在适当的位置安装Web应用防火墙意味着可以拥有一个缓冲时间来根据自己的计划来修补受到的攻击,这和匆忙去修改导致应用停止的攻击或者为开发人员和测试人员遇到的紧急情况支付额外的费用是不同的。
“那是对投资最实际的回报”,Imperva 公司的产品市场部负责人Mark Kraynak这样说到。Mark Kraynak同时也为Web应用安全协会最近发布的Web应用防火墙评估标准做出了很大的贡献。
作为众多防火墙的一种,协会给了Web应用防火墙是这样的定义“位于Web客户端和Web服务器端之间,根据安全策略来解析来自OSI模型中第七层应用层的攻击信息的一种中间设备”。Web应用防火墙可以保护Web服务器免受攻击的安全设备。
Ivan Ristic,伦敦一家名为Thinking Stone Web应用安全公司的创始人,同时也是Web应用防火墙评估标准项目的负责人,他说到“WAFEC项目的目标是帮助公司、组织来评估Web应用防火墙”。
根据协会的说明,WAF并不需要源代码的改造。WAF可以使用以代理为基础的框架,还可以使用以包检测为基础的框架或者两者都有。WAFEC并不需要一个特定的框架。
位于加州圣塔克莱拉市的WhiteHat Security公司的首席技术官、创始人兼项目主要负责人Jeremiah Grossman说“项目的目的并不是推崇一些新特性,而是给出一种比较不同防火墙的方法”。文档并不意味着所有的标准都是必须的。公司、组织可以参照这些标准,根据自己的需求来为自己建立更简洁的清单列表。Ristic 说“你不可能实现文档中所列举的一切,很多需求是相互矛盾的,也就是说或者才是正确的选择,而不是全部”。
文档中列举的种类很多,包括部署框架,HTTP和HTML支持,探测技术,保护技术,日志,报表,管理,性能和XML。
WAFs目标是应用层,而不是网络层
Kraynak 说到“WAFs与只关注网络周边的网络防火墙不同,它关注的问题不同但更多。一个标准的网络放火墙不会搜索COOKIE,它不理解URL参数的含义,而这正是另外一个问题”。
Ristic强调了分层安全模式的重要性即在不同的层拥有不同的安全控制。“在适当的位置放置Web应用防火墙,你可以观察、监控并查看攻击的信号。如果没有在应用之前没有设置Web应用防火墙,你就不会知道正在发生什么,你也无法控制正在发生的事情。”
Ristic还说到WAF并不是万能的。“应用需要安全的开始,这是非常困难的。Web应用绝对不会总是100%的安全。我们应该使用安全策略并能实现分层保护。”
Grossman补充道:“我们拥有网络防火墙已经有几十年的历史了,没有人敢声明他们能阻止一切攻击。同样,Web应用防火墙也不可能阻止所有的攻击,仍然需我们人工的去做一些事情。”
WAFs仍不稳固
位于Boston的Yankee公司认为WAF市场已经“成熟”,但并没有得到正确的引导。在2005年,WAF有$40,000,000的市场,并以10%的速度增长。但在过去的五年中,整体的安全市场一直以20%到30%的步伐增长。
Yankee公司预测WAF市场在今后的几年内将被包括现有市场的更大的市场所占据,这个更大的市场包括应用保证平台,此平台将融合WAFs,数据库安全,XML安全网关和应用阻塞管理几个方面。
鉴于公司都在讨论现在他们是否需要WAF, Forrester公司给了三点建议:
1. 计算一下需要保护的资产价值和一个部门预期的花销。
2. 拿到产品的测试版的拷贝,并在测试环境下部署
3. 只在清单上列出满足或超过现在和中间阶段需求的产品
68476636-8002)