web防火墻功能有哪些呢
web防火墻怎么樣為客戶(hù)提高防護(hù)呢?都有些什么功能?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的web防火墻功能介紹!希望對(duì)你有幫助!
web防火墻功能介紹一:
首先可以分析WEB應(yīng)用的特點(diǎn)、類(lèi)型,不同的web應(yīng)用,安全關(guān)注的側(cè)重點(diǎn)是不同的。
然后綜述一下當(dāng)前各類(lèi)網(wǎng)絡(luò)防火防火墻的特性,并加以對(duì)比,發(fā)現(xiàn)各自的長(zhǎng)處。
第三分析這些成型的防火墻在應(yīng)對(duì)你的WEB應(yīng)用方面存在哪些不足。
然后提出自己的設(shè)計(jì)思路以及完成防火墻的實(shí)際效果。
web防火墻功能介紹二:
一直以來(lái),管理層都有一個(gè)誤解,他們認(rèn)為只要有防火墻,網(wǎng)絡(luò)就會(huì)正常。而且經(jīng)銷(xiāo)商會(huì)更加誤導(dǎo)這種錯(cuò)誤的理解,他們推崇Web應(yīng)用防火墻作為最佳解決方案——同時(shí)可以實(shí)現(xiàn)PCI DSS的需求。實(shí)際上,和其他周邊-中央安全設(shè)備一樣,如果Web應(yīng)用防火墻沒(méi)有合理地設(shè)置來(lái)保護(hù)所需的一切的話(huà),包括外部和局域網(wǎng)上-----他們很可能會(huì)創(chuàng)建錯(cuò)誤的安全檢測(cè)。Web應(yīng)用防火墻可以保證基于Web的惡意軟件不踏足你的企業(yè)內(nèi)部。它也可以阻止黑客利用漏洞進(jìn)入OSI第7層,反過(guò)來(lái)說(shuō),它可以防止進(jìn)一步的侵入。
然而,對(duì)于Web應(yīng)用防火墻還存在一些問(wèn)題。使用Web應(yīng)用防火墻的問(wèn)題WAF最顯著的問(wèn)題是它不能阻止某些必須防范的攻擊。WAFs聲稱(chēng)可以通過(guò)滲透測(cè)試工具來(lái)檢測(cè)攻擊,如用Metasploit來(lái)獲取一臺(tái)未打補(bǔ)丁的web服務(wù)器的遠(yuǎn)程命令提示符或者輕松下載編譯開(kāi)發(fā)代碼來(lái)觸發(fā)OpenSSL緩沖溢出區(qū)。
其實(shí)這也未必---特別是當(dāng)攻擊通過(guò)SSL實(shí)現(xiàn)時(shí)。WAF也會(huì)被誤用來(lái)解決已知的安全問(wèn)題,雖然他們不能真正的解決。比如,我最近遇到的情況,有人想部署WAF來(lái)解決隱碼攻擊。短期內(nèi)這沒(méi)什么,但依靠虛擬補(bǔ)丁并不能真正修復(fù)。事實(shí)上,這種做法會(huì)掩蓋問(wèn)題,久而久之導(dǎo)致更大的安全隱患。除了Web應(yīng)用防火墻還有其他選擇嗎?如果你考慮在你的環(huán)境中添加WAF,請(qǐng)首先考慮你的現(xiàn)有設(shè)備。
使用另一個(gè)物理設(shè)備可能會(huì)增添復(fù)雜性,而復(fù)雜性是安全的天敵。許多基礎(chǔ)防火墻都有HTTP檢測(cè)功能。找找看你有沒(méi)有像WAF一樣的功能。我看過(guò)類(lèi)似的很多案例,這些設(shè)備本來(lái)就有WAF功能,而用戶(hù)卻不知道。
當(dāng)然把WAF功能作為單獨(dú)模塊添加到現(xiàn)存的防火墻中也是有可能的。使用Web應(yīng)用防火墻的方法只是開(kāi)啟WAF功能并不能保護(hù)你所有的網(wǎng)絡(luò)。為了最優(yōu)化你的配置,你必須清楚你運(yùn)行的基于Web的系統(tǒng)平臺(tái)(包括其他人管理的系統(tǒng))。你還要了解你Web應(yīng)用程序上的業(yè)務(wù)邏輯。白名單和行為分析技術(shù)發(fā)現(xiàn)某些WAFs適合創(chuàng)建具體的應(yīng)用信息,但是這個(gè)過(guò)程會(huì)很復(fù)雜。一個(gè)很好的調(diào)整保護(hù)的方法是使用Web弱點(diǎn)掃描工具,如AcunetixWeb弱點(diǎn)掃描器或WebInspect,然后設(shè)置測(cè)試用例,包括用WAF保護(hù)和不用WAF保護(hù)。一旦一切設(shè)置完成,最好在通過(guò)自動(dòng)掃描和手動(dòng)分析來(lái)建立全面的Web弱點(diǎn)評(píng)估系統(tǒng)??傊?,保持簡(jiǎn)單是很重要的。這意味著在你的現(xiàn)存防火墻上使用WAF控制,或者需要浪費(fèi)時(shí)間在很多不同的經(jīng)銷(xiāo)商上,看誰(shuí)的方案能最好的滿(mǎn)足你和公司的需求。
web防火墻功能介紹三:
目前,企業(yè)有多種途徑進(jìn)行規(guī)則遵從,如果執(zhí)行恰當(dāng)?shù)脑?huà),任何一種選擇都可以幫助企業(yè)達(dá)到規(guī)則遵從要求,而且能夠提高Web應(yīng)用程序的安全性。
當(dāng)然,在應(yīng)用程序安全方面并不存在萬(wàn)全之策。除非你很幸運(yùn),既能進(jìn)行代碼審查又能運(yùn)行WAF,不過(guò)這樣做依然需要人工去完成。企業(yè)是否有員工可以完成以下工作:配置和維護(hù)應(yīng)用層防火墻?進(jìn)行代碼審查?使用第三方漏洞監(jiān)測(cè)工具,并處理在審查中所發(fā)現(xiàn)的問(wèn)題? 當(dāng)然,這個(gè)決定還要考慮架構(gòu),以及WAF與現(xiàn)有系統(tǒng)及設(shè)備的兼容性如何。其中一個(gè)需要考慮的因素(尤其是對(duì)那些傾向于使用第三方代碼審查的企業(yè)而言)是企業(yè)對(duì)其代碼狀態(tài)的滿(mǎn)意度如何。隨著時(shí)間的推移,支付卡應(yīng)用程序的開(kāi)發(fā)可能會(huì)包含來(lái)歷不明以及目的不明確的遺留代碼。安全人員可能不想冒破壞任務(wù)優(yōu)先應(yīng)用程序的風(fēng)險(xiǎn)而刪除這些遺留代碼。在應(yīng)用程序前面放置一個(gè)防火墻可能會(huì)比在代碼審查中重寫(xiě)程序成本要低,或者破壞性要小。
另一種方法是用威脅模型(threat modeling)來(lái)識(shí)別和評(píng)估應(yīng)用程序的風(fēng)險(xiǎn)。我們以三大關(guān)鍵風(fēng)險(xiǎn)為例,并確定哪些方法能最好地處理它們:代碼審查、漏洞評(píng)估、WAF產(chǎn)品。但是請(qǐng)注意,部署WAF并不能減少你的安全軟件開(kāi)發(fā)過(guò)程需求(要求6.3)!而應(yīng)用程序漏洞評(píng)估和代碼審查卻都能加強(qiáng)開(kāi)發(fā)和質(zhì)量保證周期。 對(duì)于小型商業(yè)網(wǎng)站來(lái)說(shuō),上述選擇過(guò)于昂貴。所以,我建議把支付任務(wù)外包給第三方支付服務(wù)供應(yīng)商,不必?fù)?dān)心所有昂貴的安全要求,包括Web安全、以及實(shí)際的PCI DSS遵從等。
只要你不處理任何卡支付,你就不需要遵從PCI DSS標(biāo)準(zhǔn)。 規(guī)則遵從與安全的權(quán)衡 不管你選擇什么方式,許多人都會(huì)爭(zhēng)論P(yáng)CI遵從是否同可接受的安全水平一致。負(fù)責(zé)安全的人員需要了解上述每種選擇的局限性和能力。
源代碼分析本身可以進(jìn)行規(guī)則遵從,但它不是保障應(yīng)用程序安全的好辦法。事實(shí)上,沒(méi)有一種方法能完全保證所有的要求。PCI DSS側(cè)重于與PCI相關(guān)的支付卡應(yīng)用程序和組件,但它并不是以整體方式查看企業(yè)及其全部網(wǎng)絡(luò)操作,而需要在整個(gè)企業(yè)中全面部署安全措施。 即使有了PCI要求6.6信息補(bǔ)充的澄清說(shuō)明,許多商戶(hù)還是不確定哪些行動(dòng)能夠很好地進(jìn)行規(guī)則遵從。這就導(dǎo)致了典型的規(guī)則遵從困境(compliance dilemma)。如果你要公布一個(gè)可以增加安全性的標(biāo)準(zhǔn),你就必須回答這個(gè)問(wèn)題:“我必須做哪些工作來(lái)滿(mǎn)足這個(gè)標(biāo)準(zhǔn)?”而該問(wèn)題又會(huì)迅速演變?yōu)椋?ldquo;滿(mǎn)足標(biāo)準(zhǔn)的最小工作量是多少?”如果你只是以“選中復(fù)選框并繼續(xù)”的觀點(diǎn)來(lái)看待PCI規(guī)則遵從的話(huà),那么WAF將是快速、簡(jiǎn)單的選擇。
然而,PCI DSS的確給企業(yè)提供了創(chuàng)建安全架構(gòu)和業(yè)務(wù)模型的基礎(chǔ)。它還讓企業(yè)高層關(guān)注安全問(wèn)題。如果你關(guān)心安全,那么遵從PCI要求只是順理成章的事情。在你的開(kāi)發(fā)人員能夠安全編程之前,多層次的安全方案將永遠(yuǎn)是減輕風(fēng)險(xiǎn)的最好方法,因?yàn)樵谶@種情況下,安全方案包括了代碼審查、漏洞評(píng)估和WAF產(chǎn)品。一旦漏洞掃描的結(jié)果整合到WAF的配置中,WAF將更加有效。這樣做將會(huì)為程序提供保護(hù),同時(shí)對(duì)源代碼進(jìn)行分析和修正,以消除漏洞。 在PCI審查之后,漏洞還會(huì)不會(huì)暴露出來(lái)?當(dāng)然會(huì),但是不會(huì)那么多,也可能不會(huì)那么嚴(yán)重。降低成本和商業(yè)因素可能導(dǎo)致低水平的評(píng)估和保護(hù),但在真實(shí)的商業(yè)世界中,安全必須引起人們的重視。
看了“web防火墻功能有哪些呢 ”文章的還看了:
4.IPS web應(yīng)用防火墻如何防止cookie欺騙
7.防火墻功能是什么