如何评估、购买和部署Web应用防火墙

　　咨询机构Security Curve创建人Diana Kelley说：“尽管一些传统的防火墙提供某种程度的应用意识，但它不具有WAF提供的颗粒度和专一性。”例如，WAF可以检测应用程序的行为是否像它设计的那样，WAF使用户能够编写特殊的规则来防止这些攻击再次发生。

　　WAF也与入侵检测系统不同。Gartner分析师Greg Young说：“它是一种非常不同的技术——它不是基于特征，它是基于行为的，它防止那些用户无意中制造的漏洞被利用。”

　　当前，推动WAF发展的主要因素之一是支付卡行业数据安全标准(PCI DSS)。这项标准规定了两种取得遵从性的途径：WAF和代码审查。但是，另一个推动因素是人们越来越意识到攻击目标由网络转向应用。WhiteHat Security进行的一项研究发现，82%的网站至少存在一个程度为高风险、危急或严重的问题。这项研究从2006年1月到2008年12月对877个网络进行了调查。

　　WAF的主要属性

　　Web 应用防火墙市场仍没有得到明确的定义，许多不同的产品都归在了WAF的名下。Burton Group分析师Ramon Krikken说：“许多产品提供的功能超出了人们对防火墙的原有认识。此外，新厂商通过将已有的非WAF扩展为WAF集成产品，开始进入这个市场细分。”

　　根据研究咨询机构Xiom创建人Ofer Shezaf提供的清单，我们给出了以下WAF应当具备的属性：

　　※ 深入了解HTTP。WAF若要有效就必须完全解析和分析HTTP。

　　※ 提供正面的安全模型。正面的安全政策只允许被认为合法的传输流通过。这种有时叫做“白名单”的特性为应用提供外部输入确认保护。

　　※ 应用层规则。由于高性能成本，正面安全模型应当利用基于特征的系统来加强。但是由于Web应用是定制编码的，针对已知安全漏洞的传统特征不再有效。WAF规则应当普遍适用，能够检测攻击(如SQL注入)的变种。

　　※ 基于会话的保护。HTTP最大的缺点之一就是缺少内建的可靠会话机制。WAF必须弥补应用会话管理的不足，保护它免受基于会话的和长时间的攻击。

　　※ 提供细粒度的政策管理。例外应当只适用于应用的很小部分。否则，假报警将造成巨大的安全缝隙。

　　选择Web应用防火墙的标准

　　一个关注提高应用软件的安全性的开放社区――开放Web应用安全项目(OWASP)建议使用以下选择WAF的标准：

　　※ 非常少的误报警(即，永远应当允许授权的请求)。

　　※ 缺省(出厂配置)防御措施的强度。

　　※ 高性能和易于学习的模式。

　　※ 可以防御的安全漏洞的类型。

　　※ 将不同用户限制在他们在当前会话中所看到的东西的能力。

　　※ 配置防止特殊问题(如紧急补丁)的能力。

　　※ 形式：最好是硬件产品。

　　选择Web应用防火墙的首要考虑因素

　　WAF病毒源代码扫描。过去，实时保护应用(而不是修补它们)的WAF引起了人们的批评。Kelley说，一些厂商对“WAF”一词怀有戒心，更愿意使用“应用意识”或“应用层智能性”来表示。然而今天，越来越多的人似乎认可如果WAF能正确使用，它可以成为分层安全模型的重要组成部分，在修补应用安全漏洞时提供保护。

　　正如WhiteHat Security创建人Jeremiah Grossman在博客中所说，现在有太多的漏洞，以致无法及时在代码中修补它们。他呼吁通过评估发现的安全漏洞作为定制规则输出到WAF中，提供减轻当前问题和以后修补问题根源的选择。

　　另一方面，Gartner建议客户考虑采用清除应用安全漏洞的技术。Young说：“在花第一块钱之前，考虑你是否能通过更强壮的系统开发周期和使用像源代码扫描器这类工具来清除安全漏洞。”他说，WAF对于更改困难或不可能更改的应用以及那些经常变化的应用很有用。

　　他说，对于多数公司来说，“选择一种或另一种方法就足以了”，虽然存在很小比例的公司，它们的风险容忍度很低，因此它们愿意同时使用两种方法。

　　硬件专用设备还是软件。对于Jarden Consumer Solutions公司全球网络服务与运营IT主管Jack Nelso来说，选择集成Web智能性技术的Check Point Software Technologies VPN-1/FireWall-1网关的主要理由是它提供两种配置。Jarden拥有没有IT工作人员的远程办公室，因此Nelson采用了基于软件的版本，为办公室经理在已有WAF发生故障时将PC配置为WAF提供方便。他说：“这比购买第二个防火墙更灵活，而且比购买快速响应维护更便宜。”他说，界面非常简单，因此不需要防火墙专家，许可证是基于密钥的，因此你可以远程应用它。

　　Nelson在北美的两个小公办室中采用了Check Point专用设备，因为他发现这种设备可管理性更强，提供的支持更及时。

　　联机还是带外部署。事先决定你是否计划联机部署WAF还是进行带外部署至关重要，因为并不是所有的WAF都支持两种模式。Young说：“我常常看到由具有不同部署模式的产品组成的候选名单，或名单上没有一种产品支持设想的设计。”

　　认识并用好WAF

　　企业需要了解独立与集成产品之间的差异。需要了解将WAF功能集成到已有的应用和网络安全产品中的厂商与那些专业从事应用安全的厂商之间的差别。决定谁更适合你取决于多种因素，包括你已经安装的东西、你需要的安全水平以及你是否愿意使用专用产品还是那些提供多种功能的产品。

　　Krikken指出，关注应用提交的产品必须具有线速度的性能，因此不包含像学习引擎和会话意识等计算密集型能力。他说：“它们局限在黑名单与白名单以及进入/离开检查。”学习引擎使WAF能够学习应用的行为并生成策略建议。会话意识使WAF可以实时建立动态的、基于会话的规则，并把它们用来决定随后的请求是否有效。

　　对于将Check Point用于公司的虚拟专用网和外部Web应用的Nelson来说，重要的是这种产品拥有多种安全组件，而不仅仅是专用防火墙。他说：“我们需要在不牺牲性能和可管理性的情况下，提供整合功能的能力。”

　　而对于使用Breach Security的独立WAF来保护电子商务的汽车零件供应商AutoAnything.com的CTO Parag Patel来说，他采用相反的方式。他说：“一家公司很少能把很多事都做得很好。”

　　不要认为WAF是包治百病的妙方。许多公司为取得PCI遵从性而求助于WAF。可是分析人士警告说不要把WAF视为一种保你万事大吉的技术。

　　Young补充说：“我看到正在发生很多的错误和不应该的花费。人们认为：‘如果我们购买防火墙，审计人员就不会来找麻烦，’但是它在这方面没有好到这种程度。你必须定制你的应用防线来适合你的环境。”

　　眼光放到传统WAF功能范围之外。Krikken说，虽然传统WAF的客户是安全团队，但由于分析特性、一次登录支持以及与Web服务器安全性的集成，许多产品开始变得对更广泛的用户具有吸引力。这正是为何他建议WAF评估应当包括那些负责企业架构、应用提交和软件部署的人员。他说：“这将提高人们对解决方案的安全方面的信心，减少人们对可用性和性能的担心。”

　　事实上，在一家全球能源公司中，在部署SOA后出现了安全服务需要，所以该公司做出了使用WAF的决定。公司的首席架构师决定选择Reactivity XML加速器安全设备。这家公司后来被Cisco公司收购，并改名为ACE WAF。当这家能源公司决定购买一种面向Internet的WAF时，Cisco向它保证：利用ACE可以保护Web应用并同时满足内部SOA需要。

　　考虑WAF提供性能监测。由于WAF能够检测性能问题或应用是否由于断掉的链接而提供错误网页，应用监测成为WAF的一种越来越流行的非传统应用。

　　不要认为它是部署之后就一劳永逸的技术。Krikken说，虽然你可以使用出厂配置的黑名单规则提供基本的安全性，但要做好为几乎所有最简单的Web应用继续投资的准备。他说：“甚至对于规则模板和学习引擎，都常常需要最初的调节和不断的定制，来优化效率和决定误报警。”

　　那家全球能源公司的首席架构师说，他的公司在使用ACE WAF时能够用两个小时配置一个应用。但是，他更喜欢配置像字符过滤这类东西的最佳实践指南，“而不是我们手忙脚乱地来做这些事。”

　　考虑学习引擎特性。有了学习引擎，WAF学习了解应用程序，这样它可以创建甚至执行规则。Krikken说，在非常动态的环境中，WAF最好能警告你注意异常行为而不是阻止它。

　　Patel使用Breach的学习引擎。他说这种引擎用两个月时间描绘Web应用的行为模式。在这段时间里，它标记出不规则的行为，然后他的团队调查这些行为。他说：“你需要WAF帮助你做出正确的决定。”但是，经过一段时间后，Patel需要自动阻止功能。他说：“鉴于我们网站上的流量，WAF识别不规则行为并在它们发生时而不是以后阻止这些企图成为了关键。”

　　例如，WAF现在阻止竞争对手从网站收集产品数据(包括数百万SKU(库存量单位))以及价格信息。Patel说：“如果我们发现有人每周或每月检查数据，这表明竞争情报的巨大损失。”

　　考虑企业级能力。Jarden的Nelson之所以选择Check Point的产品，部分是由于其企业级控制台。这种控制台提供对Jarden的所有防火墙的集中管理。能够将防火墙分类到所谓的“容器”中并在这些容器中应用不同的策略，尤其令他感到满意。

　　而一家营养补品制造商的安全工程师说，他使用的Barracuda系统的巨大优势是可伸缩性。这家公司使用WAF的主要动机是为希望从世界各地访问电子邮件的用户提供安全的Web邮件界面。它还使用WAF防御应用层攻击。

　　这位安全工程师当时希望为用户提供在任何地点都可以访问电子邮件的单一URL，他希望能够在不中断运行的情况下扩展这个系统。由于他不用增加新IP地址就可以添加WAF设备，因此改动对于用户是透明的。他说：“如果它开始变得超载，我们所要做的就是再拿来一台WAF设备，把它装到机架上，将它与原来的设备连接起来，然后我们就得到了两倍的容量。”

　　咨询机构Security Curve创建人Diana Kelley说：“尽管一些传统的防火墙提供某种程度的应用意识，但它不具有WAF提供的颗粒度和专一性。”例如，WAF可以检测应用程序的行为是否像它设计的那样，WAF使用户能够编写特殊的规则来防止这些攻击再次发生。

　　WAF也与入侵检测系统不同。Gartner分析师Greg Young说：“它是一种非常不同的技术——它不是基于特征，它是基于行为的，它防止那些用户无意中制造的漏洞被利用。”

　　当前，推动WAF发展的主要因素之一是支付卡行业数据安全标准(PCI DSS)。这项标准规定了两种取得遵从性的途径：WAF和代码审查。但是，另一个推动因素是人们越来越意识到攻击目标由网络转向应用。WhiteHat Security进行的一项研究发现，82%的网站至少存在一个程度为高风险、危急或严重的问题。这项研究从2006年1月到2008年12月对877个网络进行了调查。

　　WAF的主要属性

　　Web 应用防火墙市场仍没有得到明确的定义，许多不同的产品都归在了WAF的名下。Burton Group分析师Ramon Krikken说：“许多产品提供的功能超出了人们对防火墙的原有认识。此外，新厂商通过将已有的非WAF扩展为WAF集成产品，开始进入这个市场细分。”

　　根据研究咨询机构Xiom创建人Ofer Shezaf提供的清单，我们给出了以下WAF应当具备的属性：

　　※ 深入了解HTTP。WAF若要有效就必须完全解析和分析HTTP。

　　※ 提供正面的安全模型。正面的安全政策只允许被认为合法的传输流通过。这种有时叫做“白名单”的特性为应用提供外部输入确认保护。

　　※ 应用层规则。由于高性能成本，正面安全模型应当利用基于特征的系统来加强。但是由于Web应用是定制编码的，针对已知安全漏洞的传统特征不再有效。WAF规则应当普遍适用，能够检测攻击(如SQL注入)的变种。

　　※ 基于会话的保护。HTTP最大的缺点之一就是缺少内建的可靠会话机制。WAF必须弥补应用会话管理的不足，保护它免受基于会话的和长时间的攻击。

　　※ 提供细粒度的政策管理。例外应当只适用于应用的很小部分。否则，假报警将造成巨大的安全缝隙。

　　选择Web应用防火墙的标准

　　一个关注提高应用软件的安全性的开放社区――开放Web应用安全项目(OWASP)建议使用以下选择WAF的标准：

　　※ 非常少的误报警(即，永远应当允许授权的请求)。

　　※ 缺省(出厂配置)防御措施的强度。

　　※ 高性能和易于学习的模式。

　　※ 可以防御的安全漏洞的类型。

　　※ 将不同用户限制在他们在当前会话中所看到的东西的能力。

　　※ 配置防止特殊问题(如紧急补丁)的能力。

　　※ 形式：最好是硬件产品。

　　选择Web应用防火墙的首要考虑因素

　　WAF病毒源代码扫描。过去，实时保护应用(而不是修补它们)的WAF引起了人们的批评。Kelley说，一些厂商对“WAF”一词怀有戒心，更愿意使用“应用意识”或“应用层智能性”来表示。然而今天，越来越多的人似乎认可如果WAF能正确使用，它可以成为分层安全模型的重要组成部分，在修补应用安全漏洞时提供保护。

　　正如WhiteHat Security创建人Jeremiah Grossman在博客中所说，现在有太多的漏洞，以致无法及时在代码中修补它们。他呼吁通过评估发现的安全漏洞作为定制规则输出到WAF中，提供减轻当前问题和以后修补问题根源的选择。

　　另一方面，Gartner建议客户考虑采用清除应用安全漏洞的技术。Young说：“在花第一块钱之前，考虑你是否能通过更强壮的系统开发周期和使用像源代码扫描器这类工具来清除安全漏洞。”他说，WAF对于更改困难或不可能更改的应用以及那些经常变化的应用很有用。

　　他说，对于多数公司来说，“选择一种或另一种方法就足以了”，虽然存在很小比例的公司，它们的风险容忍度很低，因此它们愿意同时使用两种方法。

　　硬件专用设备还是软件。对于Jarden Consumer Solutions公司全球网络服务与运营IT主管Jack Nelso来说，选择集成Web智能性技术的Check Point Software Technologies VPN-1/FireWall-1网关的主要理由是它提供两种配置。Jarden拥有没有IT工作人员的远程办公室，因此Nelson采用了基于软件的版本，为办公室经理在已有WAF发生故障时将PC配置为WAF提供方便。他说：“这比购买第二个防火墙更灵活，而且比购买快速响应维护更便宜。”他说，界面非常简单，因此不需要防火墙专家，许可证是基于密钥的，因此你可以远程应用它。

　　Nelson在北美的两个小公办室中采用了Check Point专用设备，因为他发现这种设备可管理性更强，提供的支持更及时。

　　联机还是带外部署。事先决定你是否计划联机部署WAF还是进行带外部署至关重要，因为并不是所有的WAF都支持两种模式。Young说：“我常常看到由具有不同部署模式的产品组成的候选名单，或名单上没有一种产品支持设想的设计。”

　　认识并用好WAF

　　企业需要了解独立与集成产品之间的差异。需要了解将WAF功能集成到已有的应用和网络安全产品中的厂商与那些专业从事应用安全的厂商之间的差别。决定谁更适合你取决于多种因素，包括你已经安装的东西、你需要的安全水平以及你是否愿意使用专用产品还是那些提供多种功能的产品。

　　Krikken指出，关注应用提交的产品必须具有线速度的性能，因此不包含像学习引擎和会话意识等计算密集型能力。他说：“它们局限在黑名单与白名单以及进入/离开检查。”学习引擎使WAF能够学习应用的行为并生成策略建议。会话意识使WAF可以实时建立动态的、基于会话的规则，并把它们用来决定随后的请求是否有效。

　　对于将Check Point用于公司的虚拟专用网和外部Web应用的Nelson来说，重要的是这种产品拥有多种安全组件，而不仅仅是专用防火墙。他说：“我们需要在不牺牲性能和可管理性的情况下，提供整合功能的能力。”

　　而对于使用Breach Security的独立WAF来保护电子商务的汽车零件供应商AutoAnything.com的CTO Parag Patel来说，他采用相反的方式。他说：“一家公司很少能把很多事都做得很好。”

　　不要认为WAF是包治百病的妙方。许多公司为取得PCI遵从性而求助于WAF。可是分析人士警告说不要把WAF视为一种保你万事大吉的技术。

　　Young补充说：“我看到正在发生很多的错误和不应该的花费。人们认为：‘如果我们购买防火墙，审计人员就不会来找麻烦，’但是它在这方面没有好到这种程度。你必须定制你的应用防线来适合你的环境。”

　　眼光放到传统WAF功能范围之外。Krikken说，虽然传统WAF的客户是安全团队，但由于分析特性、一次登录支持以及与Web服务器安全性的集成，许多产品开始变得对更广泛的用户具有吸引力。这正是为何他建议WAF评估应当包括那些负责企业架构、应用提交和软件部署的人员。他说：“这将提高人们对解决方案的安全方面的信心，减少人们对可用性和性能的担心。”

　　事实上，在一家全球能源公司中，在部署SOA后出现了安全服务需要，所以该公司做出了使用WAF的决定。公司的首席架构师决定选择Reactivity XML加速器安全设备。这家公司后来被Cisco公司收购，并改名为ACE WAF。当这家能源公司决定购买一种面向Internet的WAF时，Cisco向它保证：利用ACE可以保护Web应用并同时满足内部SOA需要。

　　考虑WAF提供性能监测。由于WAF能够检测性能问题或应用是否由于断掉的链接而提供错误网页，应用监测成为WAF的一种越来越流行的非传统应用。

　　不要认为它是部署之后就一劳永逸的技术。Krikken说，虽然你可以使用出厂配置的黑名单规则提供基本的安全性，但要做好为几乎所有最简单的Web应用继续投资的准备。他说：“甚至对于规则模板和学习引擎，都常常需要最初的调节和不断的定制，来优化效率和决定误报警。”

　　那家全球能源公司的首席架构师说，他的公司在使用ACE WAF时能够用两个小时配置一个应用。但是，他更喜欢配置像字符过滤这类东西的最佳实践指南，“而不是我们手忙脚乱地来做这些事。”

　　考虑学习引擎特性。有了学习引擎，WAF学习了解应用程序，这样它可以创建甚至执行规则。Krikken说，在非常动态的环境中，WAF最好能警告你注意异常行为而不是阻止它。

　　Patel使用Breach的学习引擎。他说这种引擎用两个月时间描绘Web应用的行为模式。在这段时间里，它标记出不规则的行为，然后他的团队调查这些行为。他说：“你需要WAF帮助你做出正确的决定。”但是，经过一段时间后，Patel需要自动阻止功能。他说：“鉴于我们网站上的流量，WAF识别不规则行为并在它们发生时而不是以后阻止这些企图成为了关键。”

　　例如，WAF现在阻止竞争对手从网站收集产品数据(包括数百万SKU(库存量单位))以及价格信息。Patel说：“如果我们发现有人每周或每月检查数据，这表明竞争情报的巨大损失。”

　　考虑企业级能力。Jarden的Nelson之所以选择Check Point的产品，部分是由于其企业级控制台。这种控制台提供对Jarden的所有防火墙的集中管理。能够将防火墙分类到所谓的“容器”中并在这些容器中应用不同的策略，尤其令他感到满意。

　　而一家营养补品制造商的安全工程师说，他使用的Barracuda系统的巨大优势是可伸缩性。这家公司使用WAF的主要动机是为希望从世界各地访问电子邮件的用户提供安全的Web邮件界面。它还使用WAF防御应用层攻击。

　　这位安全工程师当时希望为用户提供在任何地点都可以访问电子邮件的单一URL，他希望能够在不中断运行的情况下扩展这个系统。由于他不用增加新IP地址就可以添加WAF设备，因此改动对于用户是透明的。他说：“如果它开始变得超载，我们所要做的就是再拿来一台WAF设备，把它装到机架上，将它与原来的设备连接起来，然后我们就得到了两倍的容量。”