日期:2018-07-04 點擊: 關鍵詞:web應用防火墻
1、Web應用發展太快種類太多。
web應用防火墻
今天,幾乎每家公司都有內部或定制Web應用,用不同的編程語言、框架和平臺開發。90年代的CGI腳本搭配使用第三方API和Web服務的復雜AJAXWeb應用的情況也不少見。另外,Web開發者幾乎每天都要升級更新他們的應用來適應業務需求。很明顯,這么一個動態的多樣化的環境,即使最好的WAF加上最有能力的工程師,也很難保護周全。
2、業務優先級壓過網絡安全。
WAF誤封合法網站用戶的情況幾乎無法避免。通常,在第一起某客戶因無法享受服務怒而轉投競爭對手的事件進入到管理層視線之后,WAF就絕對會被設置成只檢測不動作模式了(至少要到下一次質量體系評定審計)。
3、無力防護高級Web攻擊。
從設計上,WAF就不能防護未知應用邏輯漏洞,或者需要對應用業務邏輯有著透徹了解的漏洞。很少有創新者會嘗試使用結合了IP信譽、機器學習和行為檢測白名單的增量式規則集來防護此類漏洞。這些東西都需要經過復雜而漫長的學習周期,而且還沒那么靠得住。
企業在考慮Web應用防火墻時,應考慮平臺(設備、應用交付控制器組件、云服務)、部署和管理的簡易性、保護功能,以及與企業已有的動態應用安全掃描器的集成。例如,那些已經被掃描器確認的漏洞是不是能夠由Web應用防火墻生成真正實用的特征簽名。
除了安全效率,成本也是一個需考慮的重要因素,當然,Web應用防火墻作為獨立的一層安全方案,與其它技術相比,成本并非決定性因素。還有,還要考慮正常運行時間、彈性、受保護資產的危險程度、收入與風險的衡量標準等都是購買時需要考慮的因素。
由于每個企業都有不同的安全需要,因而定制應用程序的防御使其匹配具體的業務環境也很重要。所以,建議企業確保其Web應用防火墻包含一種學習引擎特性,還要能夠使返回的虛假情報最少化,對應用程序的會話管理進行補充,保護應用程序使其免受基于會話的攻擊。最好能夠與已有的企業系統相集成,并且不會影響已有基礎架構的性能,記錄所有應用程序、用戶、威脅的通信,以便于日后的分析和取證。