怎么樣部署web應用防火墻
怎么樣部署web應用防火墻
有時候想要部署一下web的應用防火墻!需要我們怎么樣去部署呢?下面由學習啦小編給你做出詳細的部署web應用防火墻方法介紹!希望對你有幫助!
部署web應用防火墻方法一
開放式Web應用程序安全項目(OWASP)是一個側重于促進應用軟件安全發展的開發式非營利性組織,OWASP建議在選擇Web應用防火墻時應該參照一下標準:
很少出現誤報
(例如,不應該拒絕授權請求等)
默認防御的強度
容易操作模式
·可以預防的漏洞類型
·能夠限制個人用戶只能在當前對話中所看到的內容
·配置預防特定問題的能力
如緊急補丁等
·WAF提供形式:軟件與硬件(一般偏好硬件)
Web應用防火墻主要需要考慮的問題
·WAF與源代碼掃描的比較
WAF能夠實時保護應用程序,而不是修復漏洞,這在過去一直受到大家的批評。有些供應商甚至避免使用“WAF”字眼,而是采用“應用層意識”或者“應用層智能”來形容他們的產品。然而,現在越來越普遍的共識是,只有通過正確的部署,WAF才可以作為多層安全模型中重要的組成部分,因為WAF可以在修復應用程序漏洞的時候提供保護。
筆者曾與安全設備提供商交流中表示,應用程序中存在太多漏洞,根本來不及修復代碼本身,并建議通過評估發現的漏洞應該作為自定義規則嵌入WAF中,這樣就能夠減輕目前的狀況并能過后再修復問題。
另一方面,Gartner公司建議客戶考慮采用消除應用程序漏洞的技術,“在你花錢購買設備之前,應該考慮一下,能否通過更強大的系統開發生命周期來消除漏洞,或者通過使用其他工具,如源代碼掃描器。”
對于大多數企業而言,采用其中任意一種方法就足夠了,雖然對于應用安全需求很好的金融或內源用戶而言,筆者認為綜合的安全保護措施不失為更好的選擇。
·硬件設備與軟件比較
Jarden Consumer Solutions公司的全球網絡服務和運作IT主管Jack Nelson表示,他們選擇硬件安全網關(集成Web應用安全技術)的主要原因在于,能夠有效的對這兩者進行配置。Jarden公司有個沒有配備IT人員的遠程辦公室,因此Nelson使用基于軟件的版本解決方案,這樣辦公室管理人員就可以在現有WAF失效的時候輕松將任何電腦配置為WAF。“這比購買第二個防火墻更靈活,這樣比快速反應維護費要便宜,”他表示,這種界面非常簡單并且不需要防火墻專家來配置,另外授權是基于密鑰的,這樣比較適用于遠程。
部署web應用防火墻方法二
可管理性 你需要執行的第一個對比測試是可管理性。如果Web應用防火墻難以管理,并不提供你需要的政策靈活性,稍后你將為此付出代價。雖然當你在談論定制應用時,即插即用設備的要求可能有點太過分,但初始部署不應太具挑戰性。
你會想知道能否通過努力讓Web應用防火墻來保護那些不需要不斷監管和微調的應用程序。 可讀警報和報告是Web應用防火墻應該具備的必要功能,這些功能能夠為你提供關于Web應用防火墻的精準信息,并在出現問題時,提供概述性的威脅描述。評估的互補方面是Web應用防火墻的可用性,這包括提供清晰威脅信息的GUI,能夠向下挖取和審查警報的詳細信息。
理想情況下,你還能夠生成與配置和定制化報告,并能輕松地調整安全策略。 當你在處理分布在世界各地的Web應用基礎設施時,中央管理也很有幫助。你想要管理不同的WAF設備,而不需要分別連接到每個設備,這同樣也使企業能夠橫跨整個企業范圍建立、維護和執行統一的安全政策。
性能 當涉及Web應用防火墻時,性能是一個關鍵因素。Web應用防火墻的部署應該不能影響現有基礎設施的性能,包括應用程序和網絡設備等。這意味著即使Web應用防火墻作為應用程序的安全代理,該應用程序應該繼續能夠傳輸數據,而不會遇到請求積壓或者重負載的情況,該應用程序應該像沒有Web應用防火墻一樣運行。
從最終用戶的角度來看,Web應用防火墻應該是完全透明的。用戶不應該遇到任何明顯的延遲或者服務阻礙。 為了避免性能降級,你要確保Web應用防火墻的性能符合或者超過應用程序基礎設施的其他因素。
最小誤報 誤報是一個很重要的方面。你不會希望看到Web應用防火墻對于每個傳入的請求都發出警報。這就像“狼來了”一樣的道理,當惡意請求真正來到時,你可能會因為誤報大幅增加而忽視這個惡意請求。如果你是在阻止模式,這個問題將更加嚴重。你想做的最后一件事情將是阻止合法流量,這最終將破壞部署在線應用程序的意義。請確保你正在評估的Web應用防火墻具有最小的誤報率,只有為數不多的幾個。
看了“怎么樣部署web應用防火墻 ”文章的還看了:
6.防火墻部署原則