不同于網(wǎng)絡(luò)入侵防御系統(tǒng)和網(wǎng)絡(luò)防火墻，WAF位于Web客戶端和服務(wù)器之間，分析違反計(jì)劃的安全政策的應(yīng)用層通訊。作為最新一代的網(wǎng)絡(luò)防護(hù)技術(shù)，在選購(gòu)方面應(yīng)該注意哪些方面呢？

安全顧問公司Cobweb Applications的創(chuàng)始人Michael Cobb說，WAF(Web應(yīng)用防火墻)旨在保護(hù)Web應(yīng)用程序避免受到跨站腳本攻擊和SQL注入攻擊等常見的威脅。網(wǎng)絡(luò)防火墻是防御網(wǎng)絡(luò)周邊環(huán)境的，安全顧問公司Security Curve的創(chuàng)始人Diana Kelley說，雖然一些傳統(tǒng)的防火墻提供了某種程度的應(yīng)用程序熟悉能力，但是，傳統(tǒng)防火墻沒有Web應(yīng)用防火墻提供的那樣精細(xì)和具體。例如，Web應(yīng)用防火墻能夠檢測(cè)一個(gè)應(yīng)用程序是否按照它設(shè)計(jì)的方式工作，它能夠讓你編寫具體的規(guī)則防止再次發(fā)生這種工具。

Gartner分析師Greg Young說，Web應(yīng)用防火墻與入侵防御系統(tǒng)不同。它是一個(gè)完全不同的技術(shù)，不是以特征為基礎(chǔ)的，而是以行為為基礎(chǔ)的，防止你自己意外制造的安全漏洞。

目前，Web應(yīng)用防火墻的主要推動(dòng)因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。這個(gè)標(biāo)準(zhǔn)定義兩方面的遵守法規(guī)的情況：Web應(yīng)用防火墻和審查代碼。但是，另一個(gè)推動(dòng)因素是人們?nèi)找嬲J(rèn)識(shí)到攻擊正在從網(wǎng)絡(luò)向應(yīng)用程序轉(zhuǎn)移。在WhiteHat Security發(fā)表的研究報(bào)告中，82%的受訪者至少有一個(gè)高度的、重要的或者緊迫的嚴(yán)重問題。WhiteHat Security從2006年1月至2008年12月評(píng)估了877個(gè)網(wǎng)站。

主要WAF屬性Burton Group分析師Ramon Krikken說，Web應(yīng)用防火墻市場(chǎng)仍然沒有定義，這個(gè)市場(chǎng)中還有許多不一樣的產(chǎn)品。許多產(chǎn)品提供的功能都超過了一般防火墻的功能。這使這類產(chǎn)品很難評(píng)估和對(duì)比。此外，新的廠商正在進(jìn)入這個(gè)市場(chǎng)，把現(xiàn)有的非WAF產(chǎn)品擴(kuò)展到集成的市場(chǎng)。

據(jù)研究和咨詢公司Xiom的創(chuàng)始人Ofer Shezaf提供的一個(gè)列表，下面是Web應(yīng)用防火墻應(yīng)該具有的屬性：。深入理解HTTP.WAF需要更有效地全面地解析和分析HTTP.。提供一個(gè)積極的安全模式。積極的安全政策僅允許合法的通訊通過。有時(shí)候這叫作“白名單”，這個(gè)功能對(duì)應(yīng)用程序提供一個(gè)外部輸入驗(yàn)證層。。應(yīng)用層規(guī)則。由于很高的維護(hù)成本，使用基于特征的系統(tǒng)應(yīng)該會(huì)增強(qiáng)積極的安全模式。但是，由于Web應(yīng)用程序是客戶化編碼的，傳統(tǒng)的真對(duì)已知安全漏洞的特征是沒有效的。Web應(yīng)用防火墻規(guī)則應(yīng)該是普通的并且能夠檢測(cè)到SQL注入等任何攻擊的變體。?；跁?huì)話的保護(hù)。HTTP最大的缺點(diǎn)之一是缺乏內(nèi)置的可靠的會(huì)話機(jī)制。一個(gè)WAF必須輔助應(yīng)用會(huì)話管理，保護(hù)它防止基于會(huì)話的攻擊。。允許精細(xì)的政策管理。例外情況僅適應(yīng)于極少部分應(yīng)用程序。此外，誤報(bào)會(huì)產(chǎn)生更大的安全漏洞。

Web應(yīng)用程序防火墻選擇規(guī)定

以改善應(yīng)用軟件安全為重點(diǎn)的開放團(tuán)體OWASP(開放Web軟件安全計(jì)劃)建議按照下列原則選擇Web應(yīng)用防火墻：

·很少誤報(bào)(應(yīng)該永遠(yuǎn)不會(huì)不允許授權(quán)的請(qǐng)求);

·強(qiáng)大的默認(rèn)的防御能力;

·強(qiáng)大的和容易學(xué)習(xí)的模式;

·它能夠防御的安全漏洞的類型;

·能夠保持個(gè)人用戶遵守他們?cè)诋?dāng)前的會(huì)話中看到的情況;

·能夠經(jīng)過設(shè)置之后防御具體的問題，如緊急的補(bǔ)丁。

·形狀：軟件與硬件(一般首選硬件)。

Web應(yīng)用防火墻的主要考慮

Web應(yīng)用防火墻與源代碼掃描。實(shí)時(shí)保護(hù)應(yīng)用程序(而不是過后修復(fù)應(yīng)用程序)的WAF過去曾引起一些批評(píng)。Kelley說，一些廠商對(duì)WAF這個(gè)詞匯比較謹(jǐn)慎。他們喜歡用“應(yīng)用程序熟悉”或者“應(yīng)用層智能”這樣的詞匯。然而，人們現(xiàn)在越來越多地認(rèn)識(shí)到，如果正確地實(shí)施，Web應(yīng)用防火墻能夠作為一個(gè)多層次的安全模式的一個(gè)重要的部分，因?yàn)樗鼈兡軌蛟谀阈迯?fù)應(yīng)用程序安全漏洞的時(shí)候提供保護(hù)。

正如WhiteHat Securit安全公司創(chuàng)始人Jeremiah Grossman在博客中指出的那樣，安全漏洞太多了，代碼本身很難改正這些安全漏洞。他主張通過這樣的方法發(fā)現(xiàn)安全漏洞：把評(píng)估作為客戶化的規(guī)則植入到一個(gè)Web應(yīng)用防火墻，先提出緩解安全漏洞的意見，以后再解決這個(gè)問題的根源。

Gartner勸告用戶考慮一些刪除應(yīng)用程序安全漏洞的做法。Young說，在你花第一筆錢之前，你要考慮一下是否能夠通過一個(gè)更強(qiáng)大的系統(tǒng)開發(fā)生命周期和使用源代碼掃描器等工具清除這些安全漏洞。Web應(yīng)用防火墻對(duì)于很難或者不可能修改的應(yīng)用程序或者非常動(dòng)態(tài)的應(yīng)用程序是非常有用的。

他說，對(duì)于大多數(shù)企業(yè)來說，選擇一個(gè)方法或者其它一種方法都是不充分的，盡管有少數(shù)容忍風(fēng)險(xiǎn)程度很低的企業(yè)需要同時(shí)使用這兩個(gè)方法。

硬件設(shè)備對(duì)軟件。Jarden Consumer Solutions公司負(fù)責(zé)全球網(wǎng)絡(luò)服務(wù)和運(yùn)營(yíng)的IT經(jīng)理Jack Nelson說，選擇Check Point軟件技術(shù)公司的配置集成的Web智能技術(shù)的“VPN-1/FireWall-1”網(wǎng)關(guān)的最大理由是它有這兩種配置。Jarden公司有一個(gè)沒有配備IT人員的遠(yuǎn)程辦公室，因此，Nelson使用軟件解決方案讓那個(gè)辦公室的員工簡(jiǎn)單地把任何PC重新設(shè)置為WAF，如果現(xiàn)有的Web應(yīng)用防火墻崩潰的話。這是一種比購(gòu)買第二個(gè)防火墻更靈活的方法，并且比支付快速反應(yīng)維修的費(fèi)用更便宜。他說，這個(gè)接口非常簡(jiǎn)單，不需要防火墻專家。這個(gè)軟件許可證是以密鑰為基礎(chǔ)的，因此你可以遠(yuǎn)程使用這個(gè)軟件。
 

【編輯推薦】

1. Web應(yīng)用防火墻的功能與價(jià)值
2. xss攻擊 Web安全新挑戰(zhàn)
3. 百家爭(zhēng)鳴：web攻擊與web防護(hù)
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起