web防火墻功能有哪些呢
web防火墻怎么樣為客戶提高防護(hù)呢?都有些什么功能?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的web防火墻功能介紹!希望對你有幫助!
web防火墻功能介紹一:
首先可以分析WEB應(yīng)用的特點(diǎn)、類型,不同的web應(yīng)用,安全關(guān)注的側(cè)重點(diǎn)是不同的。
然后綜述一下當(dāng)前各類網(wǎng)絡(luò)防火防火墻的特性,并加以對比,發(fā)現(xiàn)各自的長處。
第三分析這些成型的防火墻在應(yīng)對你的WEB應(yīng)用方面存在哪些不足。
然后提出自己的設(shè)計思路以及完成防火墻的實際效果。
web防火墻功能介紹二:
一直以來,管理層都有一個誤解,他們認(rèn)為只要有防火墻,網(wǎng)絡(luò)就會正常。而且經(jīng)銷商會更加誤導(dǎo)這種錯誤的理解,他們推崇Web應(yīng)用防火墻作為最佳解決方案——同時可以實現(xiàn)PCI DSS的需求。實際上,和其他周邊-中央安全設(shè)備一樣,如果Web應(yīng)用防火墻沒有合理地設(shè)置來保護(hù)所需的一切的話,包括外部和局域網(wǎng)上-----他們很可能會創(chuàng)建錯誤的安全檢測。Web應(yīng)用防火墻可以保證基于Web的惡意軟件不踏足你的企業(yè)內(nèi)部。它也可以阻止黑客利用漏洞進(jìn)入OSI第7層,反過來說,它可以防止進(jìn)一步的侵入。
然而,對于Web應(yīng)用防火墻還存在一些問題。使用Web應(yīng)用防火墻的問題WAF最顯著的問題是它不能阻止某些必須防范的攻擊。WAFs聲稱可以通過滲透測試工具來檢測攻擊,如用Metasploit來獲取一臺未打補(bǔ)丁的web服務(wù)器的遠(yuǎn)程命令提示符或者輕松下載編譯開發(fā)代碼來觸發(fā)OpenSSL緩沖溢出區(qū)。
其實這也未必---特別是當(dāng)攻擊通過SSL實現(xiàn)時。WAF也會被誤用來解決已知的安全問題,雖然他們不能真正的解決。比如,我最近遇到的情況,有人想部署WAF來解決隱碼攻擊。短期內(nèi)這沒什么,但依靠虛擬補(bǔ)丁并不能真正修復(fù)。事實上,這種做法會掩蓋問題,久而久之導(dǎo)致更大的安全隱患。除了Web應(yīng)用防火墻還有其他選擇嗎?如果你考慮在你的環(huán)境中添加WAF,請首先考慮你的現(xiàn)有設(shè)備。
使用另一個物理設(shè)備可能會增添復(fù)雜性,而復(fù)雜性是安全的天敵。許多基礎(chǔ)防火墻都有HTTP檢測功能。找找看你有沒有像WAF一樣的功能。我看過類似的很多案例,這些設(shè)備本來就有WAF功能,而用戶卻不知道。
當(dāng)然把WAF功能作為單獨(dú)模塊添加到現(xiàn)存的防火墻中也是有可能的。使用Web應(yīng)用防火墻的方法只是開啟WAF功能并不能保護(hù)你所有的網(wǎng)絡(luò)。為了最優(yōu)化你的配置,你必須清楚你運(yùn)行的基于Web的系統(tǒng)平臺(包括其他人管理的系統(tǒng))。你還要了解你Web應(yīng)用程序上的業(yè)務(wù)邏輯。白名單和行為分析技術(shù)發(fā)現(xiàn)某些WAFs適合創(chuàng)建具體的應(yīng)用信息,但是這個過程會很復(fù)雜。一個很好的調(diào)整保護(hù)的方法是使用Web弱點(diǎn)掃描工具,如AcunetixWeb弱點(diǎn)掃描器或WebInspect,然后設(shè)置測試用例,包括用WAF保護(hù)和不用WAF保護(hù)。一旦一切設(shè)置完成,最好在通過自動掃描和手動分析來建立全面的Web弱點(diǎn)評估系統(tǒng)??傊3趾唵问呛苤匾?。這意味著在你的現(xiàn)存防火墻上使用WAF控制,或者需要浪費(fèi)時間在很多不同的經(jīng)銷商上,看誰的方案能最好的滿足你和公司的需求。
web防火墻功能介紹三:
目前,企業(yè)有多種途徑進(jìn)行規(guī)則遵從,如果執(zhí)行恰當(dāng)?shù)脑?,任何一種選擇都可以幫助企業(yè)達(dá)到規(guī)則遵從要求,而且能夠提高Web應(yīng)用程序的安全性。
當(dāng)然,在應(yīng)用程序安全方面并不存在萬全之策。除非你很幸運(yùn),既能進(jìn)行代碼審查又能運(yùn)行WAF,不過這樣做依然需要人工去完成。企業(yè)是否有員工可以完成以下工作:配置和維護(hù)應(yīng)用層防火墻?進(jìn)行代碼審查?使用第三方漏洞監(jiān)測工具,并處理在審查中所發(fā)現(xiàn)的問題? 當(dāng)然,這個決定還要考慮架構(gòu),以及WAF與現(xiàn)有系統(tǒng)及設(shè)備的兼容性如何。其中一個需要考慮的因素(尤其是對那些傾向于使用第三方代碼審查的企業(yè)而言)是企業(yè)對其代碼狀態(tài)的滿意度如何。隨著時間的推移,支付卡應(yīng)用程序的開發(fā)可能會包含來歷不明以及目的不明確的遺留代碼。安全人員可能不想冒破壞任務(wù)優(yōu)先應(yīng)用程序的風(fēng)險而刪除這些遺留代碼。在應(yīng)用程序前面放置一個防火墻可能會比在代碼審查中重寫程序成本要低,或者破壞性要小。
另一種方法是用威脅模型(threat modeling)來識別和評估應(yīng)用程序的風(fēng)險。我們以三大關(guān)鍵風(fēng)險為例,并確定哪些方法能最好地處理它們:代碼審查、漏洞評估、WAF產(chǎn)品。但是請注意,部署WAF并不能減少你的安全軟件開發(fā)過程需求(要求6.3)!而應(yīng)用程序漏洞評估和代碼審查卻都能加強(qiáng)開發(fā)和質(zhì)量保證周期。 對于小型商業(yè)網(wǎng)站來說,上述選擇過于昂貴。所以,我建議把支付任務(wù)外包給第三方支付服務(wù)供應(yīng)商,不必?fù)?dān)心所有昂貴的安全要求,包括Web安全、以及實際的PCI DSS遵從等。
只要你不處理任何卡支付,你就不需要遵從PCI DSS標(biāo)準(zhǔn)。 規(guī)則遵從與安全的權(quán)衡 不管你選擇什么方式,許多人都會爭論P(yáng)CI遵從是否同可接受的安全水平一致。負(fù)責(zé)安全的人員需要了解上述每種選擇的局限性和能力。
源代碼分析本身可以進(jìn)行規(guī)則遵從,但它不是保障應(yīng)用程序安全的好辦法。事實上,沒有一種方法能完全保證所有的要求。PCI DSS側(cè)重于與PCI相關(guān)的支付卡應(yīng)用程序和組件,但它并不是以整體方式查看企業(yè)及其全部網(wǎng)絡(luò)操作,而需要在整個企業(yè)中全面部署安全措施。 即使有了PCI要求6.6信息補(bǔ)充的澄清說明,許多商戶還是不確定哪些行動能夠很好地進(jìn)行規(guī)則遵從。這就導(dǎo)致了典型的規(guī)則遵從困境(compliance dilemma)。如果你要公布一個可以增加安全性的標(biāo)準(zhǔn),你就必須回答這個問題:“我必須做哪些工作來滿足這個標(biāo)準(zhǔn)?”而該問題又會迅速演變?yōu)椋?ldquo;滿足標(biāo)準(zhǔn)的最小工作量是多少?”如果你只是以“選中復(fù)選框并繼續(xù)”的觀點(diǎn)來看待PCI規(guī)則遵從的話,那么WAF將是快速、簡單的選擇。
然而,PCI DSS的確給企業(yè)提供了創(chuàng)建安全架構(gòu)和業(yè)務(wù)模型的基礎(chǔ)。它還讓企業(yè)高層關(guān)注安全問題。如果你關(guān)心安全,那么遵從PCI要求只是順理成章的事情。在你的開發(fā)人員能夠安全編程之前,多層次的安全方案將永遠(yuǎn)是減輕風(fēng)險的最好方法,因為在這種情況下,安全方案包括了代碼審查、漏洞評估和WAF產(chǎn)品。一旦漏洞掃描的結(jié)果整合到WAF的配置中,WAF將更加有效。這樣做將會為程序提供保護(hù),同時對源代碼進(jìn)行分析和修正,以消除漏洞。 在PCI審查之后,漏洞還會不會暴露出來?當(dāng)然會,但是不會那么多,也可能不會那么嚴(yán)重。降低成本和商業(yè)因素可能導(dǎo)致低水平的評估和保護(hù),但在真實的商業(yè)世界中,安全必須引起人們的重視。
看了“web防火墻功能有哪些呢 ”文章的還看了:
4.IPS web應(yīng)用防火墻如何防止cookie欺騙
7.防火墻功能是什么