為什么要部署Web應用防火墻（WAF）?

作者：IDCBEST來源：天下數(shù)據(jù)2019/5/14 瀏覽次數(shù)：9629

TikTok方案高防CDN套餐香港服務器租用美國服務器租用海外服務器租用 SSL證書云主機云代理

大型的Web應用易受多種攻擊，如SQL注入和跨站腳本攻擊漏洞，由此可以造成宕機時間、效率降低、數(shù)據(jù)失竊、違規(guī)罰款、品牌受損、服務中斷、客戶不滿等。為保護Web應用程序，建議企業(yè)利用Web應用防火墻（WAF）。

Web應用防火墻（WAF）運行在應用層，并且能夠動態(tài)地學習和適應保護，可以與其它安全技術(shù)相集成。下面討論對不同方案的比較和實施建議。

為什么要部署Web應用防火墻?

需考慮的問題

企業(yè)可以將應用交付控制器(ADC)組件、云服務、Web應用防火墻（WAF）作為一種獨立的設備部署在Web服務器上，或部署在其前端，專門對特別的Web應用進行精細保護。其功能包括將已知的攻擊與強化合法通信等安全模式結(jié)合起來，防御Web攻擊并減少虛假情報(也就是那些似是而非的情報)。

總體說來，Web應用程序是攻擊者認為最值得“下手”的攻擊目標，因為這些軟件有足夠的漏洞，因而是進入企業(yè)的最容易的方式。

雖然典型的網(wǎng)絡防火墻位于網(wǎng)絡的外圍，入侵防御系統(tǒng)(IPS)通常并不能理解Web應用協(xié)議邏輯，因而無法完全辨別應用層(即OSI的第七層)上的請求是否正常。

Web應用防火墻（WAF）可以防御IPS無法防御的攻擊，并能夠根據(jù)一套完整的特征查找Web漏洞和攻擊而實施保護，而且還可以檢測惡意的文件上傳。

除了可以在第四層到第七層強化訪問控制策略，防止攻擊者在沒有得到適當?shù)氖跈?quán)時訪問數(shù)據(jù)，Web應用防火墻（WAF）還應當提供外發(fā)數(shù)據(jù)泄露的檢查(例如，非法的文件下載)、過濾敏感信息(例如，信用卡號)，與其它安全標準(例如，PCI DSS)結(jié)合，這有助于防御應用層的DDoS攻擊。

企業(yè)期望從Web應用防火墻（WAF）中得到多少好處依賴于各種因素，其中包括如何配置、調(diào)整以及維護。企業(yè)不能認為正確配置完畢Web應用防火墻（WAF）后就萬事大吉了，而是要求企業(yè)根據(jù)應用需要和網(wǎng)絡自身的通信行為不斷地維護和調(diào)整。

在啟用了必要的策略和特征后，Web應用防火墻（WAF）提供了最精細的Web應用防御。在這點上，它要比入侵防御系統(tǒng)好些。

Web應用防火墻（WAF）部署可以減少企業(yè)掃描漏洞的頻率。此外，Web應用防火墻（WAF）還可以與漏洞掃描器、DDoS保護設備和其它技術(shù)相集成，而且可以給易受攻擊的Web應用程序?qū)嵤┨摂M補丁。

理由

Web應用程序的滋長導致Web服務器上可被利用的漏洞日益增多，再加上由此導致的破壞成本越來越高昂，且保護許多面向互聯(lián)網(wǎng)資產(chǎn)的相對有效性，企業(yè)必須考慮部署Web應用。

特別是，適合采用Web應用防火墻（WAF）的企業(yè)往往擁有面向公眾的Web站點，或擁有服務于其客戶或合作伙伴的網(wǎng)站。如果企業(yè)的關(guān)鍵數(shù)據(jù)位于Web應用程序之后，Web應用防火墻（WAF）顯得尤為重要。

同樣，對于銀行、電子商務零售商、保險公司以及使用互聯(lián)網(wǎng)作為主要服務供應商的其它企業(yè)，Web應用防火墻（WAF）更為重要。由于意識形態(tài)或經(jīng)濟動機引起的攻擊是安全事件的主要原因，所以每個企業(yè)都面臨著高風險。如果能夠正確部署Web應用防火墻（WAF），它就能夠挫敗應用層不斷增加的攻擊，同時可以為合法用戶保留應用程序的訪問。

企業(yè)在考慮Web應用防火墻（WAF）時，應考慮平臺(設備、應用交付控制器組件、云服務)、部署和管理的簡易性、保護功能，以及與企業(yè)已有的動態(tài)應用安全掃描器的集成。例如，那些已經(jīng)被掃描器確認的漏洞是不是能夠由Web應用防火墻（WAF）生成真正實用的特征簽名。

除了安全效率，成本也是一個需考慮的重要因素，當然，Web應用防火墻（WAF）作為獨立的一層安全方案，與其它技術(shù)相比，成本并非決定性因素。還有，還要考慮正常運行時間、彈性、受保護資產(chǎn)的危險程度、收入與風險的衡量標準等都是購買時需要考慮的因素。

由于每個企業(yè)都有不同的安全需要，因而定制應用程序的防御使其匹配具體的業(yè)務環(huán)境也很重要。所以，建議企業(yè)確保其Web應用防火墻（WAF）包含一種學習引擎特性，還要能夠使返回的虛假情報最少化，對應用程序的會話管理進行補充，保護應用程序使其免受基于會話的攻擊。最好能夠與已有的企業(yè)系統(tǒng)相集成，并且不會影響已有基礎架構(gòu)的性能，記錄所有應用程序、用戶、威脅的通信，以便于日后的分析和取證。

天下數(shù)據(jù)最新推出的Web應用防火墻云WAF服務是一款專業(yè)應用安全防護系統(tǒng)，有效防御SQL注入、XSS跨站腳本、后門上傳、非授權(quán)訪問等各種常見Web攻擊。詳詢天下數(shù)據(jù)客服400-6388-808。

本文鏈接：http://m.51huadong.com/cloundnews/11003334.html