大型的Web應(yīng)用易受多種攻擊，如SQL注入和跨站腳本攻擊漏洞，由此可以造成宕機(jī)時(shí)間、效率降低、數(shù)據(jù)失竊、違規(guī)罰款、品牌受損、服務(wù)中斷、客戶不滿等。為保護(hù)Web應(yīng)用程序，建議企業(yè)利用Web應(yīng)用防火墻。

[[123086]]

Web應(yīng)用防火墻運(yùn)行在應(yīng)用層，并且能夠動(dòng)態(tài)地學(xué)習(xí)和適應(yīng)保護(hù)，可以與其它安全技術(shù)相集成。下面討論對不同方案的比較和實(shí)施建議。

需考慮的問題

企業(yè)可以將應(yīng)用交付控制器(ADC)組件、云服務(wù)、Web應(yīng)用防火墻作為一種獨(dú)立的設(shè)備部署在Web服務(wù)器上，或部署在其前端，專門對特別的Web應(yīng)用進(jìn)行精細(xì)保護(hù)。其功能包括將已知的攻擊與強(qiáng)化合法通信等安全模式結(jié)合起來，防御Web攻擊并減少虛假情報(bào)(也就是那些似是而非的情報(bào))。

總體說來，Web應(yīng)用程序是攻擊者認(rèn)為最值得“下手”的攻擊目標(biāo)，因?yàn)檫@些軟件有足夠的漏洞，因而是進(jìn)入企業(yè)的最容易的方式。

雖然典型的網(wǎng)絡(luò)防火墻位于網(wǎng)絡(luò)的外圍，入侵防御系統(tǒng)(IPS)通常并不能理解Web應(yīng)用協(xié)議邏輯，因而無法完全辨別應(yīng)用層(即OSI的第七層)上的請求是否正常。

Web應(yīng)用防火墻可以防御IPS無法防御的攻擊，并能夠根據(jù)一套完整的特征查找Web漏洞和攻擊而實(shí)施保護(hù)，而且還可以檢測惡意的文件上傳。

除了可以在第四層到第七層強(qiáng)化訪問控制策略，防止攻擊者在沒有得到適當(dāng)?shù)氖跈?quán)時(shí)訪問數(shù)據(jù)，Web應(yīng)用防火墻還應(yīng)當(dāng)提供外發(fā)數(shù)據(jù)泄露的檢查(例如，非法的文件下載)、過濾敏感信息(例如，信用卡號)，與其它安全標(biāo)準(zhǔn)(例如，PCI DSS)結(jié)合，這有助于防御應(yīng)用層的DDoS攻擊。

企業(yè)期望從Web應(yīng)用防火墻中得到多少好處依賴于各種因素，其中包括如何配置、調(diào)整以及維護(hù)。企業(yè)不能認(rèn)為正確配置完畢Web應(yīng)用防火墻后就萬事大吉了，而是要求企業(yè)根據(jù)應(yīng)用需要和網(wǎng)絡(luò)自身的通信行為不斷地維護(hù)和調(diào)整。

在啟用了必要的策略和特征后，Web應(yīng)用防火墻提供了最精細(xì)的Web應(yīng)用防御。在這點(diǎn)上，它要比入侵防御系統(tǒng)好些。

Web應(yīng)用防火墻部署可以減少企業(yè)掃描漏洞的頻率。此外，Web應(yīng)用防火墻還可以與漏洞掃描器、DDoS保護(hù)設(shè)備和其它技術(shù)相集成，而且可以給易受攻擊的Web應(yīng)用程序?qū)嵤┨摂M補(bǔ)丁。#p#

理由

Web應(yīng)用程序的滋長導(dǎo)致Web服務(wù)器上可被利用的漏洞日益增多，再加上由此導(dǎo)致的破壞成本越來越高昂，且保護(hù)許多面向互聯(lián)網(wǎng)資產(chǎn)的相對有效性，企業(yè)必須考慮部署Web應(yīng)用。

特別是，適合采用Web應(yīng)用防火墻的企業(yè)往往擁有面向公眾的Web站點(diǎn)，或擁有服務(wù)于其客戶或合作伙伴的網(wǎng)站。如果企業(yè)的關(guān)鍵數(shù)據(jù)位于Web應(yīng)用程序之后，Web應(yīng)用防火墻顯得尤為重要。

同樣，對于銀行、電子商務(wù)零售商、保險(xiǎn)公司以及使用互聯(lián)網(wǎng)作為主要服務(wù)供應(yīng)商的其它企業(yè)，Web應(yīng)用防火墻更為重要。由于意識(shí)形態(tài)或經(jīng)濟(jì)動(dòng)機(jī)引起的攻擊是安全事件的主要原因，所以每個(gè)企業(yè)都面臨著高風(fēng)險(xiǎn)。如果能夠正確部署Web應(yīng)用防火墻，它就能夠挫敗應(yīng)用層不斷增加的攻擊，同時(shí)可以為合法用戶保留應(yīng)用程序的訪問。

企業(yè)在考慮Web應(yīng)用防火墻時(shí)，應(yīng)考慮平臺(tái)(設(shè)備、應(yīng)用交付控制器組件、云服務(wù))、部署和管理的簡易性、保護(hù)功能，以及與企業(yè)已有的動(dòng)態(tài)應(yīng)用安全掃描器的集成。例如，那些已經(jīng)被掃描器確認(rèn)的漏洞是不是能夠由Web應(yīng)用防火墻生成真正實(shí)用的特征簽名。

除了安全效率，成本也是一個(gè)需考慮的重要因素，當(dāng)然，Web應(yīng)用防火墻作為獨(dú)立的一層安全方案，與其它技術(shù)相比，成本并非決定性因素。還有，還要考慮正常運(yùn)行時(shí)間、彈性、受保護(hù)資產(chǎn)的危險(xiǎn)程度、收入與風(fēng)險(xiǎn)的衡量標(biāo)準(zhǔn)等都是購買時(shí)需要考慮的因素。

由于每個(gè)企業(yè)都有不同的安全需要，因而定制應(yīng)用程序的防御使其匹配具體的業(yè)務(wù)環(huán)境也很重要。所以，建議企業(yè)確保其Web應(yīng)用防火墻包含一種學(xué)習(xí)引擎特性，還要能夠使返回的虛假情報(bào)最少化，對應(yīng)用程序的會(huì)話管理進(jìn)行補(bǔ)充，保護(hù)應(yīng)用程序使其免受基于會(huì)話的攻擊。最好能夠與已有的企業(yè)系統(tǒng)相集成，并且不會(huì)影響已有基礎(chǔ)架構(gòu)的性能，記錄所有應(yīng)用程序、用戶、威脅的通信，以便于日后的分析和取證。