不同于網(wǎng)絡(luò)入侵防御系統(tǒng)和網(wǎng)絡(luò)防火墻，WAF位于Web客戶端和服務(wù)器之間，分析違反計劃的安全政策的應(yīng)用層通訊。作為最新一代的網(wǎng)絡(luò)防護技術(shù)，在選購方面應(yīng)該注意哪些方面呢？

安全顧問公司Cobweb Applications的創(chuàng)始人Michael Cobb說，WAF(Web應(yīng)用防火墻)旨在保護Web應(yīng)用程序避免受到跨站腳本攻擊和SQL注入攻擊等常見的威脅。網(wǎng)絡(luò)防火墻是防御網(wǎng)絡(luò)周邊環(huán)境的，安全顧問公司Security Curve的創(chuàng)始人Diana Kelley說，雖然一些傳統(tǒng)的防火墻提供了某種程度的應(yīng)用程序熟悉能力，但是，傳統(tǒng)防火墻沒有Web應(yīng)用防火墻提供的那樣精細和具體。例如，Web應(yīng)用防火墻能夠檢測一個應(yīng)用程序是否按照它設(shè)計的方式工作，它能夠讓你編寫具體的規(guī)則防止再次發(fā)生這種工具。

Gartner分析師Greg Young說，Web應(yīng)用防火墻與入侵防御系統(tǒng)不同。它是一個完全不同的技術(shù)，不是以特征為基礎(chǔ)的，而是以行為為基礎(chǔ)的，防止你自己意外制造的安全漏洞。

目前，Web應(yīng)用防火墻的主要推動因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。這個標(biāo)準(zhǔn)定義兩方面的遵守法規(guī)的情況：Web應(yīng)用防火墻和審查代碼。但是，另一個推動因素是人們?nèi)找嬲J識到攻擊正在從網(wǎng)絡(luò)向應(yīng)用程序轉(zhuǎn)移。在WhiteHat Security發(fā)表的研究報告中，82%的受訪者至少有一個高度的、重要的或者緊迫的嚴(yán)重問題。WhiteHat Security從2006年1月至2008年12月評估了877個網(wǎng)站。

主要WAF屬性Burton Group分析師Ramon Krikken說，Web應(yīng)用防火墻市場仍然沒有定義，這個市場中還有許多不一樣的產(chǎn)品。許多產(chǎn)品提供的功能都超過了一般防火墻的功能。這使這類產(chǎn)品很難評估和對比。此外，新的廠商正在進入這個市場，把現(xiàn)有的非WAF產(chǎn)品擴展到集成的市場。

據(jù)研究和咨詢公司Xiom的創(chuàng)始人Ofer Shezaf提供的一個列表，下面是Web應(yīng)用防火墻應(yīng)該具有的屬性：。深入理解HTTP.WAF需要更有效地全面地解析和分析HTTP.。提供一個積極的安全模式。積極的安全政策僅允許合法的通訊通過。有時候這叫作“白名單”，這個功能對應(yīng)用程序提供一個外部輸入驗證層。。應(yīng)用層規(guī)則。由于很高的維護成本，使用基于特征的系統(tǒng)應(yīng)該會增強積極的安全模式。但是，由于Web應(yīng)用程序是客戶化編碼的，傳統(tǒng)的真對已知安全漏洞的特征是沒有效的。Web應(yīng)用防火墻規(guī)則應(yīng)該是普通的并且能夠檢測到SQL注入等任何攻擊的變體。?；跁挼谋Ｗo。HTTP最大的缺點之一是缺乏內(nèi)置的可靠的會話機制。一個WAF必須輔助應(yīng)用會話管理，保護它防止基于會話的攻擊。。允許精細的政策管理。例外情況僅適應(yīng)于極少部分應(yīng)用程序。此外，誤報會產(chǎn)生更大的安全漏洞。

Web應(yīng)用程序防火墻選擇規(guī)定

以改善應(yīng)用軟件安全為重點的開放團體OWASP(開放Web軟件安全計劃)建議按照下列原則選擇Web應(yīng)用防火墻：

·很少誤報(應(yīng)該永遠不會不允許授權(quán)的請求);

·強大的默認的防御能力;

·強大的和容易學(xué)習(xí)的模式;

·它能夠防御的安全漏洞的類型;

·能夠保持個人用戶遵守他們在當(dāng)前的會話中看到的情況;

·能夠經(jīng)過設(shè)置之后防御具體的問題，如緊急的補丁。

·形狀：軟件與硬件(一般首選硬件)。

Web應(yīng)用防火墻的主要考慮

Web應(yīng)用防火墻與源代碼掃描。實時保護應(yīng)用程序(而不是過后修復(fù)應(yīng)用程序)的WAF過去曾引起一些批評。Kelley說，一些廠商對WAF這個詞匯比較謹(jǐn)慎。他們喜歡用“應(yīng)用程序熟悉”或者“應(yīng)用層智能”這樣的詞匯。然而，人們現(xiàn)在越來越多地認識到，如果正確地實施，Web應(yīng)用防火墻能夠作為一個多層次的安全模式的一個重要的部分，因為它們能夠在你修復(fù)應(yīng)用程序安全漏洞的時候提供保護。

正如WhiteHat Securit安全公司創(chuàng)始人Jeremiah Grossman在博客中指出的那樣，安全漏洞太多了，代碼本身很難改正這些安全漏洞。他主張通過這樣的方法發(fā)現(xiàn)安全漏洞：把評估作為客戶化的規(guī)則植入到一個Web應(yīng)用防火墻，先提出緩解安全漏洞的意見，以后再解決這個問題的根源。

Gartner勸告用戶考慮一些刪除應(yīng)用程序安全漏洞的做法。Young說，在你花第一筆錢之前，你要考慮一下是否能夠通過一個更強大的系統(tǒng)開發(fā)生命周期和使用源代碼掃描器等工具清除這些安全漏洞。Web應(yīng)用防火墻對于很難或者不可能修改的應(yīng)用程序或者非常動態(tài)的應(yīng)用程序是非常有用的。

他說，對于大多數(shù)企業(yè)來說，選擇一個方法或者其它一種方法都是不充分的，盡管有少數(shù)容忍風(fēng)險程度很低的企業(yè)需要同時使用這兩個方法。

硬件設(shè)備對軟件。Jarden Consumer Solutions公司負責(zé)全球網(wǎng)絡(luò)服務(wù)和運營的IT經(jīng)理Jack Nelson說，選擇Check Point軟件技術(shù)公司的配置集成的Web智能技術(shù)的“VPN-1/FireWall-1”網(wǎng)關(guān)的最大理由是它有這兩種配置。Jarden公司有一個沒有配備IT人員的遠程辦公室，因此，Nelson使用軟件解決方案讓那個辦公室的員工簡單地把任何PC重新設(shè)置為WAF，如果現(xiàn)有的Web應(yīng)用防火墻崩潰的話。這是一種比購買第二個防火墻更靈活的方法，并且比支付快速反應(yīng)維修的費用更便宜。他說，這個接口非常簡單，不需要防火墻專家。這個軟件許可證是以密鑰為基礎(chǔ)的，因此你可以遠程使用這個軟件。
 

【編輯推薦】

1. Web應(yīng)用防火墻的功能與價值
2. xss攻擊 Web安全新挑戰(zhàn)
3. 百家爭鳴：web攻擊與web防護
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起