日期:2018-07-04 點(diǎn)擊: 關(guān)鍵詞:web應(yīng)用防火墻
1、Web應(yīng)用發(fā)展太快種類太多。
web應(yīng)用防火墻
今天,幾乎每家公司都有內(nèi)部或定制Web應(yīng)用,用不同的編程語言、框架和平臺開發(fā)。90年代的CGI腳本搭配使用第三方API和Web服務(wù)的復(fù)雜AJAXWeb應(yīng)用的情況也不少見。另外,Web開發(fā)者幾乎每天都要升級更新他們的應(yīng)用來適應(yīng)業(yè)務(wù)需求。很明顯,這么一個動態(tài)的多樣化的環(huán)境,即使最好的WAF加上最有能力的工程師,也很難保護(hù)周全。
2、業(yè)務(wù)優(yōu)先級壓過網(wǎng)絡(luò)安全。
WAF誤封合法網(wǎng)站用戶的情況幾乎無法避免。通常,在第一起某客戶因無法享受服務(wù)怒而轉(zhuǎn)投競爭對手的事件進(jìn)入到管理層視線之后,WAF就絕對會被設(shè)置成只檢測不動作模式了(至少要到下一次質(zhì)量體系評定審計)。
3、無力防護(hù)高級Web攻擊。
從設(shè)計上,WAF就不能防護(hù)未知應(yīng)用邏輯漏洞,或者需要對應(yīng)用業(yè)務(wù)邏輯有著透徹了解的漏洞。很少有創(chuàng)新者會嘗試使用結(jié)合了IP信譽(yù)、機(jī)器學(xué)習(xí)和行為檢測白名單的增量式規(guī)則集來防護(hù)此類漏洞。這些東西都需要經(jīng)過復(fù)雜而漫長的學(xué)習(xí)周期,而且還沒那么靠得住。
企業(yè)在考慮Web應(yīng)用防火墻時,應(yīng)考慮平臺(設(shè)備、應(yīng)用交付控制器組件、云服務(wù))、部署和管理的簡易性、保護(hù)功能,以及與企業(yè)已有的動態(tài)應(yīng)用安全掃描器的集成。例如,那些已經(jīng)被掃描器確認(rèn)的漏洞是不是能夠由Web應(yīng)用防火墻生成真正實(shí)用的特征簽名。
除了安全效率,成本也是一個需考慮的重要因素,當(dāng)然,Web應(yīng)用防火墻作為獨(dú)立的一層安全方案,與其它技術(shù)相比,成本并非決定性因素。還有,還要考慮正常運(yùn)行時間、彈性、受保護(hù)資產(chǎn)的危險程度、收入與風(fēng)險的衡量標(biāo)準(zhǔn)等都是購買時需要考慮的因素。
由于每個企業(yè)都有不同的安全需要,因而定制應(yīng)用程序的防御使其匹配具體的業(yè)務(wù)環(huán)境也很重要。所以,建議企業(yè)確保其Web應(yīng)用防火墻包含一種學(xué)習(xí)引擎特性,還要能夠使返回的虛假情報最少化,對應(yīng)用程序的會話管理進(jìn)行補(bǔ)充,保護(hù)應(yīng)用程序使其免受基于會話的攻擊。最好能夠與已有的企業(yè)系統(tǒng)相集成,并且不會影響已有基礎(chǔ)架構(gòu)的性能,記錄所有應(yīng)用程序、用戶、威脅的通信,以便于日后的分析和取證。
企業(yè)通訊