选择合适的Web应用程序防火墙的注意事项

许多组织在没有足够的安全措施的情况下向客户提供更新的丰富而复杂的 Web 内容，并且灌输了重大风险，并暴露于来自频繁变化的 IP 地址的许多潜在恶意攻击。强大的 WAF 还允许遵守一些关键的监管标准，如 HIPAA 和 PCI DSS。

在当今时代，企业正在通过使用更多基于 Web 和云托管的应用程序来探索他们的业务，因此更强大的Web 应用程序防火墙 (WAF)并不是一种奢侈——它是一种要求，一种需要。

目前，这些基于云的应用程序已经非常流行，因此此类恶意攻击已大大增加，从而威胁到企业数据。这尤其使管理员和各种安全团队更难以控制这些最新的攻击和保护措施。此外，与此同时，各个安全团队应满足跨各种传统和云环境的数据共享和在线商务的合规性要求。

以下是在选择 WAF 以保护企业时必须考虑的一些关键因素的清单：

• 部署模型

各种企业可能会继续使用硬件 WAF 设备来保护在传统数据中心管理的关键应用程序。他们还可以使用其他 WAF 部署模型获得与应用程序相关的安全要求。传统上，WAF 的概念被部署为各种企业数据中心内部的硬件设备。但随着应用程序迁移到基于云的基础架构即服务 (IaaS) 环境和组织利用云软件即服务(SaaS) 应用程序、管理员和安全团队面临着保护其数据中心以外的应用程序的挑战。这意味着他们不能在性​​能、可扩展性和可管理性等因素上妥协。组织通常很难控制和维持对新企业的必要控制，这些新企业为驻留在受控环境之外的关键 Web 应用程序提供有限的安全选项。

• 网络架构和应用基础设施

在这个特定的内联模型中，可以使用三种非常重要的方法来传递和控制流量：反向代理模式、路由器模式和桥接模式。

– 反向代理是最常见和最常用的操作模式。它基本上通过终止所有传入流量并代表请求者与服务器进行交互来工作。反向代理是安全功能的首选模式。
– 路由器模式与反向代理模式非常相似，但它不通过终止针对服务器的请求来工作，并且实际上提供的服务很少。也称为透明模式。通常，透明模式使用 id 用于流量记录和报告。
– 在桥接模式下：在此模式下，WAF 充当第 2 层交换机，具有非常明确且有限的托管防火墙服务。

从技术上讲，操作模式将通过了解应用程序在网络上的基本设置方式来确定。因此，在选择 WAF 之前，我们必须仔细考虑最适合网络基础设施和网络环境的各种部署选项，并且必须了解需要使用的服务范围。

• 安全有效性和检测技术

传统上，最广泛使用的 WAF 配置是一种消极的安全模型，它基本上启用所有可能的交易，但包含恶意威胁或攻击的交易除外。正模型和负模型都足以在“安全”和“功能”之间取得微妙的平衡。近几十年来，积极的安全模型变得越来越流行。这种安全方法会阻止最大流量，只允许已知安全且没有威胁的交易。该概念基于严格的内容验证和统计分析。然而，仅凭这些都无法在所有环境中提供最有效和最经济的解决方案。

• 性能、高可用性和可靠性

WAF 应包括以下可直接解决这些因素的功能：

– 基于硬件的 SSL 加速减轻了后端 Web 服务器的负担。
– 通过跨多个后端 Web 服务器负载平衡 Web 请求来优化性能
– 通过自动内容压缩提供高效的网络传输。
– 后端服务器 TCP 通过连接池减少，连接池是通过使请求能够使用相同的连接来完成的。
– 虚拟补丁和扫描器集成。

Web 应用程序恶意攻击或漏洞通常是数据泄露的最常见原因。拥有WAF的企业可以很容易地检测到任何恶意攻击，并通过提供虚拟补丁来提供解决方案。虚拟补丁基本上是针对漏洞的修复，以防止黑客和攻击者进行各种网络利用。然而，开发人员和程序员将他们的最佳实践放在安全编码中，并可能确保对此类应用程序进行充分的安全测试，但所有应用程序都容易出现漏洞。修复不需要立即对软件进行任何更改，它允许各种组织保护应用程序。针对每个应用程序的各种恶意攻击和暴露使公司的 Web 基础设施暴露在漏洞中，例如跨站点脚本、SQL 注入、饼干中毒等。Virtual Patches 具有自动攻击检测和反欺诈功能。

• PCI DSS 合规性

为了安全起见，PCI DSS 要求正在得到有效修订，以避免任何恶意攻击并确保用户数据安全。制造各种恶意攻击以窃取敏感的信用卡信息。当今时代，越来越多的安全漏洞和数据盗窃事件经常发生。因此，如果您的组织处理敏感的信用卡信息，您必须尝试遵守 PCI DSS 要求。出于安全目的，必须加强 Web 应用程序的保护，它们通常是易受攻击的恶意攻击者错误访问用户敏感持卡人数据的途径。

• 可见性和报告

除了保护防火墙外，这还有助于组织安全地收集和分析数据，以便更好地了解当前的威胁形势，并了解您的应用程序的安全程度。它提供有关各种基于 Web 的尝试以获取对用户敏感数据的访问权限、可能会破坏数据库或对数据库执行 DoS 攻击的报告。

• 设备 ID 和指纹识别

浏览器指纹识别主要是为了识别客户端而获取浏览器属性。这基本上是识别或重新识别访问用户、用户代理或设备的一个很好的功能。客户端的这种持久标识非常重要，允许跨站点跟踪。

然而，不能说基于指纹的识别总是可靠的。它可能不适用于所有设备或浏览器类型。建议与您的 WAF 供应商核对受支持设备/浏览器的依赖列表、受支持的特定功能、属性列表等。

• SSL 卸载

将 SSL 计算卸载到其他网络资源的过程基本上允许各种应用程序将大量 CPU 资源专用于其他面向性能的处理任务。但是，SSL 处理可能会对应用程序资源造成压力。支持SSL 证书卸载的防火墙增加了它们保护的应用程序的利用率，同时消除了购买额外硬件的需要，并增加了 WAF 本身的价值。

• 行为分析

行为分析功能可以助您一臂之力，使您的组织更容易预测、轻松识别和响应攻击。有一些 WAF 可以分析和理解流量模式。此外，此类 WAFS 还会根据一组相关规则扫描异常行为。一个优秀的 WAF 会评估平均服务器响应时间、每秒的各种事务以及请求大量流量的各种会话，以确定是否发生了攻击。

• 易于管理

早些时候，在过去的几十年中，部署防火墙曾经是一项有些困难且耗时的工作，对于手动规则的配置和实施也是如此。由于策略创建，防火墙可以使用安全策略进行处理，这些安全策略可以快速解决常见漏洞和对 Web 应用程序（包括 HTTP(S)）的攻击暴露。攻击。管理层出色地比较了策略并提供了跨不同防火墙的功能的真实评估，从而最终加强了整体安全态势。

• 可扩展性和性能

组织需要确保应用程序的可用性，即使它们受到攻击也是如此。它可以通过优化应用程序和加速技术（如快速缓存、压缩和 TCP 优化）来提供所需的性能。他们以绩效为导向。最好的 WAF，具有强大的设备和集中管理，可以轻松处理大量流量。

• 供应商发布周期

建议向您的 WAF 供应商咨询他们的发布周期。由于威胁形势基本上变化如此迅速和动态，提供更常见版本的供应商可以帮助降低您暴露的可能性，并最大限度地降低您的应用程序被新威胁或正在出现的威胁破坏的风险。