如何评估 购买以及部署Web应用防火墙？

网络防火墙是防御网络周边环境的　安全顾问公司Cobweb Applications的创始人Michael Cobb说，WAF(Web应用防火墙)旨在保护Web应用程序避免受到跨站脚本攻击和SQL注入攻击等常见的威胁。网络防火墙是防御网络周边环境的，然而，WAF位于Web客户端和服务器之间，分析违反计划的安全政策的应用层通讯。

　　安全顾问公司Security Curve的创始人Diana Kelley说，虽然一些传统的防火墙提供了某种程度的应用程序熟悉能力，但是，传统防火墙没有WAF提供的那样精细和具体。例如，WAF能够检测一个应用程序是否按照它设计的方式工作，它能够让你编写具体的规则防止再次发生这种工具。

　　Gartner分析师Greg Young说，WAF与入侵防御系统不同。它是一个完全不同的技术，不是以特征为基础的，而是以行为为基础的，防止你自己意外制造的安全漏洞。

　　目前，WAF的主要推动因素之一是支付卡行业数据安全标准(PCI DSS)。这个标准定义两方面的遵守法规的情况：WAF和审查代码。但是，另一个推动因素是人们日益认识到攻击正在从网络向应用程序转移。在WhiteHat Security发表的研究报告中，82%的受访者至少有一个高度的、重要的或者紧迫的严重问题。WhiteHat Security从2006年1月至2008年12月评估了877个网站。

　　主要WAF属性Burton Group分析师Ramon Krikken说，Web应用防火墙市场仍然没有定义，这个市场中还有许多不一样的产品。许多产品提供的功能都超过了一般防火墙的功能。这使这类产品很难评估和对比。此外，新的厂商正在进入这个市场，把现有的非WAF产品扩展到集成的市场。

　　据研究和咨询公司Xiom的创始人Ofer Shezaf提供的一个列表，下面是WAF应该具有的属性：。深入理解HTTP.WAF需要更有效地全面地解析和分析HTTP.。提供一个积极的安全模式。积极的安全政策仅允许合法的通讯通过。有时候这叫作“白名单”，这个功能对应用程序提供一个外部输入验证层。。应用层规则。由于很高的维护成本，使用基于特征的系统应该会增强积极的安全模式。但是，由于Web应用程序是客户化编码的，传统的真对已知安全漏洞的特征是没有效的。WAF规则应该是普通的并且能够检测到SQL注入等任何攻击的变体。。基于会话的保护。HTTP最大的缺点之一是缺乏内置的可靠的会话机制。一个WAF必须辅助应用会话管理，保护它防止基于会话的攻击。。允许精细的政策管理。例外情况仅适应于极少部分应用程序。此外，误报会产生更大的安全漏洞。Web应用程序防火墙选择规定

　　以改善应用软件安全为重点的开放团体OWASP(开放Web软件安全计划)建议按照下列原则选择WAF：

　　·很少误报(应该永远不会不允许授权的请求);

　　·强大的默认的防御能力;

　　·强大的和容易学习的模式;

　　·它能够防御的安全漏洞的类型;

　　·能够保持个人用户遵守他们在当前的会话中看到的情况;

　　·能够经过设置之后防御具体的问题，如紧急的补丁。

　　·形状：软件与硬件(一般首选硬件)。Web应用防火墙的主要考虑

　　WAF与源代码扫描。实时保护应用程序(而不是过后修复应用程序)的WAF过去曾引起一些批评。Kelley说，一些厂商对WAF这个词汇比较谨慎。他们喜欢用“应用程序熟悉”或者“应用层智能”这样的词汇。然而，人们现在越来越多地认识到，如果正确地实施，WAF能够作为一个多层次的安全模式的一个重要的部分，因为它们能够在你修复应用程序安全漏洞的时候提供保护。

　　正如WhiteHat Securit安全公司创始人Jeremiah Grossman在博客中指出的那样，安全漏洞太多了，代码本身很难改正这些安全漏洞。他主张通过这样的方法发现安全漏洞：把评估作为客户化的规则植入到一个WAF，先提出缓解安全漏洞的意见，以后再解决这个问题的根源。

　　Gartner劝告用户考虑一些删除应用程序安全漏洞的做法。Young说，在你花第一笔钱之前，你要考虑一下是否能够通过一个更强大的系统开发生命周期和使用源代码扫描器等工具清除这些安全漏洞。WAF对于很难或者不可能修改的应用程序或者非常动态的应用程序是非常有用的。

　　他说，对于大多数企业来说，选择一个方法或者其它一种方法都是不充分的，尽管有少数容忍风险程度很低的企业需要同时使用这两个方法。

　　硬件设备对软件。Jarden Consumer Solutions公司负责全球网络服务和运营的IT经理Jack Nelson说，选择Check Point软件技术公司的配置集成的Web智能技术的“VPN-1/FireWall-1”网关的最大理由是它有这两种配置。Jarden公司有一个没有配备IT人员的远程办公室，因此，Nelson使用软件解决方案让那个办公室的员工简单地把任何PC重新设置为WAF，如果现有的WAF崩溃的话。这是一种比购买第二个防火墙更灵活的方法，并且比支付快速反应维修的费用更便宜。他说，这个接口非常简单，不需要防火墙专家。这个软件许可证是以密钥为基础的，因此你可以远程使用这个软件。WAF该做的和不该做的

　　一定要理解单独和集成的产品之间的区别。重要的是理解把WAF功能集成到自己现有的应用程序交付产品和网络安全产品的那些厂商与专业应用程序厂商之间的区别。要根据许多因素决定哪一个厂商适合你。这些因素包括：你已经安装了什么、你需要的安全水平、你更适合专门的产品和具有广泛功能的产品。

　　不要把WAF当作万灵药。许多企业为了遵守PCI法规转向WAF。然而，分析师Young警告称，不要把WAF当作一个实验的项目。我看到许多错误和正在实施的糟糕的投资。人们以为“如果我购买了防火墙，审计者就会走开。”但是，购买防火墙在这方面还是不够的。你必须客户化你的应用程序防御使其适合你的环境。

　　一定要使眼光超越传统的WAF功能。虽然传统的WAF客户是企业的安全团队，但是，许多产品现在对于更广泛的用户都更有吸引力，因为这些产品有分析功能、支持单点登录并且集成了Web服务安全功能。因此，Krikken说，他建议企业进行WAF评估应该让那些复杂企业架构、应用程序交付和软件开发的人员参加。这有助于提高人们对解决方案安全方面的信心，减轻人们对可用性和性能方面的担心。

　　一定要考虑WAF性能监视。应用程序监视是日益流行的WAF的非传统的应用方式之一，因为WAF能够检测到性能问题或者这个应用程序是否由于损坏的链接而提供了错误的网页。

　　不要认为WAF是一劳永逸的。Krikken说，虽然你能够使用现成的黑名单规则用于基本的安全，但是，你要准备为最简单的Web应用程序投入时间和努力。即使采用规则模板和学习引擎，最初的调整和正在进行的客户化一般都需要优化效率和减少误报。

　　一定要考虑一个学校引擎功能。采用学习引擎功能，WAF能够了解应用程序以便创建、甚至强制执行规则。Krikken说，在一个非常动态的环境，WAF最好是提醒你异常的行为，而不是封锁这个行为。

　　一定要考虑企业级的能力。Jarden公司的Nelson选择Check Point公司产品的部分原因就是其企业级的控制台。这个控制台能够对Jarden所有的防火墙提供集中的管理。Nelson非常喜欢把许多防火墙组合在一个他称之为“集装箱”的东西中，并且在这些集装箱中采用不同的政策。

　　Nelson要向用户提供一个单个的URL以便访问电子邮件，无论这些电子邮件在什么地方。他要在不中断系统的情况下对系统进行升级。由于他能够增加额外的WAF设备并且不给这个设备新的IP地址，这对用户来说将是透明的。如果工作量开始过载，我们必须做的就是再增加一个WAF设备，并且把这个设备与原来的连接在一起。这样，我们的容量就增加了一倍。