|
Web應用防火墻(Web application firewall,WAF)主要用來保護Web應用免遭跨站腳本和SQL注入等常見攻擊��。WAF位于Web客戶端和Web服務器之間��,分析應用程序層的通信�,從而發(fā)現(xiàn)違反預先定義好安全策略的行為。
盡管某些傳統(tǒng)防火墻也能提供一定程度的應用認知功能��,但是它不具備WAF的精度和準度�。舉例來說����,WAF可以檢測一個應用程序是否按照其規(guī)定的方式運行�����,而且它能讓你編寫特定的規(guī)則來防止特定攻擊行為的再次發(fā)生���。
WAF也不同于入侵防御系統(tǒng)(IPS)����,兩者是完全不同的兩種技術�,后者是基于簽名,而前者是從行為來分析�����,它能夠防護用戶自己無意中制造的漏洞�。
目前WAF的主要推動因素之一是支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS),該標準主要通過兩個辦法來驗證是否合規(guī):WAF和代碼審查���。另外一個推動因素是,人們越來越多的認識到攻擊已經(jīng)開始由網(wǎng)絡轉移到應用程序��。根據(jù)WhiteHat Security公布的一份研究報告,從2006年1月到2008年12月間對877個網(wǎng)站進行了評估���,結果發(fā)現(xiàn)82%的網(wǎng)站至少存在一個高?;蚓o急安全漏洞�。
WAF的主要特性
Web應用防火墻市場仍然不確定,有很多不同的產(chǎn)品被歸類到WAF范疇�����。研究機構Burton Group的分析師Ramon Krikken表示��,"很多產(chǎn)品提供的功能遠遠超出了我們通常認為防火墻應該具有的功能�����,這使得產(chǎn)品的評價和比較難以進行�。"此外,通過將已有的非WAF產(chǎn)品整合到綜合產(chǎn)品中的方式����,新廠商開始進入市場。
根據(jù)研究和咨詢公司Xiom創(chuàng)始人Ofer Shezaf提供的清單�,下面列出Web應用防火墻應該具備的特性:
·深入理解HTTP。WAF必須全面深入分析和解析HTTP的有效性。
·提供明確的安全模型���。明確的安全模型只允許已知流量通過��,這就給應用程序提供了外部驗證保護�。
·應用層規(guī)則����。由于高昂的維護費用,明確的安全模型應該配合基于簽名的系統(tǒng)來運作�。不過由于web應用程序是自定義編碼,傳統(tǒng)的針對已知漏洞的簽名是無效的�����。WAF規(guī)則應該是通用的�,并且能夠發(fā)現(xiàn)像SQL注入這樣的攻擊變種。
·基于會話的保護:HTTP的最大弱勢之一在于缺乏嵌入式的可靠的會話機制���。WAF必須實現(xiàn)應用程序會話管理��,并保護應用程序免受基于會話的攻擊和超時攻擊�。
·允許細粒度政策管理�。例外政策應該只對極少部分的應用程序執(zhí)行���,否則,可能會造成重大安全漏洞����。
WAF的選擇標準
開放網(wǎng)絡應用安全計劃組織(OWASP)主要工作是改進應用軟件的安全性��。以下是OWASP提出的WAF的選擇標準:
·幾乎不出現(xiàn)誤報(即����,從不拒絕授權請求)
·默認防御強度
·具備易學模式
·預防的攻擊類型
·具備將單個用戶限定在當前對話中可見的能力
·配置預防像緊急補丁等特定問題的能力
·波形因數(shù):軟件與硬件(通常硬件優(yōu)先)
選擇WAF首要考慮的問題
WAF與源代碼掃描
WAF不能修復應用程序只能進行實時保護的特點,過去一直備受指責�����。有些廠商甚至避免使用"WAF"術語形容他們的產(chǎn)品�,而是代之以"應用層意識"或"應用層智能"。不過�����,現(xiàn)在人們已經(jīng)越來越普遍地認為����,通過正確的實施�����,WAF能夠成為多層安全模型中的重要組成部分���,因為當人們修補應用程序漏洞的時候WAF可以提供保護。
正如WhiteHat Security公司的創(chuàng)始人Jeremiah Grossman在博客中堅持的那樣�,應用程序中攻擊和漏洞太多,根本來不及修復代碼本身��。他主張����,通過評估發(fā)現(xiàn)的漏洞應該作為自定義規(guī)則嵌入WAF中,這樣就能為減輕當前狀況并為過后再修復問題提供選擇��。
Gartner公司則建議客戶考慮采用技術手段消除應用程序漏洞����。在花錢購買設備之前,用戶首先應該考慮一下����,是否通過更強大的系統(tǒng)開發(fā)生命周期和使用源代碼掃描器等工具來消除漏洞。WAF對于那些不容易改變的應用程序是非常有用的���。
雖然一小部分風險承受力低的公司需要采用上述兩種方法進行安全防護�,但是對于大多數(shù)公司而言,采用其中任意一種方法就足夠了�。
硬件設備與軟件
Jarden Consumer Solutions公司負責全球網(wǎng)絡服務和運作的IT主管Jack Nelson表示,他們之所以選擇Check Point軟件技術VPN-1/FireWall-1集成網(wǎng)絡智能技術的一大原因在于���,能夠有效的對這兩者進行配置。Jarden公司有個沒有配備IT維護人員的遠程辦公室��,因此Nelson使用基于軟件的版本解決方案�,當現(xiàn)有WAF失效的時候辦公室管理人員就可以輕松地將任何電腦配置為WAF。Nelson表示:"這比再買一個防火墻更靈活����,比快速反應維護費更便宜。"這種界面足夠簡單����,不需要防火墻專家配置,另外授權是基于密鑰的�����,因此可以遠程應用����。
在北美的幾個小辦公室里�����,Nelson使用Check Point設備�����,因為他發(fā)現(xiàn)這種設備更便于管理和提供支持�����。
內(nèi)置與外帶
決定部署內(nèi)置WAF還是外帶的WAF是非常關鍵的����,并不是所有WAF都支持這兩種模式�。包含不同部署模式的產(chǎn)品并不多見。
選擇WAF的宜與忌
宜:切實弄懂單機和集成產(chǎn)品的不同
弄清兩種供應商的不同是非常重要的�����,一種供應商將WAF功能集成到現(xiàn)有應用交付和網(wǎng)絡安全產(chǎn)品中�����,而另一種供應商則專門生產(chǎn)應用程序安全產(chǎn)品。選擇供應商的決定因素很多��,如系統(tǒng)中已經(jīng)安裝的程序��,客戶需要的安全級別���,客戶需要專有產(chǎn)品還是功能齊全的產(chǎn)品等��。
安全專家表示�����,致力于應用交付的產(chǎn)品對于應用安全而言是遠遠不夠的,因為這類產(chǎn)品不包括像了解引擎和會話意識等計算密集型功能����。了解引擎可以使WAF了解應用軟件的行為并生成政策建議。會話認知可以讓WAF實時地建立動態(tài)的�、基于會話的規(guī)則,并使用這些規(guī)則來判斷隨后的請求是否有效����。
Nelson在公司的虛擬專用網(wǎng)絡和外部網(wǎng)絡應用程序中使用Check Point的集成產(chǎn)品。集成產(chǎn)品可以處理廣泛的安全組件�����,而不只是一個特定于應用程序的防火墻,這一點是非常重要的����。"我們希望在不犧牲性能和可管理性的前提下能夠加強功能性。"他說��。
同時���,汽車零部件供應商AutoAnything.com公司則采取相反的做法���,他們使用Breach Security的單機WAF來保護電子商務的安全。 "一個公司將很多事情都做好是不可能的���。 "其CTO Parag Patel表示�����。
忌:不要把WAF當成靈丹妙藥
許多公司為了PCI合規(guī)的目的開始使用WAF�����,然而�,分析師警告稱,不要將WAF作為通過合規(guī)檢測的產(chǎn)品項目���。
"我見過很多錯誤的做法���,"Young補充說,"很多人認為��,只要買了防火墻就可以打發(fā)審計員��,但是事實并非如此��,必須定制適合自身環(huán)境的應用程序防御配置才行���。"
宜:看看超越傳統(tǒng)WAF功能的增強功能
Krikken表示,雖然傳統(tǒng)的WAF客戶都是安全團隊��,不過現(xiàn)在很多WAF產(chǎn)品開始引起了更多普通客戶的關注��,這要歸功于WAF新增加的的分析功能����、單點登陸支持和Web服務安全的集成功能。這也是為什么他建議WAF評價應該包括企業(yè)架構�����、應用實施和軟件開發(fā)的負責人的原因。"這將改善解決方案安全方面的信心����,以及減輕可用性和性能問題。 "他說����。
事實上,一家全球性能源公司決定應用WAF的目的是滿足該公司服務導向架構(SOA)部署安全服務的需要���。該公司的總設計師決定采用Reactivity XML加速器安全裝置����,在該業(yè)務被思科收購后�,思科將其轉變?yōu)锳CE WAF。當能源公司決定購買一個面向因特網(wǎng)的WAF時����,思科向其保證可以利用ACE將兩種功能整合在一起,既滿足其內(nèi)部的SOA需求�,又保護其Web應用程序的安全。
宜:關注WAF的性能監(jiān)測功能
應用監(jiān)測作為WAF的非傳統(tǒng)用法,正日益流行和普及����。WAF能夠檢測性能問題,或者是檢測應用程序是否因為無效鏈接而造成錯誤網(wǎng)頁等問題��。
忌:不要認為有了WAF就一勞永逸
Krikken表示���,雖然可以使用黑名單規(guī)則來保證基本的安全�,但是還是需要準備好為最簡單的web應用程序投入持續(xù)的時間和精力�。"即使有規(guī)則模板和學習引擎,為了提高有效性和降低報錯��,還是需要經(jīng)常對系統(tǒng)進行初步調整和持續(xù)定制�。"他說。
在全球能源公司���,總設計師稱用思科的WAF可以在兩小時內(nèi)配置一個應用實例����。不過���,他希望有更多的像特點過濾等配置方面的最佳操作指南,而不是客戶自己摸索著操作。 "
宜:關注學習引擎功能
有了學習引擎��,WAF可以學習和了解應用程序�����,進而創(chuàng)建甚至執(zhí)行規(guī)則���。Krikken表示��,在動態(tài)環(huán)境中����,最好讓WAF對異常行為作出提醒而不是直接阻止����。
Patel用了幾個月Breach的學習引擎,他稱其為簡化的網(wǎng)絡應用程序����。Patel的團隊回顧那段時間的工作時發(fā)現(xiàn),Breach的學習引擎可以標記不規(guī)則行為��。Patel表示:"你需要一定程度的舒適性���,它會作出正確的決定 "然而��,隨著時間的推移�,Patel希望實現(xiàn)自動攔截功能。"隨著我們網(wǎng)站流量的增大����,WAF判斷違規(guī)操作并第一時間關閉那些企圖是非常必要的。 "他說���。
舉例來說��,WAF阻止其競爭對手處理網(wǎng)站上的產(chǎn)品數(shù)據(jù)��,其中包括數(shù)以百萬計的庫存(SKUs)和價格信息�。 "如果我們看到有人按周或按月檢查數(shù)據(jù)����,這表示我們的競爭情報蒙受了重大損失。 "Patel說����。
宜:關注企業(yè)級應用
Jarden公司的Nelson選擇Check Point安全產(chǎn)品的部分原因就是為了滿足企業(yè)級應用,其控制臺功能可以實現(xiàn)對全公司所有防火墻的集中管理��。他特別喜歡的功能就是將所有的防火墻集中到所謂的"容器"中��,并在這些容器內(nèi)應用不同的策略��。
與此同時�����,一家營養(yǎng)品制造商的安全通訊工程師表示�����,其使用的梭子魚系統(tǒng)(Barracuda system)的最大優(yōu)勢在于它的可擴展性���。該公司使用WAF的主要動機是為那些需要接收來自世界各地郵件的用戶提供安全的web電子郵件界面��。同時WAF也被用來阻止應用層攻擊����。
安全工程師希望����,不管用戶在什么地方,只要向用戶提供一個單一的URL����,他們就可以接收電子郵件�����,他還希望在不中斷的情況下能夠擴大系統(tǒng)范圍����。因為他可以在不需要新IP地址的情況下添加額外的WAF設備����。"如果開始被重載,我們必須做的事情就是使用另外一個設備����,將兩個設備整合在一起,獲得雙倍能力�����。"他說����。
|
