解析如何评估并部署web应用防火墙

《解析如何评估并部署web应用防火墙》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、解析如何评估并部署Web应用防火墙～教育资源库　　iddot;对HTTP有非常深入的理解，iddot;提供正面的安全模型。积极的安全模型可以只允许已知流量通过，有时也被称为白名单，这就给应用程序提供了一个有效的外部验证盾牌保护。　　应用层规则。由于高昂的维护成本，积极的安全模式应该还要配合基于签名的系统来运作。但是由于iddot;基于会话的保护：HTTP存在的最大缺点在于缺乏内置的可靠会话机制，iddot;允许细粒度政策管理。应该对很少部分的应用程序执行例外处理，否则，可能造成安全漏洞。　　iddot;很少出现误报(例如，不应该拒绝授权请求等)　　默认防御的

2、强度　　容易操作模式　　可以预防的漏洞类型　　能够限制个人用户只能在当前对话中所看到的内容　　配置预防特定问题的能力，如紧急补丁等　　iddot;iddot;硬件设备与软件比较　　JardenConsumerSolutions公司的全球网络服务和运作IT主管JackNelson表示，他们选择硬件安全网关（集成Web应用安全技术）的主要原因在于，能够有效的对这两者进行配置。Jarden公司有个没有配备IT人员的远程办公室，因此Nelson使用基于软件的版本解决方案，这样办公室管理人员就可以在现有WAF失效的时候轻松将任何电脑配置为WAF。这比购买第二个防火墙更

3、灵活，这样比快速反应维护费要便宜，他表示，这种界面非常简单并且不需要防火墙专家来配置，另外授权是基于密钥的，这样比较适用于远程。　　专家表示，首先就想清楚部署内置WAF还是外带的WAF是至关重要的，并不是所有WAF都支持这两种模式，很少看到包含不同部署模式的产品。　　关于WAF的注意事项　　清楚理解独立产品和集成产品的区别。我们有必要区分这两种供应商：将WAF功能集成到现有应用交付和网络安全产品中的供应商以及那些专门生产应用程序安全产品的供应商。选择哪种供应商主要取决于很多因素，包括系统中已经安装了哪些程序，企业需要的安全级别，企业是需要专门的产品还是拥有广

4、泛功能的产品。　　安全专家表示，侧重应用交付的产品对于应用安全而言是远远不够的，因为并不包括计算密集型功能，例如了解引擎和会话意识等。了解引擎可以使WAF了解应用程序的行为并生成相关的建议政策。会话认知可以让WAF建立实时的动态的、基于会话的规则，并使用这些规则来确定随后的请求是否有效。　　不要把WAF当作灵丹妙药！很多公司为了PCI合规的目的而开始使用WAF，然而，分析师警告说，最好不要将WAF作为通过合规检测的产品。　　很多人病急乱投医，Youn12下一页友情提醒：，特别！g补充说，很多人认为，只要购买了防火墙，就能够打发审计员，但是这样做是不够的，你需

5、要将应用程序防御配置为适合自身环境的模式。　　看看传统L加速器安全装置(随后被思科收购)。　　从性能监测角度来考虑WAF。应用检测是WAF的非传统用法，由于WAF能够检测性能问题以及检测应用程序是否因为无效链接而造成的错误页面等问题，这使这个功能越来越受到欢迎。　　不要忽视细节。虽然可以使用黑名单规则来保证基本的安全，但是还是需要为最简单的web应用程序投入持续的时间和劳动力，即使有规则模板和学习引擎，还是需要经常对系统进行细节调整和自定义化以提高有效性和降低报错。　　考虑学习引擎功能。有了学习引擎，WAF就可以学习了解应用程序行为，这样就能创建甚至执行规则

6、。在非常动态的环境中，最好让WAF对不正确的行为进行提醒而不是阻止。　　考虑企业级别的功能。Jarden公司的Nelson选择了硬件安全产品来处理企业级别的控制台功能，提供对所有防火墙的集中管理。他特别喜欢将所有的防火墙集中到所谓的容器中，并在这些容器中使用不同的政策。　　与此同时，一家营养品制造商的安全通讯工程师表示，梭子鱼系统的最大优势在于它的可扩展性，该公司使用WAF的主要动机是，为想要接收来自世界各地的用户提供一个安全的web电子邮件界面，同样使用WAF来保护系统免受应用层的攻击。　　安全工程师希望向用户提供一个简单的URL来接收电子邮件，而不管用户

7、在什么地方，他同样希望能够在不被中断的情况下，扩大系统范围。因为它可以在不需要新IP地址的情况下，添加额外的WAF设备，这对用户而言是完全透明的。如果开始被重载，我们必须做的事情就是使用另外一个设备，将两个整合在一起，获得两倍能力。上一页12友情提醒：，特别！