Web應用防火墻的主要特性
隨著web2.0時代的到來,Web應用也逐漸被人廣泛的接受和使用。當然,每個新技術的到來對應著其安全問題也接踵而來。面對Web安全問題,不同于IDS與IPS的新技術,Web應用防火墻也逐漸映入人們的眼中。
Web應用防火墻(Web application firewall,WAF)主要用來保護Web應用免遭跨站腳本和SQL注入等常見攻擊。WAF位于Web客戶端和Web服務器之間,分析應用程序層的通信,從而發現違反預先定義好安全策略的行為。
盡管某些傳統防火墻也能提供一定程度的應用認知功能,但是它不具備WAF的精度和準度。舉例來說,WAF可以檢測一個應用程序是否按照其規定的方式運行,而且它能讓你編寫特定的規則來防止特定攻擊行為的再次發生。
Web應用防火墻(WAF)也不同于入侵防御系統(IPS),兩者是完全不同的兩種技術,后者是基于簽名,而前者是從行為來分析,它能夠防護用戶自己無意中制造的漏洞。
目前Web應用防火墻的主要推動因素之一是支付卡行業數據安全標準(PCI DSS),該標準主要通過兩個辦法來驗證是否合規:WAF和代碼審查。另外一個推動因素是,人們越來越多的認識到攻擊已經開始由網絡轉移到應用程序。根據WhiteHat Security公布的一份研究報告,從2006年1月到2008年12月間對877個網站進行了評估,結果發現82%的網站至少存在一個高危或緊急安全漏洞。
Web應用防火墻的主要特性
Web應用防火墻市場仍然不確定,有很多不同的產品被歸類到WAF范疇。研究機構Burton Group的分析師Ramon Krikken表示,“很多產品提供的功能遠遠超出了我們通常認為防火墻應該具有的功能,這使得產品的評價和比較難以進行。”此外,通過將已有的非WAF產品整合到綜合產品中的方式,新廠商開始進入市場。
根據研究和咨詢公司Xiom創始人Ofer Shezaf提供的清單,下面列出Web應用防火墻應該具備的特性:
·深入理解HTTP。Web應用防火墻必須全面深入分析和解析HTTP的有效性。
·提供明確的安全模型。明確的安全模型只允許已知流量通過,這就給應用程序提供了外部驗證保護。
·應用層規則。由于高昂的維護費用,明確的安全模型應該配合基于簽名的系統來運作。不過由于web應用程序是自定義編碼,傳統的針對已知漏洞的簽名是無效的。Web應用防火墻規則應該是通用的,并且能夠發現像SQL注入這樣的攻擊變種。
·基于會話的保護:HTTP的最大弱勢之一在于缺乏嵌入式的可靠的會話機制。Web應用防火墻必須實現應用程序會話管理,并保護應用程序免受基于會話的攻擊和超時攻擊。
·允許細粒度政策管理。例外政策應該只對極少部分的應用程序執行,否則,可能會造成重大安全漏洞。
【編輯推薦】
