Web应用防火墙会使企业安全策略复杂化吗?

日期: 2011-02-27 作者:Kevin Beaver翻译:潘天禄 来源:TechTarget中国 英文

尽管有很多媒体都有关于使用web应用防火墙的报道,但是我们必须了解这些设备只是解决企业网络安全问题的一部分。即使如此,用户还必须知道web应用防火墙问题大量存在着。   一直以来,管理层都有一个误解,他们认为只要有防火墙,网络就会正常。而且经销商会更加误导这种错误的理解,他们推崇web应用防火墙作为最佳解决方案——同时可以实现PCI DSS的需求。

实际上,和其他周边-中央安全设备一样,如果web应用防火墙没有合理地设置来保护所需的一切的话,包括外部和局域网上—–他们很可能会创建错误的安全检测。   web应用防火墙可以保证基于Web的恶意软件不踏足你的企业内部。它也可以……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

尽管有很多媒体都有关于使用web应用防火墙的报道,但是我们必须了解这些设备只是解决企业网络安全问题的一部分。即使如此,用户还必须知道web应用防火墙问题大量存在着。

  一直以来,管理层都有一个误解,他们认为只要有防火墙,网络就会正常。而且经销商会更加误导这种错误的理解,他们推崇web应用防火墙作为最佳解决方案——同时可以实现PCI DSS的需求。实际上,和其他周边-中央安全设备一样,如果web应用防火墙没有合理地设置来保护所需的一切的话,包括外部和局域网上-----他们很可能会创建错误的安全检测。

  web应用防火墙可以保证基于Web的恶意软件不踏足你的企业内部。它也可以阻止黑客利用漏洞进入OSI第7层,反过来说,它可以防止进一步的侵入。然而,对于web应用防火墙还存在一些问题。

  使用web应用防火墙的问题

  WAF最显著的问题是它不能阻止某些必须防范的攻击。WAFs声称可以通过渗透测试工具来检测攻击,如用Metasploit来获取一台未打补丁的web服务器的远程命令提示符或者轻松下载编译开发代码来触发OpenSSL缓冲溢出区。其实这也未必---特别是当攻击通过SSL实现时。

  WAF也会被误用来解决已知的安全问题,虽然他们不能真正的解决。比如,我最近遇到的情况,有人想部署WAF来解决隐码攻击。短期内这没什么,但依靠虚拟补丁并不能真正修复。事实上,这种做法会掩盖问题,久而久之导致更大的安全隐患。

  除了web应用防火墙还有其他选择吗?

  如果你考虑在你的环境中添加WAF,请首先考虑你的现有设备。使用另一个物理设备可能会增添复杂性,而复杂性是安全的天敌。许多基础防火墙都有HTTP检测功能。找找看你有没有像WAF一样的功能。我看过类似的很多案例,这些设备本来就有WAF功能,而用户却不知道。当然把WAF功能作为单独模块添加到现存的防火墙中也是有可能的。

  使用web应用防火墙的方法

  只是开启WAF功能并不能保护你所有的网络。为了最优化你的配置,你必须清楚你运行的基于Web的系统平台(包括其他人管理的系统)。你还要了解你Web应用程序上的业务逻辑。白名单和行为分析技术发现某些WAFs适合创建具体的应用信息,但是这个过程会很复杂。

  一个很好的调整保护的方法是使用Web弱点扫描工具,如AcunetixWeb弱点扫描器或WebInspect,然后设置测试用例,包括用WAF保护和不用WAF保护。一旦一切设置完成,最好在通过自动扫描和手动分析来建立全面的Web弱点评估系统。

  总之,保持简单是很重要的。这意味着在你的现存防火墙上使用WAF控制,或者需要浪费时间在很多不同的经销商上,看谁的方案能最好的满足你和公司的需求。或者根本不需要WAF-----至少从目前来看是这样的。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

相关推荐