Web應(yīng)用防火墻(Web application firewall，WAF)主要用來保護(hù)Web應(yīng)用免遭跨站腳本和SQL注入等常見攻擊。WAF位于Web客戶端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ牛瑥亩l(fā)現(xiàn)違反預(yù)先定義好安全策略的行為。

盡管某些傳統(tǒng)防火墻也能提供一定程度的應(yīng)用認(rèn)知功能，但是它不具備WAF的精度和準(zhǔn)度。舉例來說，WAF可以檢測一個應(yīng)用程序是否按照其規(guī)定的方式運(yùn)行，而且它能讓你編寫特定的規(guī)則來防止特定攻擊行為的再次發(fā)生。

WAF也不同于入侵防御系統(tǒng)(IPS)，兩者是完全不同的兩種技術(shù)，后者是基于簽名，而前者是從行為來分析，它能夠防護(hù)用戶自己無意中制造的漏洞。

目前WAF的主要推動因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)，該標(biāo)準(zhǔn)主要通過兩個辦法來驗證是否合規(guī)：WAF和代碼審查。另外一個推動因素是，人們越來越多的認(rèn)識到攻擊已經(jīng)開始由網(wǎng)絡(luò)轉(zhuǎn)移到應(yīng)用程序。根據(jù)WhiteHat Security公布的一份研究報告，從2006年1月到2008年12月間對877個網(wǎng)站進(jìn)行了評估，結(jié)果發(fā)現(xiàn)82%的網(wǎng)站至少存在一個高危或緊急安全漏洞。

WAF的主要特性

Web應(yīng)用防火墻市場仍然不確定，有很多不同的產(chǎn)品被歸類到WAF范疇。研究機(jī)構(gòu)Burton Group的分析師Ramon Krikken表示，“很多產(chǎn)品提供的功能遠(yuǎn)遠(yuǎn)超出了我們通常認(rèn)為防火墻應(yīng)該具有的功能，這使得產(chǎn)品的評價和比較難以進(jìn)行?！贝送猓ㄟ^將已有的非WAF產(chǎn)品整合到綜合產(chǎn)品中的方式，新廠商開始進(jìn)入市場。

根據(jù)研究和咨詢公司Xiom創(chuàng)始人Ofer Shezaf提供的清單，下面列出Web應(yīng)用防火墻應(yīng)該具備的特性：

·深入理解HTTP。WAF必須全面深入分析和解析HTTP的有效性。

·提供明確的安全模型。明確的安全模型只允許已知流量通過，這就給應(yīng)用程序提供了外部驗證保護(hù)。

·應(yīng)用層規(guī)則。由于高昂的維護(hù)費用，明確的安全模型應(yīng)該配合基于簽名的系統(tǒng)來運(yùn)作。不過由于web應(yīng)用程序是自定義編碼，傳統(tǒng)的針對已知漏洞的簽名是無效的。WAF規(guī)則應(yīng)該是通用的，并且能夠發(fā)現(xiàn)像SQL注入這樣的攻擊變種。

·基于會話的保護(hù)：HTTP的最大弱勢之一在于缺乏嵌入式的可靠的會話機(jī)制。WAF必須實現(xiàn)應(yīng)用程序會話管理，并保護(hù)應(yīng)用程序免受基于會話的攻擊和超時攻擊。

·允許細(xì)粒度政策管理。例外政策應(yīng)該只對極少部分的應(yīng)用程序執(zhí)行，否則，可能會造成重大安全漏洞。

WAF的選擇標(biāo)準(zhǔn)

開放網(wǎng)絡(luò)應(yīng)用安全計劃組織(OWASP)主要工作是改進(jìn)應(yīng)用軟件的安全性。以下是OWASP提出的WAF的選擇標(biāo)準(zhǔn)：

·幾乎不出現(xiàn)誤報(即，從不拒絕授權(quán)請求)
·默認(rèn)防御強(qiáng)度
·具備易學(xué)模式
·預(yù)防的攻擊類型
·具備將單個用戶限定在當(dāng)前對話中可見的能力
·配置預(yù)防像緊急補(bǔ)丁等特定問題的能力
·波形因數(shù)：軟件與硬件(通常硬件優(yōu)先)

選擇WAF首要考慮的問題

WAF與源代碼掃描

WAF不能修復(fù)應(yīng)用程序只能進(jìn)行實時保護(hù)的特點，過去一直備受指責(zé)。有些廠商甚至避免使用“WAF”術(shù)語形容他們的產(chǎn)品，而是代之以“應(yīng)用層意識”或“應(yīng)用層智能”。不過，現(xiàn)在人們已經(jīng)越來越普遍地認(rèn)為，通過正確的實施，WAF能夠成為多層安全模型中的重要組成部分，因為當(dāng)人們修補(bǔ)應(yīng)用程序漏洞的時候WAF可以提供保護(hù)。

正如WhiteHat Security公司的創(chuàng)始人Jeremiah Grossman在博客中堅持的那樣，應(yīng)用程序中攻擊和漏洞太多，根本來不及修復(fù)代碼本身。他主張，通過評估發(fā)現(xiàn)的漏洞應(yīng)該作為自定義規(guī)則嵌入WAF中，這樣就能為減輕當(dāng)前狀況并為過后再修復(fù)問題提供選擇。

Gartner公司則建議客戶考慮采用技術(shù)手段消除應(yīng)用程序漏洞。在花錢購買設(shè)備之前，用戶首先應(yīng)該考慮一下，是否通過更強(qiáng)大的系統(tǒng)開發(fā)生命周期和使用源代碼掃描器等工具來消除漏洞。WAF對于那些不容易改變的應(yīng)用程序是非常有用的。
雖然一小部分風(fēng)險承受力低的公司需要采用上述兩種方法進(jìn)行安全防護(hù)，但是對于大多數(shù)公司而言，采用其中任意一種方法就足夠了。

硬件設(shè)備與軟件

Jarden Consumer Solutions公司負(fù)責(zé)全球網(wǎng)絡(luò)服務(wù)和運(yùn)作的IT主管Jack Nelson表示，他們之所以選擇Check Point軟件技術(shù)VPN-1/FireWall-1集成網(wǎng)絡(luò)智能技術(shù)的一大原因在于，能夠有效的對這兩者進(jìn)行配置。Jarden公司有個沒有配備IT維護(hù)人員的遠(yuǎn)程辦公室，因此Nelson使用基于軟件的版本解決方案，當(dāng)現(xiàn)有WAF失效的時候辦公室管理人員就可以輕松地將任何電腦配置為WAF。Nelson表示：“這比再買一個防火墻更靈活，比快速反應(yīng)維護(hù)費更便宜?！边@種界面足夠簡單，不需要防火墻專家配置，另外授權(quán)是基于密鑰的，因此可以遠(yuǎn)程應(yīng)用。

在北美的幾個小辦公室里，Nelson使用Check Point設(shè)備，因為他發(fā)現(xiàn)這種設(shè)備更便于管理和提供支持。

內(nèi)置與外帶

決定部署內(nèi)置WAF還是外帶的WAF是非常關(guān)鍵的，并不是所有WAF都支持這兩種模式。包含不同部署模式的產(chǎn)品并不多見。

選擇WAF的宜與忌

宜：切實弄懂單機(jī)和集成產(chǎn)品的不同

弄清兩種供應(yīng)商的不同是非常重要的，一種供應(yīng)商將WAF功能集成到現(xiàn)有應(yīng)用交付和網(wǎng)絡(luò)安全產(chǎn)品中，而另一種供應(yīng)商則專門生產(chǎn)應(yīng)用程序安全產(chǎn)品。選擇供應(yīng)商的決定因素很多，如系統(tǒng)中已經(jīng)安裝的程序，客戶需要的安全級別，客戶需要專有產(chǎn)品還是功能齊全的產(chǎn)品等。

安全專家表示，致力于應(yīng)用交付的產(chǎn)品對于應(yīng)用安全而言是遠(yuǎn)遠(yuǎn)不夠的，因為這類產(chǎn)品不包括像了解引擎和會話意識等計算密集型功能。了解引擎可以使WAF了解應(yīng)用軟件的行為并生成政策建議。會話認(rèn)知可以讓W(xué)AF實時地建立動態(tài)的、基于會話的規(guī)則，并使用這些規(guī)則來判斷隨后的請求是否有效。

Nelson在公司的虛擬專用網(wǎng)絡(luò)和外部網(wǎng)絡(luò)應(yīng)用程序中使用Check Point的集成產(chǎn)品。集成產(chǎn)品可以處理廣泛的安全組件，而不只是一個特定于應(yīng)用程序的防火墻，這一點是非常重要的。“我們希望在不犧牲性能和可管理性的前提下能夠加強(qiáng)功能性。”他說。

同時，汽車零部件供應(yīng)商AutoAnything.com公司則采取相反的做法，他們使用Breach Security的單機(jī)WAF來保護(hù)電子商務(wù)的安全。 “一個公司將很多事情都做好是不可能的。 ”其CTO Parag Patel表示。

忌：不要把WAF當(dāng)成靈丹妙藥

許多公司為了PCI合規(guī)的目的開始使用WAF，然而，分析師警告稱，不要將WAF作為通過合規(guī)檢測的產(chǎn)品項目。

“我見過很多錯誤的做法，”Young補(bǔ)充說，“很多人認(rèn)為，只要買了防火墻就可以打發(fā)審計員，但是事實并非如此，必須定制適合自身環(huán)境的應(yīng)用程序防御配置才行。”

宜：看看超越傳統(tǒng)WAF功能的增強(qiáng)功能

Krikken表示，雖然傳統(tǒng)的WAF客戶都是安全團(tuán)隊，不過現(xiàn)在很多WAF產(chǎn)品開始引起了更多普通客戶的關(guān)注，這要歸功于WAF新增加的的分析功能、單點登陸支持和Web服務(wù)安全的集成功能。這也是為什么他建議WAF評價應(yīng)該包括企業(yè)架構(gòu)、應(yīng)用實施和軟件開發(fā)的負(fù)責(zé)人的原因?！斑@將改善解決方案安全方面的信心，以及減輕可用性和性能問題。 ”他說。

事實上，一家全球性能源公司決定應(yīng)用WAF的目的是滿足該公司服務(wù)導(dǎo)向架構(gòu)(SOA)部署安全服務(wù)的需要。該公司的總設(shè)計師決定采用Reactivity XML加速器安全裝置，在該業(yè)務(wù)被思科收購后，思科將其轉(zhuǎn)變?yōu)锳CE WAF。當(dāng)能源公司決定購買一個面向因特網(wǎng)的WAF時，思科向其保證可以利用ACE將兩種功能整合在一起，既滿足其內(nèi)部的SOA需求，又保護(hù)其Web應(yīng)用程序的安全。

宜：關(guān)注WAF的性能監(jiān)測功能

應(yīng)用監(jiān)測作為WAF的非傳統(tǒng)用法，正日益流行和普及。WAF能夠檢測性能問題，或者是檢測應(yīng)用程序是否因為無效鏈接而造成錯誤網(wǎng)頁等問題。

忌：不要認(rèn)為有了WAF就一勞永逸

Krikken表示，雖然可以使用黑名單規(guī)則來保證基本的安全，但是還是需要準(zhǔn)備好為最簡單的web應(yīng)用程序投入持續(xù)的時間和精力。“即使有規(guī)則模板和學(xué)習(xí)引擎，為了提高有效性和降低報錯，還是需要經(jīng)常對系統(tǒng)進(jìn)行初步調(diào)整和持續(xù)定制?！彼f。
在全球能源公司，總設(shè)計師稱用思科的WAF可以在兩小時內(nèi)配置一個應(yīng)用實例。不過，他希望有更多的像特點過濾等配置方面的最佳操作指南，而不是客戶自己摸索著操作。
 ”
宜：關(guān)注學(xué)習(xí)引擎功能

有了學(xué)習(xí)引擎，WAF可以學(xué)習(xí)和了解應(yīng)用程序，進(jìn)而創(chuàng)建甚至執(zhí)行規(guī)則。Krikken表示，在動態(tài)環(huán)境中，最好讓W(xué)AF對異常行為作出提醒而不是直接阻止。

Patel用了幾個月Breach的學(xué)習(xí)引擎，他稱其為簡化的網(wǎng)絡(luò)應(yīng)用程序。Patel的團(tuán)隊回顧那段時間的工作時發(fā)現(xiàn)，Breach的學(xué)習(xí)引擎可以標(biāo)記不規(guī)則行為。Patel表示：“你需要一定程度的舒適性，它會作出正確的決定 ”然而，隨著時間的推移，Patel希望實現(xiàn)自動攔截功能。“隨著我們網(wǎng)站流量的增大，WAF判斷違規(guī)操作并第一時間關(guān)閉那些企圖是非常必要的。 ”他說。

舉例來說，WAF阻止其競爭對手處理網(wǎng)站上的產(chǎn)品數(shù)據(jù)，其中包括數(shù)以百萬計的庫存(SKUs)和價格信息。 “如果我們看到有人按周或按月檢查數(shù)據(jù)，這表示我們的競爭情報蒙受了重大損失。 ”Patel說。

宜：關(guān)注企業(yè)級應(yīng)用

Jarden公司的Nelson選擇Check Point安全產(chǎn)品的部分原因就是為了滿足企業(yè)級應(yīng)用，其控制臺功能可以實現(xiàn)對全公司所有防火墻的集中管理。他特別喜歡的功能就是將所有的防火墻集中到所謂的“容器”中，并在這些容器內(nèi)應(yīng)用不同的策略。

與此同時，一家營養(yǎng)品制造商的安全通訊工程師表示，其使用的梭子魚系統(tǒng)(Barracuda system)的最大優(yōu)勢在于它的可擴(kuò)展性。該公司使用WAF的主要動機(jī)是為那些需要接收來自世界各地郵件的用戶提供安全的web電子郵件界面。同時WAF也被用來阻止應(yīng)用層攻擊。

安全工程師希望，不管用戶在什么地方，只要向用戶提供一個單一的URL，他們就可以接收電子郵件，他還希望在不中斷的情況下能夠擴(kuò)大系統(tǒng)范圍。因為他可以在不需要新IP地址的情況下添加額外的WAF設(shè)備?！叭绻_始被重載，我們必須做的事情就是使用另外一個設(shè)備，將兩個設(shè)備整合在一起，獲得雙倍能力?！彼f。