关注五大功能 选择更适用的WAF产品

安全 应用安全
WAF产品到底具备哪些功能才能满足国内客户对Web服务器防护的需求?事实上,无论是国内还是国外的WAF产品,功能的诉求点概括起来不外乎五个方面。

在互联网应用高速发展的同时,承载Web信息系统的Web服务器也面临着巨大安全挑战。因此,针对Web应用层的防御产品——WAF(Web Application Firewall,Web应用防火墙)产品已经成为构建客户网站安全解决方案的首要选择。

根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)的统计报告,2011年境内被篡改网站数量多达 36612 个,其中有不少是.com和.com.cn的域名类网站,甚至有一些.gov.cn域名类网站,网站的安全形势十分严峻。

WAF这一防御系统能够保护各网站Web服务器免受应用级入侵,它弥补了防火墙、IPS这类安全设备对Web应用攻击防护能力不足的问题。但是,市场上的WAF产品很多,WAF产品到底具备哪些功能才能满足国内客户对Web服务器防护的需求?客户会陷入功能、性能、易用性的选择性困惑中。事实上,无论是国内还是国外的WAF产品,除了HTTP协议吞吐能力一般必须达到200M至8G之间的最基本的性能要求之外,功能的诉求点概括起来不外乎五个方面,如图所示:

首先,WAF产品应该具有Web非授权访问的防护功能。这类攻击会在客户端毫不知情的情况下,窃取客户端或者网站上含有敏感信息的文件,譬如Cookie文件,通过盗用这些文件,对一些网站进行未授权情况下的行为操作,譬如转账等行为,因此,针对这类的防护,需要特别留意。另外,WAF产品必须要具备针对跨站请求伪造(Cross-site request forgery,CSRF)攻击的防护功能。

其次,WAF产品应该具备对Web攻击的防护功能。这类攻击主要包含了SQL注入攻击和XSS跨站攻击。一般来说SQL注入攻击利用Web应用程序不对输入数据进行检查过滤的缺陷,将恶意的SQL语句注入到后台数据库,达到窃取(篡改)数据,控制服务器的目的。XSS攻击指恶意攻击者往Web页面里插入恶意代码,当受害者浏览该Web页面时,嵌入其中的代码会被受害者的Web客户端执行,达到恶意攻击的目的。另外,WAF产品还应该具备对应用层DoS攻击的防护能力,譬如目前最常见就是HTTP Flood攻击(如:CC攻击),这是WAF产品较高的技术准入门槛。

第三,WAF产品应该具备Web恶意代码的防护功能。譬如,WebShell就是一个ASP或PHP木马后门,攻击者在入侵网站后,常常将这些木马后门文件放置在Web服务器的站点目录中,与正常的页面文件混在一起,这就要求WAF产品能准确识别和防护。另外,还有对网页挂马的防护,一般这类攻击的主要目的是让用户将木马下载到本地,并进一步执行,从而使用户电脑遭到攻击和控制,最终目的是盗取用户的敏感信息,如各类账号、密码,因此这类功能也是WAF产品需要具备的基础功能。

第四,WAF产品应该具备基本的应用交付能力。应用交付是指应用交付网络(Application Delivery Networking,ADN),它借助WAF产品对网络进行优化,确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。通常情况下,多服务器负载均衡是WAF产品常见的应用交付形态。

最后,WAF产品应该具备Web应用合规功能。应用合规是指客户端或者Web服务器所做的各类行为符合用户设置的规定要求,譬如基于URL的应用层访问控制和HTTP请求的合规性检查,都属于Web应用合规所强调的功能。在国际上PCI-DSS标准、国内相关部门的合规规章制度要求下,尤其是,企业或政府机构中遵从的公安部等级保护的要求下,WAF产品的应用合规已经成为客户十分重视的基础功能。

 

责任编辑:守望幸福 来源: 51CTO.com
相关推荐

2013-01-21 09:38:47

交换机交换技术网络设备

2011-05-13 17:24:46

金山Android版

2014-02-18 09:42:34

云存储公有云混合云

2010-12-16 20:54:07

Windows Azu

2023-02-19 15:20:19

2013-09-12 13:42:48

企业邮箱高效办公

2016-08-02 13:38:31

2009-07-01 09:41:00

无线路由器固件番茄固件

2010-06-10 22:25:37

2013-07-16 09:45:53

Android 5.0创新

2018-10-06 19:10:26

技术项目云计算

2018-04-03 12:26:14

2017-02-13 10:46:01

2021-04-10 15:34:09

LinuxLinux好处

2011-09-20 11:06:26

网易邮箱极速4.0

2011-12-24 22:08:51

Siri

2013-04-11 09:56:07

2012-04-24 18:27:18

2018-03-16 15:16:46

2016-02-26 20:57:14

物联网视频云存储华为
点赞
收藏

51CTO技术栈公众号