|
WAF(Web application firewall��,Web應(yīng)用防火墻)主要用來保護(hù)Web應(yīng)用免遭跨站腳本和SQL注入等常見攻擊��。WAF位于Web客戶端和Web服務(wù)器之間,分析應(yīng)用程序?qū)拥耐ㄐ��,從而發(fā)現(xiàn)違反預(yù)先定義好安全策略的行為����。
盡管某些傳統(tǒng)防火墻也能提供一定程度的應(yīng)用認(rèn)知功能,但是它不具備WAF的精度和準(zhǔn)度����。WAF可以檢測一個應(yīng)用程序是否按照其規(guī)定的方式運行,而且它能讓你編寫特定的規(guī)則來防止特定攻擊行為的再次發(fā)生�����。WAF也不同于入侵防御系統(tǒng)(IPS)���,兩者是完全不同的兩種技術(shù),后者是基于簽名��,而前者是從行為來分析���,它能夠防護(hù)用戶自己無意中制造的漏洞��。
目前WAF的主要推動因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)��,該標(biāo)準(zhǔn)主要通過兩個辦法來驗證是否合規(guī):WAF和代碼審查���。另外一個推動因素是����,人們越來越多的認(rèn)識到攻擊已經(jīng)開始由網(wǎng)絡(luò)轉(zhuǎn)移到應(yīng)用程序����。根據(jù)WhiteHat Security公布的一份研究報告,從2006年1月到2008年12月間對877個網(wǎng)站進(jìn)行了評估����,結(jié)果發(fā)現(xiàn)82%的網(wǎng)站至少存在一個高危或緊急安全漏洞��。
WAF的主要特性
Web應(yīng)用防火墻市場仍然不確定�,有很多不同的產(chǎn)品被歸類到WAF范疇。研究機構(gòu)Burton Group的分析師Ramon Krikken表示�,“很多產(chǎn)品提供的功能遠(yuǎn)遠(yuǎn)超出了我們通常認(rèn)為防火墻應(yīng)該具有的功能,這使得產(chǎn)品的評價和比較難以進(jìn)行���。”此外�����,通過將已有的非WAF產(chǎn)品整合到綜合產(chǎn)品中的方式�����,新廠商開始進(jìn)入市場�。
根據(jù)研究和咨詢公司Xiom創(chuàng)始人Ofer Shezaf提供的清單,下面列出Web應(yīng)用防火墻應(yīng)該具備的特性:
深入理解HTTP�。WAF必須全面深入分析和解析HTTP的有效性。
提供明確的安全模型���。明確的安全模型只允許已知流量通過����,這就給應(yīng)用程序提供了外部驗證保護(hù)����。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
應(yīng)用層規(guī)則:由于高昂的維護(hù)費用,明確的安全模型應(yīng)該配合基于簽名的系統(tǒng)來運作�����。不過由于web應(yīng)用程序是自定義編碼����,傳統(tǒng)的針對已知漏洞的簽名是無效的。WAF規(guī)則應(yīng)該是通用的����,并且能夠發(fā)現(xiàn)像SQL注入這樣的攻擊變種。
基于會話的保護(hù):HTTP的最大弱勢之一在于缺乏嵌入式的可靠的會話機制�����。WAF必須實現(xiàn)應(yīng)用程序會話管理�����,并保護(hù)應(yīng)用程序免受基于會話的攻擊和超時攻擊��。
允許細(xì)粒度政策管理���。例外政策應(yīng)該只對極少部分的應(yīng)用程序執(zhí)行��,否則�,可能會造成重大安全漏洞����。
WAF的選擇標(biāo)準(zhǔn)
開放網(wǎng)絡(luò)應(yīng)用安全計劃組織(OWASP)主要工作是改進(jìn)應(yīng)用軟件的安全性。以下是OWASP提出的WAF的選擇標(biāo)準(zhǔn):
幾乎不出現(xiàn)誤報(即�����,從不拒絕授權(quán)請求)
默認(rèn)防御強度
具備易學(xué)模式
預(yù)防的攻擊類型
具備將單個用戶限定在當(dāng)前對話中可見的能力
配置預(yù)防像緊急補丁等特定問題的能力
波形因數(shù):軟件與硬件(通常硬件優(yōu)先)
選擇WAF首要考慮的問題
WAF與源代碼掃描
WAF不能修復(fù)應(yīng)用程序只能進(jìn)行實時保護(hù)的特點,過去一直備受指責(zé)��。有些廠商甚至避免使用“WAF”術(shù)語形容他們的產(chǎn)品����,而是代之以“應(yīng)用層意識”或“應(yīng)用層智能”。不過����,現(xiàn)在人們已經(jīng)越來越普遍地認(rèn)為,通過正確的實施����,WAF能夠成為多層安全模型中的重要組成部分,因為當(dāng)人們修補應(yīng)用程序漏洞的時候WAF可以提供保護(hù)���。
正如WhiteHat Security公司的創(chuàng)始人Jeremiah Grossman在博客中堅持的那樣����,應(yīng)用程序中攻擊和漏洞太多�����,根本來不及修復(fù)代碼本身�。他主張,通過評估發(fā)現(xiàn)的漏洞應(yīng)該作為自定義規(guī)則嵌入WAF中����,這樣就能為減輕當(dāng)前狀況并為過后再修復(fù)問題提供選擇。
Gartner公司則建議客戶考慮采用技術(shù)手段消除應(yīng)用程序漏洞����。在花錢購買設(shè)備之前,用戶首先應(yīng)該考慮一下�����,是否通過更強大的系統(tǒng)開發(fā)生命周期和使用源代碼掃描器等工具來消除漏洞�����。WAF對于那些不容易改變的應(yīng)用程序是非常有用的�。雖然一小部分風(fēng)險承受力低的公司需要采用上述兩種方法進(jìn)行安全防護(hù),但是對于大多數(shù)公司而言���,采用其中任意一種方法就足夠了���。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
