国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　Web應(yīng)用(Web application firewall，WAF)主要用來(lái)保護(hù)Web應(yīng)用免遭跨站腳本和SQL注入等常見(jiàn)攻擊。WAF位于Web客戶端和之間，分析應(yīng)用程序?qū)拥?，從而發(fā)現(xiàn)違反預(yù)先定義好安全策略的行為。

　　盡管某些傳統(tǒng)防火墻也能提供一定程度的應(yīng)用認(rèn)知功能，但是它不具備WAF的精度和準(zhǔn)度。舉例來(lái)說(shuō)，WAF可以檢測(cè)一個(gè)應(yīng)用程序是否按照其規(guī)定的方式運(yùn)行，而且它能讓你編寫特定的規(guī)則來(lái)防止特定攻擊行為的再次發(fā)生。

　　WAF也不同于防御系統(tǒng)()，兩者是完全不同的兩種技術(shù)，后者是基于簽名，而前者是從行為來(lái)分析，它能夠防護(hù)用戶自己無(wú)意中制造的漏洞。

　　目前WAF的主要推動(dòng)因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)，該標(biāo)準(zhǔn)主要通過(guò)兩個(gè)辦法來(lái)驗(yàn)證是否合規(guī)：WAF和代碼審查。另外一個(gè)推動(dòng)因素是，人們?cè)絹?lái)越多的認(rèn)識(shí)到攻擊已經(jīng)開(kāi)始由網(wǎng)絡(luò)轉(zhuǎn)移到應(yīng)用程序。根據(jù)WhiteHat Security公布的一份研究報(bào)告，從2006年1月到2008年12月間對(duì)877個(gè)網(wǎng)站進(jìn)行了評(píng)估，結(jié)果發(fā)現(xiàn)82%的網(wǎng)站至少存在一個(gè)高?；蚓o急安全漏洞。

　　WAF的主要特性

　　Web應(yīng)用防火墻市場(chǎng)仍然不確定，有很多不同的產(chǎn)品被歸類到WAF范疇。研究機(jī)構(gòu)Burton Group的分析師Ramon Krikken表示，“很多產(chǎn)品提供的功能遠(yuǎn)遠(yuǎn)超出了我們通常認(rèn)為防火墻應(yīng)該具有的功能，這使得產(chǎn)品的評(píng)價(jià)和比較難以進(jìn)行?！贝送?，通過(guò)將已有的非WAF產(chǎn)品整合到綜合產(chǎn)品中的方式，新廠商開(kāi)始進(jìn)入市場(chǎng)。

　　根據(jù)研究和咨詢公司Xiom創(chuàng)始人Ofer Shezaf提供的清單，下面列出Web應(yīng)用防火墻應(yīng)該具備的特性：

　　·深入理解HTTP.WAF必須全面深入分析和解析HTTP的有效性。

　　·提供明確的安全模型。明確的安全模型只允許已知流量通過(guò)，這就給應(yīng)用程序提供了外部驗(yàn)證保護(hù)。

　　·應(yīng)用層規(guī)則。由于高昂的維護(hù)費(fèi)用，明確的安全模型應(yīng)該配合基于簽名的系統(tǒng)來(lái)運(yùn)作。不過(guò)由于web應(yīng)用程序是自定義編碼，傳統(tǒng)的針對(duì)已知漏洞的簽名是無(wú)效的。WAF規(guī)則應(yīng)該是通用的，并且能夠發(fā)現(xiàn)像SQL注入這樣的攻擊變種。

　　·基于會(huì)話的保護(hù)：HTTP的最大弱勢(shì)之一在于缺乏嵌入式的可靠的會(huì)話機(jī)制。WAF必須實(shí)現(xiàn)應(yīng)用程序會(huì)話管理，并保護(hù)應(yīng)用程序免受基于會(huì)話的攻擊和超時(shí)攻擊。

　　·允許細(xì)粒度政策管理。例外政策應(yīng)該只對(duì)極少部分的應(yīng)用程序執(zhí)行，否則，可能會(huì)造成重大安全漏洞。

　　WAF的選擇標(biāo)準(zhǔn)

　　開(kāi)放網(wǎng)絡(luò)應(yīng)用安全計(jì)劃組織(OWASP)主要工作是改進(jìn)應(yīng)用軟件的安全性。以下是OWASP提出的WAF的選擇標(biāo)準(zhǔn)：

　　·幾乎不出現(xiàn)誤報(bào)(即，從不拒絕授權(quán)請(qǐng)求)

　　·默認(rèn)防御強(qiáng)度

　　·具備易學(xué)模式

　　·預(yù)防的攻擊類型

　　·具備將單個(gè)用戶限定在當(dāng)前中可見(jiàn)的能力

　　·配置預(yù)防像緊急補(bǔ)丁等特定問(wèn)題的能力

　　·波形因數(shù)：軟件與硬件(通常硬件優(yōu)先)

　　選擇WAF首要考慮的問(wèn)題

　　WAF與源代碼掃描

　　WAF不能修復(fù)應(yīng)用程序只能進(jìn)行實(shí)時(shí)保護(hù)的特點(diǎn)，過(guò)去一直備受指責(zé)。有些廠商甚至避免使用“WAF”術(shù)語(yǔ)形容他們的產(chǎn)品，而是代之以“應(yīng)用層意識(shí)”或“應(yīng)用層智能”。不過(guò)，現(xiàn)在人們已經(jīng)越來(lái)越普遍地認(rèn)為，通過(guò)正確的實(shí)施，WAF能夠成為多層安全模型中的重要組成部分，因?yàn)楫?dāng)人們修補(bǔ)應(yīng)用程序漏洞的時(shí)候WAF可以提供保護(hù)。

　　正如WhiteHat Security公司的創(chuàng)始人Jeremiah Grossman在博客中堅(jiān)持的那樣，應(yīng)用程序中攻擊和漏洞太多，根本來(lái)不及修復(fù)代碼本身。他主張，通過(guò)評(píng)估發(fā)現(xiàn)的漏洞應(yīng)該作為自定義規(guī)則嵌入WAF中，這樣就能為減輕當(dāng)前狀況并為過(guò)后再修復(fù)問(wèn)題提供選擇。

　　Gartner公司則建議客戶考慮采用技術(shù)手段消除應(yīng)用程序漏洞。在花錢購(gòu)買設(shè)備之前，用戶首先應(yīng)該考慮一下，是否通過(guò)更強(qiáng)大的系統(tǒng)開(kāi)發(fā)生命周期和使用源代碼掃描器等工具來(lái)消除漏洞。WAF對(duì)于那些不容易改變的應(yīng)用程序是非常有用的。

　　雖然一小部分風(fēng)險(xiǎn)承受力低的公司需要采用上述兩種方法進(jìn)行安全防護(hù)，但是對(duì)于大多數(shù)公司而言，采用其中任意一種方法就足夠了。

　　硬件設(shè)備與軟件

　　Jarden Consumer Solutions公司負(fù)責(zé)全球網(wǎng)絡(luò)服務(wù)和運(yùn)作的IT主管Jack Nelson表示，他們之所以選擇Check Point軟件技術(shù)-1/FireWall-1集成網(wǎng)絡(luò)智能技術(shù)的一大原因在于，能夠有效的對(duì)這兩者進(jìn)行配置。Jarden公司有個(gè)沒(méi)有配備IT維護(hù)人員的遠(yuǎn)程辦公室，因此Nelson使用基于軟件的版本解決，當(dāng)現(xiàn)有WAF失效的時(shí)候辦公室管理人員就可以輕松地將任何電腦配置為WAF.Nelson表示：“這比再買一個(gè)防火墻更靈活，比快速反應(yīng)維護(hù)費(fèi)更便宜?！边@種界面足夠簡(jiǎn)單，不需要防火墻專家配置，另外授權(quán)是基于密鑰的，因此可以遠(yuǎn)程應(yīng)用。

　　在北幾個(gè)小辦公室里，Nelson使用Check Point設(shè)備，因?yàn)樗l(fā)現(xiàn)這種設(shè)備更便于管理和提供支持。

　　內(nèi)置與外帶

　　決定部署內(nèi)置WAF還是外帶的WAF是非常關(guān)鍵的，并不是所有WAF都支持這兩種模式。包含不同部署模式的產(chǎn)品并不多見(jiàn)。