企業(yè)選購web應(yīng)用防火墻服務(wù)器三部曲
WAF也與入侵檢測系統(tǒng)不同。它是一種非常不同的技術(shù)——它不是基于特征,它是基于行為的,它防止那些用戶無意中制造的漏洞被利用。
盡管一些傳統(tǒng)的防火墻提供某種程度的應(yīng)用意識(shí),但它不具有WAF提供的顆粒度和專一性。例如,WAF可以檢測應(yīng)用程序的行為是否像它設(shè)計(jì)的那樣,WAF使用戶能夠編寫特殊的規(guī)則來防止這些攻擊再次發(fā)生。
當(dāng)前,推動(dòng)WAF發(fā)展的主要因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。這項(xiàng)標(biāo)準(zhǔn)規(guī)定了兩種取得遵從性的途徑:WAF和代碼審查。但是,另一個(gè)推動(dòng)因素是人們?cè)絹碓揭庾R(shí)到攻擊目標(biāo)由網(wǎng)絡(luò)轉(zhuǎn)向應(yīng)用。WhiteHat Security進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),82%的網(wǎng)站至少存在一個(gè)程度為高風(fēng)險(xiǎn)、危急或嚴(yán)重的問題。這項(xiàng)研究從2006年1月到2008年12月對(duì)877個(gè)網(wǎng)絡(luò)進(jìn)行了調(diào)查。
WAF的主要屬性
Web 應(yīng)用防火墻市場仍沒有得到明確的定義,許多不同的產(chǎn)品都?xì)w在了WAF的名下。Burton Group分析師Ramon Krikken說:“許多產(chǎn)品提供的功能超出了人們對(duì)防火墻的原有認(rèn)識(shí)。此外,新廠商通過將已有的非WAF擴(kuò)展為WAF集成產(chǎn)品,開始進(jìn)入這個(gè)市場細(xì)分。”
根據(jù)研究咨詢機(jī)構(gòu)Xiom創(chuàng)建人Ofer Shezaf提供的清單,我們給出了以下WAF應(yīng)當(dāng)具備的屬性:
1.深入了解HTTP。WAF若要有效就必須完全解析和分析HTTP。
2.提供正面的安全模型。正面的安全政策只允許被認(rèn)為合法的傳輸流通過。這種有時(shí)叫做“白名單”的特性為應(yīng)用提供外部輸入確認(rèn)保護(hù)。
3.應(yīng)用層規(guī)則。由于高性能成本,正面安全模型應(yīng)當(dāng)利用基于特征的系統(tǒng)來加強(qiáng)。但是由于Web應(yīng)用是定制編碼的,針對(duì)已知安全漏洞的傳統(tǒng)特征不再有效。WAF規(guī)則應(yīng)當(dāng)普遍適用,能夠檢測攻擊(如SQL注入)的變種。
4.基于會(huì)話的保護(hù)。HTTP最大的缺點(diǎn)之一就是缺少內(nèi)建的可靠會(huì)話機(jī)制。WAF必須彌補(bǔ)應(yīng)用會(huì)話管理的不足,保護(hù)它免受基于會(huì)話的和長時(shí)間的攻擊。
5.提供細(xì)粒度的政策管理。例外應(yīng)當(dāng)只適用于應(yīng)用的很小部分。否則,假報(bào)警將造成巨大的安全縫隙。
WAF的選購原則希望大家通過以上的敘述已經(jīng)了解,還請(qǐng)大家多多關(guān)注這方面的知識(shí)。本站的相關(guān)資源是很多的,請(qǐng)大家閱讀:http://netsecurity.51cto.com/col/564/
【編輯推薦】
