国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　咨詢機(jī)構(gòu)Security Curve創(chuàng)建人Diana Kelley說：“盡管一些傳統(tǒng)的提供某種程度的應(yīng)用意識(shí)，但它不具有WAF提供的顆粒度和專一性。”例如，WAF可以檢測(cè)應(yīng)用程序的行為是否像它設(shè)計(jì)的那樣，WAF使用戶能夠編寫特殊的規(guī)則來防止這些攻擊再次發(fā)生。

　　WAF也與檢測(cè)系統(tǒng)不同。Gartner分析師Greg Young說：“它是一種非常不同的技術(shù)——它不是基于特征，它是基于行為的，它防止那些用戶無意中制造的漏洞被利用?！?/P>

　　當(dāng)前，推動(dòng)WAF發(fā)展的主要因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。這項(xiàng)標(biāo)準(zhǔn)規(guī)定了兩種取得遵從性的途徑：WAF和代碼審查。但是，另一個(gè)推動(dòng)因素是人們?cè)絹碓揭庾R(shí)到攻擊目標(biāo)由網(wǎng)絡(luò)轉(zhuǎn)向應(yīng)用。WhiteHat Security進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，82%的網(wǎng)站至少存在一個(gè)程度為高風(fēng)險(xiǎn)、危急或嚴(yán)重的問題。這項(xiàng)研究從2006年1月到2008年12月對(duì)877個(gè)網(wǎng)絡(luò)進(jìn)行了調(diào)查。

　　WAF的主要屬性

　　Web 應(yīng)用防火墻市場(chǎng)仍沒有得到明確的定義，許多不同的產(chǎn)品都?xì)w在了WAF的名下。Burton Group分析師Ramon Krikken說：“許多產(chǎn)品提供的功能超出了人們對(duì)防火墻的原有認(rèn)識(shí)。此外，新廠商通過將已有的非WAF擴(kuò)展為WAF集成產(chǎn)品，開始進(jìn)入這個(gè)市場(chǎng)細(xì)分。”

　　根據(jù)研究咨詢機(jī)構(gòu)Xiom創(chuàng)建人Ofer Shezaf提供的清單，我們給出了以下WAF應(yīng)當(dāng)具備的屬性：

　　※ 深入了解HTTP。WAF若要有效就必須完全解析和分析HTTP。

　　※ 提供正面的安全模型。正面的安全政策只允許被認(rèn)為合法的傳輸流通過。這種有時(shí)叫做“白名單”的特性為應(yīng)用提供外部輸入確認(rèn)保護(hù)。

　　※ 應(yīng)用層規(guī)則。由于高性能成本，正面安全模型應(yīng)當(dāng)利用基于特征的系統(tǒng)來加強(qiáng)。但是由于Web應(yīng)用是定制編碼的，針對(duì)已知安全漏洞的傳統(tǒng)特征不再有效。WAF規(guī)則應(yīng)當(dāng)普遍適用，能夠檢測(cè)攻擊(如SQL注入)的變種。

　　※ 基于會(huì)話的保護(hù)。HTTP最大的缺點(diǎn)之一就是缺少內(nèi)建的可靠會(huì)話機(jī)制。WAF必須彌補(bǔ)應(yīng)用會(huì)話管理的不足，保護(hù)它免受基于會(huì)話的和長(zhǎng)時(shí)間的攻擊。

　　※ 提供細(xì)粒度的政策管理。例外應(yīng)當(dāng)只適用于應(yīng)用的很小部分。否則，假報(bào)警將造成巨大的安全縫隙。

　　選擇Web應(yīng)用防火墻的標(biāo)準(zhǔn)

　　一個(gè)關(guān)注提高應(yīng)用軟件的安全性的開放社區(qū)――開放Web應(yīng)用安全項(xiàng)目(OWASP)建議使用以下選擇WAF的標(biāo)準(zhǔn)：

　　※ 非常少的誤報(bào)警(即，永遠(yuǎn)應(yīng)當(dāng)允許授權(quán)的請(qǐng)求)。

　　※ 缺省(出廠配置)防御措施的強(qiáng)度。

　　※ 高性能和易于學(xué)習(xí)的模式。

　　※ 可以防御的安全漏洞的類型。

　　※ 將不同用戶限制在他們?cè)诋?dāng)前會(huì)話中所看到的東西的能力。

　　※ 配置防止特殊問題(如緊急補(bǔ)丁)的能力。

　　※ 形式：最好是硬件產(chǎn)品。

　　選擇Web應(yīng)用防火墻的首要考慮因素

　　WAF源代碼掃描。過去，實(shí)時(shí)保護(hù)應(yīng)用(而不是修補(bǔ)它們)的WAF引起了人們的批評(píng)。Kelley說，一些廠商對(duì)“WAF”一詞懷有戒心，更愿意使用“應(yīng)用意識(shí)”或“應(yīng)用層智能性”來表示。然而今天，越來越多的人似乎認(rèn)可如果WAF能正確使用，它可以成為分層安全模型的重要組成部分，在修補(bǔ)應(yīng)用安全漏洞時(shí)提供保護(hù)。

　　正如WhiteHat Security創(chuàng)建人Jeremiah Grossman在博客中所說，現(xiàn)在有太多的漏洞，以致無法及時(shí)在代碼中修補(bǔ)它們。他呼吁通過評(píng)估發(fā)現(xiàn)的安全漏洞作為定制規(guī)則輸出到WAF中，提供減輕當(dāng)前問題和以后修補(bǔ)問題根源的選擇。

　　另一方面，Gartner建議客戶考慮采用清除應(yīng)用安全漏洞的技術(shù)。Young說：“在花第一塊錢之前，考慮你是否能通過更強(qiáng)壯的系統(tǒng)開發(fā)周期和使用像源代碼掃描器這類工具來清除安全漏洞?！彼f，WAF對(duì)于更改困難或不可能更改的應(yīng)用以及那些經(jīng)常變化的應(yīng)用很有用。

　　他說，對(duì)于多數(shù)公司來說，“選擇一種或另一種方法就足以了”，雖然存在很小比例的公司，它們的風(fēng)險(xiǎn)容忍度很低，因此它們?cè)敢馔瑫r(shí)使用兩種方法。

　　硬件專用設(shè)備還是軟件。對(duì)于Jarden Consumer Solutions公司全球網(wǎng)絡(luò)服務(wù)與運(yùn)營(yíng)IT主管Jack Nelso來說，選擇集成Web智能性技術(shù)的Check Point Software Technologies-1/FireWall-1的主要理由是它提供兩種配置。Jarden擁有沒有IT工作人員的遠(yuǎn)程辦公室，因此Nelson采用了基于軟件的版本，為辦公室經(jīng)理在已有WAF發(fā)生故障時(shí)將PC配置為WAF提供方便。他說：“這比購(gòu)買第二個(gè)防火墻更靈活，而且比購(gòu)買快速響應(yīng)維護(hù)更便宜?！彼f，界面非常簡(jiǎn)單，因此不需要防火墻專家，許可證是基于密鑰的，因此你可以遠(yuǎn)程應(yīng)用它。

　　Nelson在北兩個(gè)小公辦室中采用了Check Point專用設(shè)備，因?yàn)樗l(fā)現(xiàn)這種設(shè)備可管理性更強(qiáng)，提供的支持更及時(shí)。

　　聯(lián)機(jī)還是帶外部署。事先決定你是否計(jì)劃聯(lián)機(jī)部署WAF還是進(jìn)行帶外部署至關(guān)重要，因?yàn)椴⒉皇撬械腤AF都支持兩種模式。Young說：“我常?？吹接删哂胁煌渴鹉Ｊ降漠a(chǎn)品組成的候選名單，或名單上沒有一種產(chǎn)品支持設(shè)想的設(shè)計(jì)?！?/P>

　　認(rèn)識(shí)并用好WAF

　　需要了解獨(dú)立與集成產(chǎn)品之間的差異。需要了解將WAF功能集成到已有的應(yīng)用和網(wǎng)絡(luò)安全產(chǎn)品中的廠商與那些專業(yè)從事應(yīng)用安全的廠商之間的差別。決定誰更適合你取決于多種因素，包括你已經(jīng)安裝的東西、你需要的安全水平以及你是否愿意使用專用產(chǎn)品還是那些提供多種功能的產(chǎn)品。

　　Krikken指出，關(guān)注應(yīng)用提交的產(chǎn)品必須具有線速度的性能，因此不包含像學(xué)習(xí)引擎和會(huì)話意識(shí)等計(jì)算密集型能力。他說：“它們局限在黑名單與白名單以及進(jìn)入/離開檢查?！睂W(xué)習(xí)引擎使WAF能夠?qū)W習(xí)應(yīng)用的行為并生成策略建議。會(huì)話意識(shí)使WAF可以實(shí)時(shí)建立動(dòng)態(tài)的、基于會(huì)話的規(guī)則，并把它們用來決定隨后的請(qǐng)求是否有效。

　　對(duì)于將Check Point用于公司的虛擬專用網(wǎng)和外部Web應(yīng)用的Nelson來說，重要的是這種產(chǎn)品擁有多種安全組件，而不僅僅是專用防火墻。他說：“我們需要在不犧牲性能和可管理性的情況下，提供整合功能的能力?！?/P>

　　而對(duì)于使用Breach Security的獨(dú)立WAF來保護(hù)的汽車零件供應(yīng)商AutoAnything.com的 Parag Patel來說，他采用相反的方式。他說：“一家公司很少能把很多事都做得很好?！?/P>

　　不要認(rèn)為WAF是包治百病的妙方。許多公司為取得PCI遵從性而求助于WAF。可是分析人士警告說不要把WAF視為一種保你萬事大吉的技術(shù)。

　　Young補(bǔ)充說：“我看到正在發(fā)生很多的錯(cuò)誤和不應(yīng)該的花費(fèi)。人們認(rèn)為：‘如果我們購(gòu)買防火墻，審計(jì)人員就不會(huì)來找麻煩，’但是它在這方面沒有好到這種程度。你必須定制你的應(yīng)用防線來適合你的環(huán)境?！?/P>

　　眼光放到傳統(tǒng)WAF功能范圍之外。Krikken說，雖然傳統(tǒng)WAF的客戶是安全團(tuán)隊(duì)，但由于分析特性、一次登錄支持以及與安全性的集成，許多產(chǎn)品開始變得對(duì)更廣泛的用戶具有吸引力。這正是為何他建議WAF評(píng)估應(yīng)當(dāng)包括那些負(fù)責(zé)企業(yè)架構(gòu)、應(yīng)用提交和軟件部署的人員。他說：“這將提高人們對(duì)解決的安全方面的信心，減少人們對(duì)可用性和性能的擔(dān)心。”

　　事實(shí)上，在一家全球能源公司中，在部署后出現(xiàn)了需要，所以該公司做出了使用WAF的決定。公司的決定選擇Reactivity XML安全設(shè)備。這家公司后來被公司收購(gòu)，并改名為ACE WAF。當(dāng)這家能源公司決定購(gòu)買一種面向Internet的WAF時(shí)，Cisco向它保證：利用ACE可以保護(hù)Web應(yīng)用并同時(shí)滿足內(nèi)部SOA需要。

　　考慮WAF提供性能監(jiān)測(cè)。由于WAF能夠檢測(cè)性能問題或應(yīng)用是否由于斷掉的鏈接而提供錯(cuò)誤網(wǎng)頁(yè)，應(yīng)用監(jiān)測(cè)成為WAF的一種越來越流行的非傳統(tǒng)應(yīng)用。

　　不要認(rèn)為它是部署之后就一勞永逸的技術(shù)。Krikken說，雖然你可以使用出廠配置的黑名單規(guī)則提供基本的安全性，但要做好為幾乎所有最簡(jiǎn)單的Web應(yīng)用繼續(xù)投資的準(zhǔn)備。他說：“甚至對(duì)于規(guī)則模板和學(xué)習(xí)引擎，都常常需要最初的調(diào)節(jié)和不斷的定制，來優(yōu)化效率和決定誤報(bào)警?！?/P>

　　那家全球能源公司的首席架構(gòu)師說，他的公司在使用ACE WAF時(shí)能夠用兩個(gè)小時(shí)配置一個(gè)應(yīng)用。但是，他更喜歡配置像字符過濾這類東西的最佳實(shí)踐指南，“而不是我們手忙腳亂地來做這些事。”

　　考慮學(xué)習(xí)引擎特性。有了學(xué)習(xí)引擎，WAF學(xué)習(xí)了解應(yīng)用程序，這樣它可以創(chuàng)建甚至執(zhí)行規(guī)則。Krikken說，在非常動(dòng)態(tài)的環(huán)境中，WAF最好能警告你注意異常行為而不是阻止它。

　　Patel使用Breach的學(xué)習(xí)引擎。他說這種引擎用兩個(gè)月時(shí)間描繪Web應(yīng)用的行為模式。在這段時(shí)間里，它標(biāo)記出不規(guī)則的行為，然后他的團(tuán)隊(duì)調(diào)查這些行為。他說：“你需要WAF幫助你做出正確的決定?！钡?，經(jīng)過一段時(shí)間后，Patel需要自動(dòng)阻止功能。他說：“鑒于我們網(wǎng)站上的流量，WAF識(shí)別不規(guī)則行為并在它們發(fā)生時(shí)而不是以后阻止這些企圖成為了關(guān)鍵?！?/P>

　　例如，WAF現(xiàn)在阻止競(jìng)爭(zhēng)對(duì)手從網(wǎng)站收集產(chǎn)品數(shù)據(jù)(包括數(shù)百萬SKU(庫(kù)存量單位))以及價(jià)格信息。Patel說：“如果我們發(fā)現(xiàn)有人每周或每月檢查數(shù)據(jù)，這表明競(jìng)爭(zhēng)情報(bào)的巨大損失?！?/P>

　　考慮企業(yè)級(jí)能力。Jarden的Nelson之所以選擇Check Point的產(chǎn)品，部分是由于其企業(yè)級(jí)控制臺(tái)。這種控制臺(tái)提供對(duì)Jarden的所有防火墻的集中管理。能夠?qū)⒎阑饓Ψ诸惖剿^的“容器”中并在這些容器中應(yīng)用不同的策略，尤其令他感到滿意。

　　而一家營(yíng)養(yǎng)補(bǔ)品制造商的安全工程師說，他使用的Barracuda系統(tǒng)的巨大優(yōu)勢(shì)是可伸縮性。這家公司使用WAF的主要?jiǎng)訖C(jī)是為希望從世界各地訪問電子郵件的用戶提供安全的Web郵件界面。它還使用WAF防御應(yīng)用層攻擊。

　　這位安全工程師當(dāng)時(shí)希望為用戶提供在任何地點(diǎn)都可以訪問電子郵件的單一URL，他希望能夠在不中斷運(yùn)行的情況下擴(kuò)展這個(gè)系統(tǒng)。由于他不用增加新IP地址就可以添加WAF設(shè)備，因此改動(dòng)對(duì)于用戶是透明的。他說：“如果它開始變得超載，我們所要做的就是再拿來一臺(tái)WAF設(shè)備，把它裝到機(jī)架上，將它與原來的設(shè)備連接起來，然后我們就得到了兩倍的容量?！?/P>