解析如何评估并部署Web应用防火墙

核心提示： ·提供正面的安全模型，积极的安全模型可以只允许已知流量通过，解析如何评估并部署Web应用防火墙(2)，有时也被称为“白名单”，这就给应用程序提供了一个有效的外部验证盾牌保护，只有通过正确的部署，WAF才可以作为多层安全模型中重要的组成部分，&middo

·提供正面的安全模型。积极的安全模型可以只允许已知流量通过，有时也被称为“白名单”，这就给应用程序提供了一个有效的外部验证盾牌保护。

·应用层规则。由于高昂的维护成本，积极的安全模式应该还要配合基于签名的系统来运作。但是由于web应用程序都是自定义编码的，传统的针对已知漏洞的签名都没有效。WAF规则应该是通用的并且能够检测攻击的任何变种，如SQL注入攻击。

·基于会话的保护：HTTP存在的最大缺点在于缺乏内置的可靠会话机制，WAF必须补充应用程序会话管理的功能并保护它免受基于会话和超时攻击。

·允许细粒度政策管理。应该对很少部分的应用程序执行例外处理，否则，可能造成安全漏洞。

Web应用防火墙选择标准

开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织，OWASP建议在选择Web应用防火墙时应该参照一下标准：

·很少出现误报(例如，不应该拒绝授权请求等)

·默认防御的强度

·容易操作模式

·可以预防的漏洞类型

·能够限制个人用户只能在当前对话中所看到的内容

·配置预防特定问题的能力，如紧急补丁等

·WAF提供形式：软件与硬件(一般偏好硬件)

Web应用防火墙主要需要考虑的问题

·WAF与源代码扫描的比较

WAF能够实时保护应用程序，而不是修复漏洞，这在过去一直受到大家的批评。有些供应商甚至避免使用“WAF”字眼，而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而，现在越来越普遍的共识是，只有通过正确的部署，WAF才可以作为多层安全模型中重要的组成部分，因为WAF可以在修复应用程序漏洞的时候提供保护。