Web应用防火墙选购指南

不同于网络入侵防御系统和网络防火墙，WAF位于Web客户端和服务器之间，分析违反计划的安全政策的应用层通讯。作为最新一代的网络防护技术，在选购方面应该注意哪些方面呢？

安全顾问公司Cobweb Applications的创始人Michael Cobb说，WAF(Web应用防火墙)旨在保护Web应用程序避免受到跨站脚本攻击和SQL注入攻击等常见的威胁。网络防火墙是防御网络周边环境的，安全顾问公司Security Curve的创始人Diana Kelley说，虽然一些传统的防火墙提供了某种程度的应用程序熟悉能力，但是，传统防火墙没有Web应用防火墙提供的那样精细和具体。例如，Web应用防火墙能够检测一个应用程序是否按照它设计的方式工作，它能够让你编写具体的规则防止再次发生这种工具。

Gartner分析师Greg Young说，Web应用防火墙与入侵防御系统不同。它是一个完全不同的技术，不是以特征为基础的，而是以行为为基础的，防止你自己意外制造的安全漏洞。

目前，Web应用防火墙的主要推动因素之一是支付卡行业数据安全标准(PCI DSS)。这个标准定义两方面的遵守法规的情况：Web应用防火墙和审查代码。但是，另一个推动因素是人们日益认识到攻击正在从网络向应用程序转移。在WhiteHat Security发表的研究报告中，82%的受访者至少有一个高度的、重要的或者紧迫的严重问题。WhiteHat Security从2006年1月至2008年12月评估了877个网站。

主要WAF属性Burton Group分析师Ramon Krikken说，Web应用防火墙市场仍然没有定义，这个市场中还有许多不一样的产品。许多产品提供的功能都超过了一般防火墙的功能。这使这类产品很难评估和对比。此外，新的厂商正在进入这个市场，把现有的非WAF产品扩展到集成的市场。

据研究和咨询公司Xiom的创始人Ofer Shezaf提供的一个列表，下面是Web应用防火墙应该具有的属性：。深入理解HTTP.WAF需要更有效地全面地解析和分析HTTP.。提供一个积极的安全模式。积极的安全政策仅允许合法的通讯通过。有时候这叫作“白名单”，这个功能对应用程序提供一个外部输入验证层。。应用层规则。由于很高的维护成本，使用基于特征的系统应该会增强积极的安全模式。但是，由于Web应用程序是客户化编码的，传统的真对已知安全漏洞的特征是没有效的。Web应用防火墙规则应该是普通的并且能够检测到SQL注入等任何攻击的变体。。基于会话的保护。HTTP最大的缺点之一是缺乏内置的可靠的会话机制。一个WAF必须辅助应用会话管理，保护它防止基于会话的攻击。。允许精细的政策管理。例外情况仅适应于极少部分应用程序。此外，误报会产生更大的安全漏洞。

Web应用程序防火墙选择规定

以改善应用软件安全为重点的开放团体OWASP(开放Web软件安全计划)建议按照下列原则选择Web应用防火墙：

·很少误报(应该永远不会不允许授权的请求);

·强大的默认的防御能力;

·强大的和容易学习的模式;

·它能够防御的安全漏洞的类型;

·能够保持个人用户遵守他们在当前的会话中看到的情况;

·能够经过设置之后防御具体的问题，如紧急的补丁。

·形状：软件与硬件(一般首选硬件)。

Web应用防火墙的主要考虑

Web应用防火墙与源代码扫描。实时保护应用程序(而不是过后修复应用程序)的WAF过去曾引起一些批评。Kelley说，一些厂商对WAF这个词汇比较谨慎。他们喜欢用“应用程序熟悉”或者“应用层智能”这样的词汇。然而，人们现在越来越多地认识到，如果正确地实施，Web应用防火墙能够作为一个多层次的安全模式的一个重要的部分，因为它们能够在你修复应用程序安全漏洞的时候提供保护。

正如WhiteHat Securit安全公司创始人Jeremiah Grossman在博客中指出的那样，安全漏洞太多了，代码本身很难改正这些安全漏洞。他主张通过这样的方法发现安全漏洞：把评估作为客户化的规则植入到一个Web应用防火墙，先提出缓解安全漏洞的意见，以后再解决这个问题的根源。

Gartner劝告用户考虑一些删除应用程序安全漏洞的做法。Young说，在你花第一笔钱之前，你要考虑一下是否能够通过一个更强大的系统开发生命周期和使用源代码扫描器等工具清除这些安全漏洞。Web应用防火墙对于很难或者不可能修改的应用程序或者非常动态的应用程序是非常有用的。

他说，对于大多数企业来说，选择一个方法或者其它一种方法都是不充分的，尽管有少数容忍风险程度很低的企业需要同时使用这两个方法。

硬件设备对软件。Jarden Consumer Solutions公司负责全球网络服务和运营的IT经理Jack Nelson说，选择Check Point软件技术公司的配置集成的Web智能技术的“VPN-1/FireWall-1”网关的最大理由是它有这两种配置。Jarden公司有一个没有配备IT人员的远程办公室，因此，Nelson使用软件解决方案让那个办公室的员工简单地把任何PC重新设置为WAF，如果现有的Web应用防火墙崩溃的话。这是一种比购买第二个防火墙更灵活的方法，并且比支付快速反应维修的费用更便宜。他说，这个接口非常简单，不需要防火墙专家。这个软件许可证是以密钥为基础的，因此你可以远程使用这个软件。
 

【编辑推荐】

1. Web应用防火墙的功能与价值
2. xss攻击 Web安全新挑战
3. 百家争鸣：web攻击与web防护
4. Web应用防火墙的主要特性
5. 防止入侵从Web应用安全漏洞做起