返回
web应用防火墙安全大揭秘之十诫

web应用防火墙安全大揭秘之十诫

ID:31094630

大小:73.00 KB

页数:5页

时间:2019-01-06

web应用防火墙安全大揭秘之十诫_第1页
web应用防火墙安全大揭秘之十诫_第2页
web应用防火墙安全大揭秘之十诫_第3页
web应用防火墙安全大揭秘之十诫_第4页
web应用防火墙安全大揭秘之十诫_第5页
资源描述:

《web应用防火墙安全大揭秘之十诫》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Web应用防火墙安全大揭秘之十诫WAF(Webapplicationfirewall,Web应用防火墙)主要用來保护Web应川免遭跨站脚本和SQL注入等常见攻击。WAF位于Web客户端和Web服务器Z间,分析应用程序层的通信,从而发现违反预先定义好安全策略的行为。尽管某些传统防火墙也能提供-定程度的应用认知功能,但是它不具备WAF的精度和准度。WAF可以检测一个应用程序是否按照其规定的方式运行,而II它能让你编写特定的规则来防止特定攻击行为的再次发牛。WAF也不同于入侵防御系统(IPS),两者是完全不同的

2、两种技术,厉者是基于签名,而丽者是从行为來分析,它能够防护用八自己无意中制造的漏洞。目前WAF的主要推动因素之-是支付卡行业数据安全标准(PCIDSS),该标准主要通过两个办法来验证是否合规:WAF和代码审查。另外一个推动因索是,人们越来越多的认识到攻击已经开始由网络转移到应川程序。根据WhiteHatSecurity公布的一份研究报告,从2006年1月到2008年12月间对8力个网站进行了评估,结果发现82%的网站至少存在一个髙危或紧急安全漏洞。WAF的主要特性Web应用防火墙市场仍然不确定,有很多不同

3、的产品被归类到WAF范畴。研究机构BurtonGroup的分析师RamonKrikken表示,"很多产品提供的功能远远超小i了我们通常'认为防火墙应该具有的功能,这使得产品的评价和比较难以进行此外,通过将已有的非WAF产品整合到综合产品中的方式,新厂商开始进入市场。根据研究和咨询公司Xiom创始人OferShezaf提供的清单,下血列出Web应用防火墙应该具备的特性:深入理解HTTPoWAF必须全面深入分析和解析HTTP的有效性。提供明确的安全模型。明确的安全模型只允许己知流量通过,这就给应用程序捉供了外

4、部验证保护。应用层规则:由于高昂的维护费用,明确的安全模型应该配合基于签名的系统来运作。不过由于web应川程序是口定义编码,传统的针对已知漏洞的签名是无效的。WAF规则应该是通用的,并且能够发现像SQL注入这样的攻击变种。基于会话的保护:HTTP的最大弱势之一在于缺乏嵌入式的可靠的会话机制。WAF必须实现应用程序会话管理,并保护应用程序免受基于会话的攻击和超时攻击。允许细粒度政策管理。例外政策应该只对极少部分的应用程序执行,否则,可能会造成重大安全漏洞。WAF的选择标准开放网络应用安全计划组织(OWASP

5、)主要工作是改进应用软件的安全性。以下是OWASP提出的WAF的选择标准:几乎不出现误报(即,从不拒绝授权请求)默认防御强度具备易学模式预防的攻击类世具备将单个用八限定在当前对话中町见的能力配置预防像紧急补丁等特定问题的能力波形因数:软件与硬件(通常硬件优先)选择WAF首要考虑的问题WAF与源代码扫描WAF不能修复应用程序只能进行实吋保护的特点,过去一直备受指责。有些厂商甚至避免使用“WAF”术语形容他们的产品,而是代Z以“应用层意识”或'应用层智能豊不过,现在人们已经越来越普遍地认为,通过正确的实施,W

6、AF能够成为多层安全模型屮的重要组成部分,因为当人们修补应用程序漏洞的时候WAF可以提供保护。正如WhiteHatSecurity公司的创始人JeremiahGrossman在廨客屮坚持的那样,应丿II程序中攻击和漏洞太多,根木来不及修复代码本身。他主张,通过评估发现的漏洞应该作为自定义规则嵌入WAF中,这样就能为减轻当前状况并为过后再修复问题提供选择。Gartner公司则建议客户考虑采用技术手段消除应用程序漏洞。在花钱购买设备Z前,用户首先应该考虑一下,是否通过更强大的系统开发生命周期和使用源代码扫描器

7、等工具來消除漏洞。WAF对于那些不容易改变的应用程序是非常有用的。虽然一小部分风险承受力低的公司需要采用上述两种方法进行女全防护,但是对于大多数公司而言,采用其中任意一种方法就足够了。WAF的慕础介绍就到这里,希望大家已经掌握,在下一节里我们会为大家介绍硬件设备与软件JardenConsumerSolutions公司负责全球网络服务和运作的IT主管JackNelson表示,他们之所以选择CheckPoint软件技术VPN-1/FireWall-l集成网络智能技术的一大原因在于,能够有效的对这两者进行配置。

8、Jarden公司右个没有配备IT维护人员的远程办公室,因此Nelson使用基于软件的版本解决方案,当现有WAF失效的时候办公室管理人员就可以轻松地将任何电脑配置为WAF。Nelson表示:“这比再买一个防火墙更灵活,比快速反应维护费更便宜。’‘这种界而足够简单,不需要防火墙专家配置,另外授权是基于密钥的,因此可以远程应用。在北美的几个小办公室里,Nelson使用CheckPoint设备,因为他发现这种设备更便于管理和提供支持。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。