日期:2018-07-04 点击: 关键词:web应用防火墙
1、Web应用发展太快种类太多。
web应用防火墙
今天,几乎每家公司都有内部或定制Web应用,用不同的编程语言、框架和平台开发。90年代的CGI脚本搭配使用第三方API和Web服务的复杂AJAXWeb应用的情况也不少见。另外,Web开发者几乎每天都要升级更新他们的应用来适应业务需求。很明显,这么一个动态的多样化的环境,即使最好的WAF加上最有能力的工程师,也很难保护周全。
2、业务优先级压过网络安全。
WAF误封合法网站用户的情况几乎无法避免。通常,在第一起某客户因无法享受服务怒而转投竞争对手的事件进入到管理层视线之后,WAF就绝对会被设置成只检测不动作模式了(至少要到下一次质量体系评定审计)。
3、无力防护高级Web攻击。
从设计上,WAF就不能防护未知应用逻辑漏洞,或者需要对应用业务逻辑有着透彻了解的漏洞。很少有创新者会尝试使用结合了IP信誉、机器学习和行为检测白名单的增量式规则集来防护此类漏洞。这些东西都需要经过复杂而漫长的学习周期,而且还没那么靠得住。
企业在考虑Web应用防火墙时,应考虑平台(设备、应用交付控制器组件、云服务)、部署和管理的简易性、保护功能,以及与企业已有的动态应用安全扫描器的集成。例如,那些已经被扫描器确认的漏洞是不是能够由Web应用防火墙生成真正实用的特征签名。
除了安全效率,成本也是一个需考虑的重要因素,当然,Web应用防火墙作为独立的一层安全方案,与其它技术相比,成本并非决定性因素。还有,还要考虑正常运行时间、弹性、受保护资产的危险程度、收入与风险的衡量标准等都是购买时需要考虑的因素。
由于每个企业都有不同的安全需要,因而定制应用程序的防御使其匹配具体的业务环境也很重要。所以,建议企业确保其Web应用防火墙包含一种学习引擎特性,还要能够使返回的虚假情报最少化,对应用程序的会话管理进行补充,保护应用程序使其免受基于会话的攻击。最好能够与已有的企业系统相集成,并且不会影响已有基础架构的性能,记录所有应用程序、用户、威胁的通信,以便于日后的分析和取证。