WEB应用防火墙是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。它集成全新的安全理念与先进的创新架构,保障用户核心应用与业务持续稳定的运行。
WEB 应用防火墙是集 WEB 防护、网页保护、负载均衡、应用交付于一体的 WEB 整体安全防护设备的一款产品。它集成全新的安全理念与先进的创新架构,保障用户核心应用与业务持续稳定的运行。
WEB 应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把 WAF 看成运行在 HTTP 层上的 IDS 设备;从防火墙角度来看,WAF 是一种防火墙的功能模块;还有人把 WAF 看作“深度检测防火墙”的增强。
定义
利用国际上公认的一种说法:
总体来说,Web 应用防火墙的具有以下四大个方面的功能(参考 WAF 入门,对内容做了一些删减及改编)。
审计设备
用来截获所有 HTTP 数据或者仅仅满足某些规则的会话。
访问控制设备
用来控制对 Web 应用的访问,既包括主动安全模式也包括被动安全模式。
网络设计工具
当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
应用加固工具
这些功能增强被保护 Web 应用的安全性,它不仅能够屏蔽 WEB 应用固有弱点,而且能够保护 WEB 应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为 Web 应用防火墙的设备都同时具有以上四种功能。
功能描述
1、事前主动防御,智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击,全方位保护 WEB 应用。
2、事中智能响应,快速 P2DR 建模、模糊归纳和定位攻击,阻止风险扩散,消除“安全事故”于萌芽之中。
3、事后行为审计,深度挖掘访问行为、分析攻击数据、提升应用价值,为评估安全状况提供详尽报表。
4、面向客户的应用加速,提升系统性能,改善 WEB 访问体验。
5、面向过程的应用控制,细化访问行为,强化应用服务能力。
6、面向服务的负载均衡,扩展服务能力,适应业务规模的快速壮大。
特点
Web 应用防火墙的一些常见特点如下。
异常检测协议
Web 应用防火墙会对 HTTP 的请求进行异常检测,拒绝不符合 HTTP 标准的请求。并且,它也可以只允许 HTTP 协议的部分选项通过,从而减少攻击的影响范围。甚至,一些 Web 应用防火墙还可以严格限定 HTTP 协议中那些过于松散或未被完全制定的选项。
增强输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小 Web 服务器被攻击的可能性。
及时补丁
修补 Web 安全漏洞,是 Web 应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为 Web 应用带来什么样的危害。现在 WAF 可以为我们做这项工作了——只要有全面的漏洞信息 WAF 能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。
(附注:及时补丁的原理可以更好的适用于基于 XML 的应用中,因为这些应用的通信协议都具规范性。)
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种 Web 应用的安全规则,WAF 生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。
如何选择
从 Web 应用防火墙功能对比表格中,我们可以看出,目前 Web 应用防火墙的功能性还不统一,几个厂商 Web 应用防火墙的主要功能项还有较大出入。另外,功能描述也不相同,有些同种的功能各个厂商厂商的描述各不相同。为了对厂商真实体现厂商产品功能,这一部分资料按各厂商介绍在表格中予以重现。还有一些厂商存在明显的技术资料发布不全现象,这方面以思杰(Citrix)最具代表性。如果不是其网站产品介绍中存在“利用集成式应用防火墙增强了安全性”这一句话,和其英文网站上的相关介绍,我们几乎认定其 Citrix NetScaler 产品仅是一款 Web 应用加速产品!所幸的是,在本次活动截止前一天,思杰市场人员将 Citrix NetScaler 中文资料发给了我们,才使得思杰 Citrix NetScaler 产品功能对比的项目不至于留白!
但是在产品功能项目差异大,内容不统一的情况下,用户应该如何对产品进行选择呢?下面我们就综合分析一下,在选择 Web 应用防火墙产品时,哪几方面的信息是用户最需要了解的。
产品宣传
通过厂商的产品宣传,可以了解厂商产品的市场定位,以及厂商对用户应用需求的了解情况。从中可以初步分析厂商产品是否可以满足用户的实际应用需求。
产品功能介绍
在产品功能介绍中,可以粗略了解产品的各项功能,在经过对比后可以了解厂商产品的功能是否齐备,可否满足用户应用的需求。
产品评测报告
这是用户容易忽略,某些厂商刻意忽略的重要信息。对于网络产品来讲,市场定位容易描述,产品功能也可以相互借鉴,但具体的功能测试是很难仿造的。评测报告中的每个指标、每个数据都是厂商研发技术实力的最直观体现,只有对产品技术具备最深入理解的厂商才可以在用户面前交出一份令用户满意的评测报告!
售后服务
把售后服务放到产品销售前面,就在于它的重要性。一般的网络产品往往会使用户忽略售后服务的重要,质量过硬的网络产品有可能插电一次性设置后几年都不需要变动。但是 Web 应用防火墙这类网络安全产品就全然不同了,层出不穷的网络威胁会时刻对其发出挑战。没有完善研发售后服务能力的厂商将无力面对这些威胁,这样用户的网络安全也就失去了相应的保障。
产品销售
产品的销售厂商在哪里,从那里可以得到什么样的服务,技术支持能力如何……这些同样也需要用户在选择产品时事先进行了解。