专栏首页用户7261497的专栏企业怎么选择国产Web应用防火墙?
原创

企业怎么选择国产Web应用防火墙?

  企业怎么选择国产Web应用防火墙?

2005年前后,Web应用防火墙(WAF)进入了IT安全领域,最早提供这类产品的供应商是几家新兴公司,如Perfecto、KaVaDo和NetContinuum。工作原理相当简单:随着攻击范围向IP堆栈的上层移动,瞄上针对特定应用的安全漏洞,这时势必需要开发旨在识别和预防这些攻击的产品。虽然网络防火墙在阻止较低层攻击方面很有效,但并不擅长解开IP数据包层,以分析较高层协议;这就意味着,网络防火墙缺少应用感知功能,而要关闭自定义Web应用中的漏洞窗口,就需要这种功能。有服务器优惠券需求可以关注赵一八笔记。

  但是尽管WAF炒得很火,供应商承诺的优点也很多,但最终用户的使用体验却相当差。早期产品存在诸多缺点,比如误报率高,给受保护应用的性能带来负面影响,又很难有效地管理。2005年前后,包括思科、思杰和F5在内的大牌网络供应商或收购或开发了Web层监控技术,WAF随之成为一道公认的边界安全防线。促使WAF得到主流用户采用的另一个因素是,出台了支付卡行业数据安全标准(PCI-DSS),该标准在第6.6项需求中明确要求使用具有应用层感知功能的防火墙。

  如今,WAF已是IT安全工具箱中一个公认的组成部分。但许多企业仍在为这个问题而纠结:该买哪一种WAF、如何最合理地把它们集成到Web应用风险管理产品系列中。本文分析了采购WAF方面一些主要的决策因素,并给出了相应的建议,以便确保它们很适合企业架构和网络生态系统。

1、架构和物理尺寸

WAF应该适合于现有的架构,并采用得到安全操作团队接受和支持的物理尺寸。WAF放置方面主要有两种架构方案可以考虑:桥接模式(in-line)或分接/跨接模式(tap/span)。

  桥接模式:在这种架构(又叫主动配置)中,WAF就直接放在请求方(如浏览器客户端)与Web应用服务器之间的流量路径当中。WAF在检查应用请求和响应之后再传送请求和响应。

  在桥接模式里面,WAN到底采用哪一种方法来传送流量,企业可以作出众多选择。网络方面的选择有:路由器(3层)、网桥(2层)和HTTP反向代理系统。WAF还可以直接在主机服务器(Web应用驻留在上面)上使用,这种WAF名为基于主机的WAF或嵌入式WAF。使用网桥模式的WAF可能不需要改动网络,但流量必须定向至路由器或反向代理模式中的WAF。

  架构方面要考虑的另一个因素是,将安装和管理多少个WAF。如果需要WAF用于多个场合,那不妨考虑支持分布式管理或分布式WAF的解决方案。在这种模式下,可使用中央控制台来管理用于多个场合的防火墙。可以针对所有WAF统一运用规则或设置;也可以根据每个WAF的情况,逐个运用规则集,具体取决于WAF在保护哪一种Web应用。

2、WAF检测技术

  刚才已讨论了架构和物理尺寸问题,现在要问一下这个问题:WAF如何检测Web应用中的漏洞以及针对Web应用的攻击?WAF的目的是智能地保护Web应用,所以拥有细粒度规则和检测机制很要紧。大多数WAF采用结合不同检测技术的方法,确保检测范围最广泛、结果最准确。除了问供应商使用哪些检测技术外,还要让供应商出示证明误报率/漏报率的依据以及第三方测试结果,以便更清楚地了解WAF在实际使用时效果会有多好。下面是一些检测技术,以及向最后选出来的几家产品供应商询问的几个问题:

  特征:与为反恶意软件和网络入侵检测系统(IDS)编写的特征很相似,WAF特征也将预定字符串或正则表达式(RegEx)与流量进行匹配,以查找已知攻击。

  规则:规则在特征概念的基础上更进了一步,它可以用逻辑与运算符把一系列字符串联系起来,用或运算符添加更复杂的匹配机制,或者用非运算符实现排斥功能。还可以设定规则,寻索非常特定的字符串类型,就像16位号码(比如信用卡号),作为来自Web服务器的响应而发送。一些WAF能够动态学习流量模式,根据一套基准规则来查找异常行为。学到的信息可以发送给管理员,提议针对WAF或互补性保护设备(如IDS或网络防火墙)设定什么样的新规则。

  规范化:攻击者的一种惯用手法是,对漏洞的有效载荷做手脚,冒充没有危害的内容(比如对有效载荷的一部分进行URL编码),从而避开WAF的检测。为了检测出这种攻击,WAF就要能够对请求进行规范化处理,以便进行分析。以下是仅仅几个规范化机制完整清单请参阅Web应用安全联盟Web应用防火墙评估标准的第3.1章节。

  高可用性和高吞吐量:如果WAF在流量很大的环境下,它应该能够在不减慢Web应用速度的情况下,处理庞大流量,如果它是桥接式WAF更要有这种功能。如果一个WAF或Web应用失效或超过安全界限,WAF就得支持故障切换,与负载均衡器共同防止服务受到干扰。一些WAF与高可用性设备紧密集成,可作为Web流量管理系统的组件来运行。如果是独立式WAF,就要确保它们满足贵公司的高可用性需求,以便同时符合性能和架构方面的要求。

SSL和加密:加密可以保护传送的数据被人窥视,但这也意味着WAF要是不先对数据解密,就无法检查数据。这方面有两个选择:一是为WAF提供密钥,那样就能对数据解密。二是在WAF处终结SSL连接,然后建立一条新的加密隧道,以便数据从WAF传送到Web服务器/浏览器(建立加密隧道是可选功能)。SSL处理给处理器带来了开销,所以要精心选择可合理终结SSL会话的WAF,考虑使用加速板来卸载一部分处理工作。

  与Web应用扫描器集成:Web应用扫描器这种产品能够自动扫描来自外部的Web应用,以模拟攻击者可能会发现的那种安全漏洞。扫描器与WAF互为补充,因为它们能发现管理员利用自定义WAF规则可以缓解的安全漏洞。有些Web应用扫描器供应商与WAF供应商结成了合作伙伴,那样扫描过程中发现了安全漏洞后,扫描器就能自动提议采用什么样的自定义规则,使用正确的WAF句法。这有助于迅速消除安全漏洞,也不需要试图制定防止攻击的最佳规则所需要的管理开销。

  总结

  你在购买WAF产品之前,需要弄清楚上述问题和考虑因素,它们是确保你买到合适产品的基础。想了解更多的详细内容和考虑因素,请参阅Web应用安全联盟的Web应用防火墙评估标准评估响应矩阵。将上述几点和评估响应阵里面的更多详细内容作为基准,列明需求,并确定必要的功能特性,然后向供应商提交采购需求,敲定最后的需求。虽然WAF市场不像其他一些市场来得拥挤,但事先做好明确采购需求方面的工作将大大缩小产品的选择范围,并有助于确保企业能够得到合适的工具。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

相关文章

  • 服务器遭到DDoS攻击怎么办?超级科技教你DDoS防御方法

    当服务器遭到DDoS攻击怎么办?很多人在遇到DDoS攻击的时候会束手无策,虽然网站也做过一些安全防护措施,以为可以高枕无忧,但是互联网每天都会遭受到DDoS大流...

    超级科技
  • 华为网络工程师 | ensp中的华为防火墙设备如何能实现web登录做配置

    防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防...

    网络技术联盟站
  • 中国网络安全细分领域矩阵图(Matrix 2019.11)发布

    自 2018 年 11 月安全牛首次发布中国网络安全细分领域矩阵图 (Matrix 2018.11) 以来,矩阵图受到来自业内各方面的关注和认可。在以往成果的基...

    SDNLAB
  • IDC MarketScape报告:腾讯云WAF居中国Web应用安全市场领导者地位

    近日, 国际数据公司(IDC)针对中国地区发布了《IDC MarketScape:中国Web应用安全市场2019年厂商评估》报告。报告显示,腾讯安全通过长期的安...

    腾讯安全
  • 如何构建有助于提高IT安全性的网络架构

    多年前,网络安全实践模仿了中世纪的领主,他们依靠坚固的城堡墙来保护他的内在王国。城堡防御设计围绕固定防渗墙,而攻击者依靠他们突破围墙的能力,他们的士兵将通过外露...

    C4rpeDime
  • 实战案例|拒绝信息泄露,腾讯云助力电商对抗网络爬虫

    爬虫对电商平台的威胁由来已久。电商行业中,商品、交易、会员等信息的价值极高,往往是黑产重点觊觎的目标。电商行业的黑产爬虫,不仅专业性高,且变化速度之快,常常让电...

    腾讯安全
  • 软件防火墙和WEB防火墙大比较

     CC攻击是一种成本极低的DDOS攻击方式,只要有上百个IP,每个IP弄几个进程,那么可以有几百上千个并发请求,很容易让服务器资源耗尽,从而造成网站宕机;防御C...

    安恒信息
  • 威胁情报的现在与未来:赋能、深入、全面应用

    今年是网络安全大年,也是威胁情报的大年。RSA大会上,威胁情报也上升至热词榜第七位。国内外多家组织机构已经发布各式威胁情报报告,例如全球权威信息化咨询研究机构G...

    FB客服
  • 遭受刷验证码攻击后的企安建设规划感想

    公司上市不到两周,便遭受到了黑客攻击,其中笔者团队的验证码比较容易识别,攻击者通过ORC识别刷了10几万的短信,除了造成一笔资金开销外,也给服务器带来了很大的压...

    汤青松
  • 图解:网络硬件的发展史

    你知道为什么我们的网络需要路由器、交换机或防火墙吗?一个可用的网络需要部署多少个网络设备?在本文中,我们将简单讨论网络硬件的发展。

    用户8611941
  • 23张图告诉你组建一个网络需要用到哪些硬件设备?路由器、交换机、防火墙是不是就够了?

    网络的官方解释是指计算机或类似计算机的网络设备的集合,它们之间通过各种传输介质进行连接。

    用户8611941
  • 腾讯云网站管家Web应用防火墙

    信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,2/3的Web站点都相当脆弱,易受攻击。无数事实证明,在黑客入侵活动中,Web应用程序...

    胡文翠
  • 腾讯云Web应用防火墙「网站管家」优惠-腾讯云优惠

    腾讯云 Web 应用防火墙(下文中也叫网站管家)( Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏...

    用户5899205
  • 关于安全访问服务边缘(SASE),你需要知道的事情

    在企业纷纷拥抱数字业务的过程中,由于边缘计算、云服务、混合网络的逐渐兴起,使得本就漏洞百出的传统网络安全架构更加岌岌可危,而且远远无法满足企业数字业务的需要。为...

    FB客服
  • 防护DDoS还仅局限于网络层吗?还这么想你就亏大了

    企业和开发者应该怎样防护DDoS攻击呢?目前互联网的流量攻击趋势明显增加,越来越多的DDoS攻击不仅仅只是造成网站访问速度慢,甚至可以导致企业在线业务完全中断和...

    blublu7080
  • 【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

    “防火墙”到底是谁发明的?如果你去追本溯源,会发现“防火墙之父”的这个头衔似乎存在于很多人身上。 早在90年代初,William Cheswick和Steven...

    FB客服
  • 公告丨腾讯安全产品更名通知

    2020年,各行各业将继续乘着产业互联网的东风,加速数字化转型升级。 为了更好地为政企客户的安全保驾护航,腾讯安全即日起更新旗下身份安全、网络安全、终端安全、...

    腾讯云安全
  • 小心你的网站被劫持,偷偷为他人挖矿

    腾讯云安全
  • 科普|大家都在说的CWPP,到底是什么屁屁?

    如果说起防火墙、IPS、WAF,大家都很熟悉,这些产品通常被用于边界防护,相当于看大门的。

    CloudBest

扫码关注云+社区

领取腾讯云代金券