Web2.0的广泛采用,使越来越多的企业网站把用户生成内容、在线直播、交互式内容与传统的图片、文本混合在一起。但Web2.0对企业安全的影响也是巨大的。许多Web2.0网站使用来自多个源的不同元素和功能的混搭,因而几乎无法验证其代码。此外,随着Web2.0网站的成熟且变得越来越动态化,企业越来越难以确认正常的通信模式(可用作设置使用策略或防火墙规则的标准),由此导致的结果是,网站容易遭受攻击。
Web应用防火墙就是为应对这种威胁而产生的。它不像传统的防火墙那样保护整个网络,而是仅仅保护Web服务器的安全。Web应用防火墙位于Web客户端和Web服务器之间,它可以监视应用程序的每一个请求和响应。它查找特定的“攻击特征”,用以识别进入的具体的攻击,同时监测违反以前正常通信行为的异常行为。
虽然Web应用防火墙对于任何Web应用程序安全都极为重要,但只有配置正确才能真正有效。多数问题是由错误的初始配置而不是操作引起的,但只要安全管理者采取几个简单步骤就可以避免很多常见问题。
协调Web应用程序防火墙配置与Web更新周期的关系
配置Web应用防火墙与更新Web应用程序的周期结合起来可以防止许多重大问题。配置Web应用防火墙的最佳时间是更新网站或打补丁的时候。如果这两种操作不同时进行,就会有部分或全部应用程序不受保护。此时,Web应用防火墙会把部分应用程序识别为欺诈元素并阻止它。对于该网站的用户来说,其后果很严重,他们将经历诸如消息不能上传、内容无法访问等问题。
检查第三方代码的漏洞和缺陷
混搭、聚合等是Web2.0的本质,但是如果这些功能有漏洞,就会导致整个Web的基础架构面临遭受攻击的危险。在网站前面放置Web应用防火墙可以保护网站,但要实现更强健的安全,就必须检查Web的安全漏洞。这种评估可以在危险发生之前提供网站将要发生问题的详细信息。
评估工具有专用的,也有非专用的。虽然这些评估工具都可以扫描漏洞,但最合适的工具是由它与Web应用防火墙的兼容性决定的。评估工具有人工和自动两种版本。人工版是由外部的机构或顾问实施的,并且要满足PCI DSS的要求,而自动评估是由外部的扫描软件处理的。为稳妥起见,既运行人工测试又执行自动测试是非常明智的。把漏洞检查的结果反馈给厂商也很值得;厂商们很愿意知道自己需要在哪里做出改进。
使用自带加速功能的Web应用防火墙
IT部门经常担心Web应用防火墙意味着延迟,因而会影响到用户体验和工作效率。如果这是一种严重问题,企业不妨选择具有加速功能的Web应用防火墙,从而减少Web的延迟并提高整体的通信性能。
别忘了保护好“后门”
在利用Web应用防火墙保护“前门”(或称应用程序)后,IT部门往往会忽略“后门”(其中包括数据库和后端应用程序)的保护。如果Web应用防火墙遗漏了什么,那么整个网站都易遭受攻击。要想保护好这两个“门”,企业应当借助于数据库活动监视产品、正确的Web应用防火墙配置和漏洞评估手段。
这种做法可能代价较高,但全方位的解决方案可以在问题带来真正的损害之前就解决所有问题。与重大Web事件所带来的财务、运营、声誉等成本相比,上述方法的成本简直微不足道。