解析如何评估并且部署Web应用防火墙

Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。传统防火墙主要用于保护网络的外围部分，而WAF则部署在Web客户端与Web服务器之间。专家表示，Web应用防火墙的最大好处是，帮助分析应用层的流量以发现任何违反安全政策的安全问题。

虽然某些传统的防火墙能够提供某种程度的应用方面的保护。但是从针对性和范围来看，都比不上WAF。举例来说，WAF可以检测出应用程序是否以其规定的方式在运行，并且能够帮助你编写更具体的安全政策以防止同样的事情再次发生。

WAF与入侵防御系统(IPS)也存在差异，Gartner的分析师GregYoung表示，“这是一种非常不同的技术，它不是基于签名。而是从行为来分析，它能够帮助减少你自己无意中可能制造的漏洞问题。”

目前使用WAF的主要驱动力来自于支付卡行业数据安全标准(PCI DSS)，该标准主要通过两个办法来审查是否合规：WAF和代码审查。另外一个驱动力就是，大家越来越多地意识到攻击已经开始由网络转移到应用程序。WhiteHat Security在2006年到2008年12月间对877个网站进行了评估，结果发现82％至少存在某种重要的、紧急的系统严重性问题。

Web应用防火墙(WAF)的主要特性

Web应用防火墙市场仍然还不是很明确，有很多相似的产品被归类到WAF范围内。专家指出。“很多产品能够提供远远高于防火墙的功能，这使产品很难进行评估和比较。”此外，新的供应商也开始不断涌入市场，主要通过将已有的非WAF产品整合为综合产品。

那么Web应用防火墙应该具有哪些特性?以下这些特性是WAF应该具备的：

对HTTP有非常深入的理解。WAF必须能够深入分析和解析HTTP的有效性。

提供积极的安全模型。积极的安全模型可以只允许已知流量通过，有时也被称为“白名单”，这就给应用程序提供了一个有效的外部验证盾牌保护。

应用层规则。由于高昂的维护成本，积极的安全模式应该还要配合基于签名的系统来运作。但是由于Web应用程序都是自定义编码的，传统的针对已知漏洞的签名都没有效。WAF规则应该是通用的并且能够检测攻击的任何变种，如SQL注入攻击。

基于会话的保护：HTTP存在的最大缺点在于缺乏内置的可靠会话机制，WAF必须补充应用程序会话管理的功能并保护它免受基于会话和超时的攻击。

允许细粒度政策管理。应该对很少部分的应用程序执行例外处理，否则，可能造成安全漏洞。(et)