為基礎的,因此你可以遠程使用這個軟件。
【編輯推薦】
