关于WAF的注意事项
清楚理解独立产品和集成产品的区别。我们有必要区分这两种供应商:将WAF功能集成到现有应用交付和网络安全产品中的供应商以及那些专门生产应用程序安全产品的供应商。选择哪种供应商主要取决于很多因素,包括系统中已经安装了哪些程序,企业需要的安全级别,企业是需要专门的产品还是拥有广泛功能的产品。
安全专家表示,侧重应用交付的产品对于应用安全而言是远远不够的,因为并不包括计算密集型功能,例如了解引擎和会话意识等。了解引擎可以使WAF了解应用程序的行为并生成相关的建议政策。会话认知可以让WAF建立实时的动态的、基于会话的规则,并使用这些规则来确定随后的请求是否有效。
不要把WAF当作灵丹妙药!很多公司为了PCI合规的目的而开始使用WAF,然而,分析师警告说,最好不要将WAF作为通过合规检测的产品。
“很多人病急乱投医,Young补充说,“很多人认为,只要购买了防火墙,就能够打发审计员,但是这样做是不够的,你需要将应用程序防御配置为适合自身环境的模式。
看看传统WAF功能之外的增强功能。虽然传统的WAF客户都是安全团队,不过现在很多WAF产品开始吸引广大普通客户的关注,主要是现在的WAF的分析功能、单点登陆支持和与Web服务安全的集成。
在一家全球性能源公司,使用WAF的目的在于满足该公司服务导向架构(SOA)部署的安全服务,该公司的总设计师决定采用Reactivity XML加速器安全装置(随后被思科收购)。
从性能监测角度来考虑WAF。应用检测是WAF的非传统用法,由于WAF能够检测性能问题以及检测应用程序是否因为无效链接而造成的错误页面等问题,这使这个功能越来越受到欢迎。
不要忽视细节。 虽然可以使用黑名单规则来保证基本的安全,但是还是需要为最简单的web应用程序投入持续的时间和劳动力,即使有规则模板和学习引擎,还是需要经常对系统进行细节调整和自定义化以提高有效性和降低报错。
考虑学习引擎功能。有了学习引擎,WAF就可以学习了解应用程序行为,这样就能创建甚至执行规则。在非常动态的环境中,最好让WAF对不正确的行为进行提醒而不是阻止。
考虑企业级别的功能。Jarden公司的Nelson选择了硬件安全产品来处理企业级别的控制台功能,提供对所有防火墙的集中管理。他特别喜欢将所有的防火墙集中到所谓的“容器中,并在这些容器中使用不同的政策。
与此同时,一家营养品制造商的安全通讯工程师表示,梭子鱼系统的最大优势在于它的可扩展性,该公司使用WAF的主要动机是,为想要接收来自世界各地的用户提供一个安全的web电子邮件界面,同样使用WAF来保护系统免受应用层的攻击。
安全工程师希望向用户提供一个简单的URL来接收电子邮件,而不管用户在什么地方,他同样希望能够在不被中断的情况下,扩大系统范围。因为它可以在不需要新IP地址的情况下,添加额外的WAF设备,这对用户而言是完全透明的。“如果开始被重载,我们必须做的事情就是使用另外一个设备,将两个整合在一起,获得两倍能力。
标签: 防火墙
