在过去的几年中,我们看到 Web 应用程序的安全性有了巨大的提高,即使在拥有高级安全软件之后,这种扩展使用的主要原因是 Web 攻击已成为数据泄露的最常见原因。顶级网络安全公司的许多报告都强调了这一点,因此它已成为用户考虑的重要组成部分。在大多数情况下,这些 Web 应用程序攻击使用一些常见的攻击(如 SQL 注入或跨站点脚本)来针对网站和服务器。
为了防止此类攻击,人们必须寻找强大的 Web 应用程序防火墙来阻止网络黑客利用漏洞。在本文中,我们将了解一些围绕 WAF 的重要术语以及过滤威胁和提高最终用户 Web 安全所需的内容。
什么是 Web 应用程序防火墙?
Web 应用程序防火墙负责在来自恶意网站的流量到达任何 Web 应用程序之前对其进行过滤。这些防火墙通过阻止SQL 注入和拒绝服务 (DoS) 攻击等针对性攻击来保护 HTTP 应用程序。为了保持安全软件的高标准,OWASP 不断推动为 Web 应用程序编写一个可靠的框架,以使其更能抵抗任何攻击。开源基金会拥有许多资源来帮助开发人员保护他们的 Web 服务器,但不能使用相同的准则构建每个 Web 应用程序。某些服务器必须遵循 IPS、IDS 和其他一些标准协议来保护其网络。
WAF 在防止黑客插入的恶意软件感染方面也有很大帮助。网络犯罪分子通常通过插入虚假链接重定向和偷渡式下载来利用网站。只有 WAF 可以保护 Web 内容和访问者免受此类利用。普通的防火墙无法监控和阻止流量,它只能保护在两个 Web 服务器之间运行的数据。
Web 应用防火墙的演进
在 Internet 的早期,许多 IT 专家坚信没有必要为计算机安装额外的防火墙。令人震惊的是,一些公共杂志甚至曾经鼓励文章标题为“您的计算机是否需要额外的安全防火墙?”。当时,没有人相信防火墙,因为端口系统可以很好地区分不同的流量类型。端口的概念基于过滤传入的数据包并执行 Web 浏览器发送的必要操作。
这些概念和传统的防火墙技术完美地支撑了堡垒长达十年。尽管如此,当公司开始通过在线运营成为主流时,对于大多数用户群来说,它立即变得不足。现代公司通过快速的应用程序开发和软件风靡全球。这对最终用户来说效果不佳,因为它比黑客简单地扫描端口造成了更多的漏洞。这些应用程序充满了人们无法轻易理解和修复的错误和错误。结果,犯罪分子开始利用每一个漏洞为自己谋利。
这就是 WAF 诞生的时候。在 WAF 开发的初始阶段,公司使用内部服务器来安装软件以从字面上消除数以千计的攻击。随着软件和防火墙的成熟,基于云的服务公司购买了一个订阅计划来消除所有网络威胁。在很短的时间内,每个大小 IT 公司都开始采用 Web 应用程序防火墙,因为它不仅仅是比较端口号和 IP 地址。
WAF 是如何工作的?
Web 应用程序防火墙可以设计用于软件、硬件设备或两者。WAF 接管 Web 应用程序的控制权并拒绝来自恶意站点的所有请求。WAF 与后端网络一起部署以防止 Web 服务器和用户数据,它们通常遵循称为反向代理的常见配置。在这种方法中,存在于客户端和后端网络之间的中间人或中间人是 WAF。因此,当客户端请求后端网络时,它必须首先通过 Web 应用程序防火墙。
WAF 接管对客户端请求以及传出服务器响应的控制。当这种情况发生在两个方向时,软件可以识别违反安全策略的流量。使用消极或积极的安全模型来阻止流量或过滤恶意站点。
在消极安全模型的情况下,防火墙预设了某些规则以跨服务器发送请求。大多数传统防火墙遵循否定模型,因为它们过去允许几乎所有传入请求都遵循一些预定义的安全规则。它在那些日子里可能奏效,但在当今技术为先的世界中,这种安全模型无法为用户提供全面保护。负面模型有很多黑客可以利用的漏洞,IT部门面临的一些主要问题是:
- 针对数据库中不存在的威胁的零保护。如果数据库中未预定义攻击,防火墙将允许其请求并授予最终用户访问权限。
- WAF 过滤并非 100% 可靠。假设网络犯罪分子发现 WAF 基于负面安全模型。在这种情况下,他们可以对传入的攻击进行较小的修正,使其成为数据库中不存在的全新攻击形式。
- 没有针对所有类型攻击的强大保护。负面安全模型并未涵盖 OWASP 强调的所有威胁,而且它们也未在深入级别实施。
当我们谈论积极的安全模型时,我们需要了解它只是请求通过消极安全规则后的另一道防线。一旦 Web 请求遵循负面安全规则,它们将再次受到审查并与用户请求进行比较。如果在扫描过程中发现任何异常情况,防火墙会阻止流量。除了这两种模型之外,还有另一种连接到下一代 Web 应用程序防火墙的高级方法。它们遵循一种独特的方法来过滤流量,但它们也可以实现混合模型。
Web 应用程序防火墙的类型
随着技术的进步,人们得到了更好的工具和软件来构建应用程序。因此,选择正确的 WAF 以完美弥合应用程序界面和 Web 服务器之间的差距非常重要。现在,从各种各样的选项中进行选择的问题是您需要了解每个选项的优缺点。为了帮助您选择正确的 WAF 类型,我们列出了三个选项,涵盖了市场上几乎所有的安全防火墙。
基于硬件的 Web 应用防火墙
通过硬件设备使用的 WAF 主要旨在为每天有数千访问者的组织提供服务。拥有硬件设备可提高客户端效率,并以高速和高性能照顾庞大的用户群。这种类型的Web应用防火墙需要安装在局域网内,这就是它每天可以高速运行的原因。与其他费用相比,硬件安装和定期维护成本要高得多,但对于规模庞大的企业来说,这些成本很容易负担得起。最著名的基于硬件的 WAF 之一是 WAPPLES,它带有负载均衡器并遵循基于规则的检测算法来提高交付速度和应用程序性能。
基于软件的 Web 应用防火墙
这里的安装过程是虚拟完成的,而不是使用物理机。与硬件WAF不同的只是安装;其余组件具有相同的功能。使用基于软件的 WAF 的最终用户也需要拥有他们的虚拟机管理程序。简单来说,软件WAF就像通过得来速吃汉堡,而硬件WAF就像在店里吃汉堡。这种类型的 WAF 最好的部分是它为组织提供的灵活性。员工可以通过云连接并访问应用服务器。尽管可以在云系统上部署软件 WAF,但当虚拟机执行过滤过程时,它确实会遇到高延迟数字。
下一代/基于云的 WAF
任何拥有基于云的系统的组织都不会受到任何限制,因为这种防火墙安全模型不需要额外的维护和物理存储成本。下一代应用防火墙也不需要管理员不断监控系统的差异。通过云集成,WAF 软件以最低订阅成本作为服务提供。一个很好的例子是 Cloudbric,这是一种 SECaaS 产品,提供DDoS保护和CDN等服务的组合。
WAF 解决方案的必备功能是什么?
WAF 需要某些功能来提高速度和整体性能,因此优先考虑功能集以完成 WAF 解决方案至关重要。我们列出了一些必须具备的功能,可以考虑扩展正常的 WAF 功能,因此请务必阅读每个功能并将它们与您的要求保持一致。
OWASP 十大威胁的解决方案
OWASP是收集有关 Web 服务器攻击的重要信息的基础,正如我们在前面的部分中已经提到的。社区成员包括行业专家和其他开发人员,他们寻找解决方案来减轻不安全的直接对象引用和缺少功能级访问控制等攻击。在他们的官网上有更多关于这些攻击的信息,所以每个WAF解决方案都必须涵盖OWASP提供的十大安全威胁。
PCI DSS 合规性
通常使用扫描技术和 WAF 的普通缓解功能来保护大公司的客户数据。只有当您的组织符合 PCI DSS 标准时才会这样做。此处的合规性为安全存储信用卡信息增加了额外的安全级别。您的 WAF 应该能够在不干扰用户交易的情况下消除传入攻击。符合这些标准的另一个功能是公司可以查看 PCI 报告并检查 WAF 是否有问题。如果不遵循适当的步骤,WAF 将启动一个流程以使其合规。
CDN 收录
大多数公司需要一个大规模的网络,并希望他们的客户能够访问全球。为了满足这一要求,他们集成了一个内容交付网络 (CDN) 以更快的速度检索网站数据。使用 CDN,您还可以减少单个服务器上的流量,以便访问者可以获得更好的 Web 体验。
设备跟踪和识别
互联网上充斥着机器人和各种伪装的垃圾邮件发送者。来自此类机器人和爬虫的流量可以间接消耗资源并获取有关各种云资产的信息。即使隐藏在错误的 IP 地址后面,WAF 也需要识别这些网络攻击者以解决此问题。设备指纹识别可以处理任何 IP 更改,因此它是您的 WAF 解决方案的必备功能。
本地和基于云的部署
在线攻击者正在想出新的方法来渗透 Web 服务器并利用客户信息。为了应对日益复杂的攻击,您的 WAF 需要为云系统和本地解决方案提供完全托管的服务。当组织同时具备这两种专业知识时,他们可以立即更新新的安全策略并为实时攻击更好地配置 WAF 解决方案。
购买 WAF 之前需要考虑的事项
当您选择 WAF 解决方案时,许多因素都会发挥作用。检查每个参数并确定您的公司是否需要它是必不可少的。我们强调了一些影响 WAF 整体性能以减轻威胁的主要因素。
存在点 (POP)
正如我们之前所说,CDN 包含有助于更快地进行全球访问;主要原因是在世界各地的地理位置有多个存在点。当您将 CDN 网络与高 POP 和 WAF 解决方案正确集成时,您的客户可以享受可靠的服务、高性能和快速加载的网站页面。
日志记录
当您要进行完整的系统调查时,有必要访问每个日志和报告。因此,在购买 WAF 解决方案之前,请务必询问供应商的报告访问权限以及如何将其与您的安全运营团队集成。
网站定制
您的公司要求永远不会保持不变,并且您会不断向网站添加新内容,并使用新的自定义规则集来确保安全。无论何时更改要求,您都必须与供应商确认正常运行时间保证、阻止列表功能和其他安全设置。
签名和行为分析
您的 WAF 提供商应启用具有签名和行为分析功能的独特入侵防御系统。这有助于消除漏洞并了解正负利率。
客户服务
从客户服务处获得详细解决方案的响应时间对于让您的用户满意至关重要。如果响应延迟,那么用户评分将显着下降。因此,请确保在发生碰撞或重大紧急情况时获得专业的客户服务。