怎么样部署web应用防火墙

发布时间:2016-12-22 12:13

有时候想要部署一下web的应用防火墙!需要我们怎么样去部署呢?下面由小编给你做出详细的部署web应用防火墙方法介绍!希望对你有帮助!

怎么样部署web应用防火墙

部署web应用防火墙方法一

开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织,OWASP建议在选择Web应用防火墙时应该参照一下标准:

很少出现误报

(例如,不应该拒绝授权请求等)

默认防御的强度

容易操作模式

·可以预防的漏洞类型

·能够限制个人用户只能在当前对话中所看到的内容

·配置预防特定问题的能力

如紧急补丁等

·WAF提供形式:软件与硬件(一般偏好硬件)

Web应用防火墙主要需要考虑的问题

·WAF与源代码扫描的比较

WAF能够实时保护应用程序,而不是修复漏洞,这在过去一直受到大家的批评。有些供应商甚至避免使用“WAF”字眼,而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而,现在越来越普遍的共识是,只有通过正确的部署,WAF才可以作为多层安全模型中重要的组成部分,因为WAF可以在修复应用程序漏洞的时候提供保护。

笔者曾与安全设备提供商交流中表示,应用程序中存在太多漏洞,根本来不及修复代码本身,并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中,这样就能够减轻目前的状况并能过后再修复问题。

另一方面,Gartner公司建议客户考虑采用消除应用程序漏洞的技术,“在你花钱购买设备之前,应该考虑一下,能否通过更强大的系统开发生命周期来消除漏洞,或者通过使用其他工具,如源代码扫描器。”

对于大多数企业而言,采用其中任意一种方法就足够了,虽然对于应用安全需求很好的金融或内源用户而言,笔者认为综合的安全保护措施不失为更好的选择。

·硬件设备与软件比较

Jarden Consumer Solutions公司的全球网络服务和运作IT主管Jack Nelson表示,他们选择硬件安全网关(集成Web应用安全技术)的主要原因在于,能够有效的对这两者进行配置。Jarden公司有个没有配备IT人员的远程办公室,因此Nelson使用基于软件的版本解决方案,这样办公室管理人员就可以在现有WAF失效的时候轻松将任何电脑配置为WAF。“这比购买第二个防火墙更灵活,这样比快速反应维护费要便宜,”他表示,这种界面非常简单并且不需要防火墙专家来配置,另外授权是基于密钥的,这样比较适用于远程。

部署web应用防火墙方法二

可管理性 你需要执行的第一个对比测试是可管理性。如果Web应用防火墙难以管理,并不提供你需要的政策灵活性,稍后你将为此付出代价。虽然当你在谈论定制应用时,即插即用设备的要求可能有点太过分,但初始部署不应太具挑战性。

你会想知道能否通过努力让Web应用防火墙来保护那些不需要不断监管和微调的应用程序。 可读警报和报告是Web应用防火墙应该具备的必要功能,这些功能能够为你提供关于Web应用防火墙的精准信息,并在出现问题时,提供概述性的威胁描述。评估的互补方面是Web应用防火墙的可用性,这包括提供清晰威胁信息的GUI,能够向下挖取和审查警报的详细信息。

理想情况下,你还能够生成与配置和定制化报告,并能轻松地调整安全策略。 当你在处理分布在世界各地的Web应用基础设施时,中央管理也很有帮助。你想要管理不同的WAF设备,而不需要分别连接到每个设备,这同样也使企业能够横跨整个企业范围建立、维护和执行统一的安全政策。

性能 当涉及Web应用防火墙时,性能是一个关键因素。Web应用防火墙的部署应该不能影响现有基础设施的性能,包括应用程序和网络设备等。这意味着即使Web应用防火墙作为应用程序的安全代理,该应用程序应该继续能够传输数据,而不会遇到请求积压或者重负载的情况,该应用程序应该像没有Web应用防火墙一样运行。

从最终用户的角度来看,Web应用防火墙应该是完全透明的。用户不应该遇到任何明显的延迟或者服务阻碍。 为了避免性能降级,你要确保Web应用防火墙的性能符合或者超过应用程序基础设施的其他因素。

最小误报 误报是一个很重要的方面。你不会希望看到Web应用防火墙对于每个传入的请求都发出警报。这就像“狼来了”一样的道理,当恶意请求真正来到时,你可能会因为误报大幅增加而忽视这个恶意请求。如果你是在阻止模式,这个问题将更加严重。你想做的最后一件事情将是阻止合法流量,这最终将破坏部署在线应用程序的意义。请确保你正在评估的Web应用防火墙具有最小的误报率,只有为数不多的几个。

怎么样部署web应用防火墙的评论条评论