日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Web應(yīng)用防火墻安全大揭秘之“十誡”上篇

WAFWeb application firewall,Web應(yīng)用防火墻)主要用來(lái)保護(hù)Web應(yīng)用免遭跨站腳本和SQL注入等常見攻擊。WAF位于Web客戶端和Web服務(wù)器之間,分析應(yīng)用程序?qū)拥耐ㄐ牛瑥亩l(fā)現(xiàn)違反預(yù)先定義好安全策略的行為。

創(chuàng)新互聯(lián)公司技術(shù)團(tuán)隊(duì)10年來(lái)致力于為客戶提供做網(wǎng)站、網(wǎng)站制作、成都品牌網(wǎng)站建設(shè)、營(yíng)銷型網(wǎng)站建設(shè)、搜索引擎SEO優(yōu)化等服務(wù)。經(jīng)過多年發(fā)展,公司擁有經(jīng)驗(yàn)豐富的技術(shù)團(tuán)隊(duì),先后服務(wù)、推廣了上千網(wǎng)站,包括各類中小企業(yè)、企事單位、高校等機(jī)構(gòu)單位。

盡管某些傳統(tǒng)防火墻也能提供一定程度的應(yīng)用認(rèn)知功能,但是它不具備WAF的精度和準(zhǔn)度。WAF可以檢測(cè)一個(gè)應(yīng)用程序是否按照其規(guī)定的方式運(yùn)行,而且它能讓你編寫特定的規(guī)則來(lái)防止特定攻擊行為的再次發(fā)生。WAF也不同于入侵防御系統(tǒng)(IPS),兩者是完全不同的兩種技術(shù),后者是基于簽名,而前者是從行為來(lái)分析,它能夠防護(hù)用戶自己無(wú)意中制造的漏洞。

目前WAF的主要推動(dòng)因素之一是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS),該標(biāo)準(zhǔn)主要通過兩個(gè)辦法來(lái)驗(yàn)證是否合規(guī):WAF和代碼審查。另外一個(gè)推動(dòng)因素是,人們?cè)絹?lái)越多的認(rèn)識(shí)到攻擊已經(jīng)開始由網(wǎng)絡(luò)轉(zhuǎn)移到應(yīng)用程序。根據(jù)WhiteHat Security公布的一份研究報(bào)告,從2006年1月到2008年12月間對(duì)877個(gè)網(wǎng)站進(jìn)行了評(píng)估,結(jié)果發(fā)現(xiàn)82%的網(wǎng)站至少存在一個(gè)高?;蚓o急安全漏洞。

WAF的主要特性

Web應(yīng)用防火墻市場(chǎng)仍然不確定,有很多不同的產(chǎn)品被歸類到WAF范疇。研究機(jī)構(gòu)Burton Group的分析師Ramon Krikken表示,“很多產(chǎn)品提供的功能遠(yuǎn)遠(yuǎn)超出了我們通常認(rèn)為防火墻應(yīng)該具有的功能,這使得產(chǎn)品的評(píng)價(jià)和比較難以進(jìn)行?!贝送猓ㄟ^將已有的非WAF產(chǎn)品整合到綜合產(chǎn)品中的方式,新廠商開始進(jìn)入市場(chǎng)。

根據(jù)研究和咨詢公司Xiom創(chuàng)始人Ofer Shezaf提供的清單,下面列出Web應(yīng)用防火墻應(yīng)該具備的特性:

 深入理解HTTP。WAF必須全面深入分析和解析HTTP的有效性。

 提供明確的安全模型。明確的安全模型只允許已知流量通過,這就給應(yīng)用程序提供了外部驗(yàn)證保護(hù)。

 應(yīng)用層規(guī)則:由于高昂的維護(hù)費(fèi)用,明確的安全模型應(yīng)該配合基于簽名的系統(tǒng)來(lái)運(yùn)作。不過由于web應(yīng)用程序是自定義編碼,傳統(tǒng)的針對(duì)已知漏洞的簽名是無(wú)效的。WAF規(guī)則應(yīng)該是通用的,并且能夠發(fā)現(xiàn)像SQL注入這樣的攻擊變種。

 基于會(huì)話的保護(hù):HTTP的最大弱勢(shì)之一在于缺乏嵌入式的可靠的會(huì)話機(jī)制。WAF必須實(shí)現(xiàn)應(yīng)用程序會(huì)話管理,并保護(hù)應(yīng)用程序免受基于會(huì)話的攻擊和超時(shí)攻擊。

 允許細(xì)粒度政策管理。例外政策應(yīng)該只對(duì)極少部分的應(yīng)用程序執(zhí)行,否則,可能會(huì)造成重大安全漏洞。

WAF的選擇標(biāo)準(zhǔn)

開放網(wǎng)絡(luò)應(yīng)用安全計(jì)劃組織(OWASP)主要工作是改進(jìn)應(yīng)用軟件的安全性。以下是OWASP提出的WAF的選擇標(biāo)準(zhǔn):

 幾乎不出現(xiàn)誤報(bào)(即,從不拒絕授權(quán)請(qǐng)求)

 默認(rèn)防御強(qiáng)度

 具備易學(xué)模式

 預(yù)防的攻擊類型

 具備將單個(gè)用戶限定在當(dāng)前對(duì)話中可見的能力

 配置預(yù)防像緊急補(bǔ)丁等特定問題的能力

 波形因數(shù):軟件與硬件(通常硬件優(yōu)先)

選擇WAF首要考慮的問題

WAF與源代碼掃描

WAF不能修復(fù)應(yīng)用程序只能進(jìn)行實(shí)時(shí)保護(hù)的特點(diǎn),過去一直備受指責(zé)。有些廠商甚至避免使用“WAF”術(shù)語(yǔ)形容他們的產(chǎn)品,而是代之以“應(yīng)用層意識(shí)”或“應(yīng)用層智能”。不過,現(xiàn)在人們已經(jīng)越來(lái)越普遍地認(rèn)為,通過正確的實(shí)施,WAF能夠成為多層安全模型中的重要組成部分,因?yàn)楫?dāng)人們修補(bǔ)應(yīng)用程序漏洞的時(shí)候WAF可以提供保護(hù)。

正如WhiteHat Security公司的創(chuàng)始人Jeremiah Grossman在博客中堅(jiān)持的那樣,應(yīng)用程序中攻擊和漏洞太多,根本來(lái)不及修復(fù)代碼本身。他主張,通過評(píng)估發(fā)現(xiàn)的漏洞應(yīng)該作為自定義規(guī)則嵌入WAF中,這樣就能為減輕當(dāng)前狀況并為過后再修復(fù)問題提供選擇。

Gartner公司則建議客戶考慮采用技術(shù)手段消除應(yīng)用程序漏洞。在花錢購(gòu)買設(shè)備之前,用戶首先應(yīng)該考慮一下,是否通過更強(qiáng)大的系統(tǒng)開發(fā)生命周期和使用源代碼掃描器等工具來(lái)消除漏洞。WAF對(duì)于那些不容易改變的應(yīng)用程序是非常有用的。雖然一小部分風(fēng)險(xiǎn)承受力低的公司需要采用上述兩種方法進(jìn)行安全防護(hù),但是對(duì)于大多數(shù)公司而言,采用其中任意一種方法就足夠了。

WAF的基礎(chǔ)介紹就到這里,希望大家已經(jīng)掌握,在下一節(jié)里我們會(huì)為大家介紹:Web應(yīng)用防火墻安全大揭秘之“十誡” 下篇

【編輯推薦】

  1. WAF采購(gòu)要點(diǎn)大揭密
  2. 如何確保 Web應(yīng)用安全
  3. 保護(hù)Web應(yīng)用 WAF助力
  4. Web應(yīng)用防火墻是強(qiáng)不是墻
  5. Web應(yīng)用與Web應(yīng)用防火墻之Web應(yīng)用
  6. Web應(yīng)用安全日趨嚴(yán)重我們?cè)撃檬裁凑?/li>
  7. Web應(yīng)用與Web應(yīng)用防火墻之網(wǎng)絡(luò)安全產(chǎn)品追述

名稱欄目:Web應(yīng)用防火墻安全大揭秘之“十誡”上篇
網(wǎng)頁(yè)URL:http://www.dlmjj.cn/article/cooghpi.html