解析如何评估并部署Web应用防火墙( 二 )


另一方面 , Gartner公司建议客户考虑采用消除应用程序漏洞的技术 , “在你花钱购买设备之前 , 应该考虑一下 , 能否通过更强大的系统开发生命周期来消除漏洞 , 或者通过使用其他工具 , 如源代码扫描器 。
对于大多数企业而言 , 采用其中任意一种方法就足够了 , 虽然对于应用安全需求很好的金融或内源用户而言 , 笔者认为综合的安全保护措施不失为更好的选择 。
酚布璞赣肴砑冉?/strong>
Jarden Consumer Solutions公司的全球网络服务和运作IT主管Jack Nelson表示 , 他们选择硬件安全网关(集成Web应用安全技术)的主要原因在于 , 能够有效的对这两者进行配置 。Jarden公司有个没有配备IT人员的远程办公室 , 因此Nelson使用基于软件的版本解决方案 , 这样办公室管理人员就可以在现有WAF失效的时候轻松将任何电脑配置为WAF 。“这比购买第二个防火墙更灵活 , 这样比快速反应维护费要便宜 , 他表示 , 这种界面非常简单并且不需要防火墙专家来配置 , 另外授权是基于密钥的 , 这样比较适用于远程 。
专家表示 , 首先就想清楚部署内置WAF还是外带的WAF是至关重要的 , 并不是所有WAF都支持这两种模式 , 很少看到包含不同部署模式的产品 。
关于WAF的注意事项
清楚理解独立产品和集成产品的区别 。我们有必要区分这两种供应商:将WAF功能集成到现有应用交付和网络安全产品中的供应商以及那些专门生产应用程序安全产品的供应商 。选择哪种供应商主要取决于很多因素 , 包括系统中已经安装了哪些程序 , 企业需要的安全级别 , 企业是需要专门的产品还是拥有广泛功能的产品 。
安全专家表示 , 侧重应用交付的产品对于应用安全而言是远远不够的 , 因为并不包括计算密集型功能 , 例如了解引擎和会话意识等 。了解引擎可以使WAF了解应用程序的行为并生成相关的建议政策 。会话认知可以让WAF建立实时的动态的、基于会话的规则 , 并使用这些规则来确定随后的请求是否有效 。
不要把WAF当作灵丹妙药!很多公司为了PCI合规的目的而开始使用WAF , 然而 , 分析师警告说 , 最好不要将WAF作为通过合规检测的产品 。
“很多人病急乱投医 , Young补充说 , “很多人认为 , 只要购买了防火墙 , 就能够打发审计员 , 但是这样做是不够的 , 你需要将应用程序防御配置为适合自身环境的模式 。
看看传统WAF功能之外的增强功能 。虽然传统的WAF客户都是安全团队 , 不过现在很多WAF产品开始吸引广大普通客户的关注 , 主要是现在的WAF的分析功能、单点登陆支持和与Web服务安全的集成 。
在一家全球性能源公司 , 使用WAF的目的在于满足该公司服务导向架构(SOA)部署的安全服务 , 该公司的总设计师决定采用Reactivity XML加速器安全装置(随后被思科收购) 。
从性能监测角度来考虑WAF 。应用检测是WAF的非传统用法 , 由于WAF能够检测性能问题以及检测应用程序是否因为无效链接而造成的错误页面等问题 , 这使这个功能越来越受到欢迎 。
不要忽视细节 。虽然可以使用黑名单规则来保证基本的安全 , 但是还是需要为最简单的web应用程序投入持续的时间和劳动力 , 即使有规则模板和学习引擎 , 还是需要经常对系统进行细节调整和自定义化以提高有效性和降低报错 。
考虑学习引擎功能 。有了学习引擎 , WAF就可以学习了解应用程序行为 , 这样就能创建甚至执行规则 。在非常动态的环境中 , 最好让WAF对不正确的行为进行提醒而不是阻止 。
考虑企业级别的功能 。Jarden公司的Nelson选择了硬件安全产品来处理企业级别的控制台功能 , 提供对所有防火墙的集中管理 。他特别喜欢将所有的防火墙集中到所谓的“容器中 , 并在这些容器中使用不同的政策 。

推荐阅读