无论是基于Web的应用系统还是Web网站,他们都面临着各种各样且来源不定的安全威胁。他们有些是已被发现,并具有可识别的固定特征的;则是因网站的设计和代码,以及攻击者的行为习惯而异的。而所有这些都是Web应用系统和Web网站必须面对和解决的安全问题。
而Web应用防火墙(WAF)的应用是旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。传统防火墙主要在于保护网络的外围部分,而WAF则部署在Web客户端与Web服务器之间。专家表示,Web应用防火墙的最大好处是,帮助分析应用层的流量以发现任何违法安全政策的安全问题。
“很多产品能够提供远远高于防火墙的功能,这使产品很难进行评估和比较。”此外,新的供应商也开始不断涌入市场,主要通过将已有的非WAF产品整合为综合产品。
那么Web应用防火墙应该具有哪些特性?据专家总结,以下特性是WAF应该具备的:
1·对HTTP有非常深入的理解,WAF必须能够深入分析和解析HTTP的有效性。
2·提供正面的安全模型。积极的安全模型可以只允许已知流量通过,有时也被称为“白名单”,这就给应用程序提供了一个有效的外部验证盾牌保护。
3·应用层规则。由于高昂的维护成本,积极的安全模式应该还要配合基于签名的系统来运作。但是由于web应用程序都是自定义编码的,传统的针对已知漏洞的签名都没有效。WAF规则应该是通用的并且能够检测攻击的任何变种,如SQL注入攻击。
4·基于会话的保护:HTTP存在的最大缺点在于缺乏内置的可靠会话机制,WAF必须补充应用程序会话管理的功能并保护它免受基于会话和超时攻击。
5·允许细粒度政策管理。应该对很少部分的应用程序执行例外处理,否则,可能造成安全漏洞。
WAF能够实时保护应用程序,而不是修复漏洞,这在过去一直受到大家的批评。有些供应商甚至避免使用“WAF”字眼,而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而,现在越来越普遍的共识是,只有通过正确的部署,WAF才可以作为多层安全模型中重要的组成部分,因为WAF可以在修复应用程序漏洞的时候提供更多保护。
