web應用防火牆是複雜的產品,在本文中,專家brad causey介紹了在購買web應用防火牆(waf)產品之前企業需要考慮的關鍵問題。
確保web應用的安全性需要多層安全防禦,其中很重要的是web應用防火牆。考慮到web訪問資料的機密性、可用性和完整性時,waf是很關鍵的防禦層。本指南旨在幫助企業選購waf,為企業提供了在調查市場時應該考慮的關鍵問題。
對於waf,**、部署方法、複雜性和很多其他規格的範圍非常大。在購買waf之前,企業應該先了解業務需求、功能和可用資源(例如內部人才和資金情況),這可以幫助企業選擇最符合其要求的產品。適當的規劃和仔細評估市場產品情況也很重要。
下面列出的要點和問題旨在為企業提供方法來朝著正確的方向前進,並作出正確的評估。這些關鍵因素包括:確定waf如何整合到環境、檢測和響應攻擊、執行日誌記錄,以及waf管理和維護的要求。企業應對所調查的每個waf產品回答這些問題,這將幫助企業縮小選擇範圍到滿足其需求的產品。
waf如何整合到你的環境?
在評估waf時需要考慮的最關鍵問題之一是部署。換句話說,如何讓waf運作?現在有一些不同的waf部署選項,企業應該考慮每個選項,並結合企業現有環境,以確定哪種waf型別最合適自己。在很多情況下,通過刪除不適合其網路和it環境的產品,這將幫助決策者縮小**商和產品範圍。
內部裝置:這種常見的waf部署方法涉及在使用者和web應用之間的網路部署裝置。這種方法通常需要一定的內部專業技能,因為管理員將要更改內部網路配置。理想情況是,企業有相關內部技術人員或者有足夠資金來支付**商提供的部署服務。
基於雲的waf:這種waf方法通常需要企業重定向dns記錄來解析到waf**商的ip位址,並讓web流量從**商**到實際應用主機。在很多情況下,企業將需要提供他們的ssl金鑰,因為**商的伺服器在**前將解密資料。
這裡可能會出現效能問題,因為流量在到達企業伺服器之前要經過額外的步驟。不過,大多數**商都有足夠的頻寬,因此在大多數情況下這都不是問題(但應該記住這一點)。這種基於雲的waf通常更容易部署,因為它只需要dns變更(可能還要安裝ssl金鑰),並且不太需要內部it技術技能。請注意:很多基於雲的產品現在還提供ddos保護。
整合waf:基於**或軟體的waf最有可能需要對企業web應用**或其web伺服器的直接更改。對於技術熟練的人員來說,這是不錯的選擇,並且比其他waf產品更便宜。它不需要更改網路架構或者dns重定向,同時,整合waf產品對網路、系統和效能的整體影響最小。
在評估企業想要購買的waf型別時,最好與**商進行交談,並讓內部技術團隊參與進來。有些要求或限制可能在表面來看無法發現,但可能對最終決策有著重大影響。這方面的例子包括所選擇的整合waf如何與web伺服器使用,對此,讓web伺服器管理員參與可能會避免部署過程中的問題。另乙個常見問題是通過基於雲的waf載入重型基於網路的內容,讓網路團隊和效能測試人員參與可以確保使用者不會遭遇延遲問題。
另乙個重要考慮因素是waf如何處理安全套接字層(ssl),ssl保護**身份和資料在網際網路的安全。從ssl來看,waf部署各有不同。
在基於雲或裝置的waf部署中,企業需要解密流量以檢視流量。這涉及終止ssl會話以及重建它(如果需要的話),或解密會話—在它們通過waf時。請確保你所選擇的產品支援這些選項。
waf如何檢測和響應攻擊?
waf的運作主要是通過檢測應用伺服器和客戶端之間的請求和響應內容來實現。waf如何檢測以及檢測什麼對能否有效保護企業資產至關重要。
waf檢測什麼(例如表頭、會話、檔案上傳等)將決定其響應能力。waf應該能夠檢測請求/響應物件的所有元件,包括會話詳細內容。如果應用有要求,例如限制使用者會話數量,大多數waf可以幫助實現。waf應該提供可用的配置讓管理員來輕鬆選擇這些選項。如果企業對get與post如何使用有具體要求,或者對訪問者進入**的途徑有特定要求,waf也應該提供支援。
檢測異常或惡意流量主要是基於幾個模型,了解每個模型很重要。
如果waf採用黑名單的做法,它只會阻止列表中包含已知攻擊的請求。眾所周知的攻擊(例如sql注入和跨站指令碼)通常包含容易檢測的某些字元。黑名單很好用,只要waf支援這種攻擊方法。並且,由於威脅經常變化,必須保持黑名單的更新。
如果waf使用白名單的做法,它只會允許滿足列表或配置中標準的請求。這種檢測方法需要部署期間前端的更多工作,但通常這是更安全的方法,因為它會阻止一切沒有被定義為可接受的事物。
這兩種方法都應該由企業的技術團隊來配置。
什麼是Web應用防火牆?
當web應用越來越為豐富的同時,web伺服器以其強大的計算能力 處理效能及蘊含的較 值逐漸成為主要攻擊目標。waf通過記錄分析黑客攻擊樣本庫及漏洞情況,使用數千台防禦裝置和骨幹網路以及安全替身 攻擊溯源等前沿技術,構建 應用級入侵防禦系統,解決網頁篡改 資料洩露和訪問不穩定等異常問題,保障 資料安全...
什麼是Web應用防火牆
web應用防火牆是集web防護 網頁保護 負載均衡 應用交付於一體的web整體安全防護裝置的一款產品 web防火牆產品部署在web伺服器的前面,序列接入,不僅在硬體效能上要求高,而且不能影響web服務,所以ha功能 bypass功能都是必須的,而且還要與負載均衡 web cache等web伺服器前的...
web應用防火牆的部署方式
web應用防火牆也被稱為 應用級入侵防禦系統,按照一些常規的定義,waf是指通過一系列針對http https的安全策略專門為web應用提供保護的產品。它主要用於防禦針對網路應用層的攻擊,像sql注入 跨站指令碼攻擊 引數篡改 應用平台漏洞攻擊 拒絕服務攻擊等。同傳統防火牆不同的是,web應用防火牆...