web应用防火墙WAF (web application firewall)通过检测和过滤每个web应用程序与internet之间的流量,从而保护企业的web应用程序. A WAF can help defend web applications from attacks such as cross-site request forgery (CSRF), 跨站脚本(XSS), 文件包含, 和SQL注入.
A WAF can be especially beneficial to a company that provides an e-commerce site, 网上金融服务, 或任何其他类型的基于网络的产品或服务,涉及与客户或商业伙伴的互动. In these cases, WAFs can be especially useful in preventing fraud 和 data theft. 然而, since a WAF is not designed to ward off all types of attacks, it works best as part of a suite of tools that support a comprehensive 应用程序安全程序.
WAF可以为任何必须安全地处理私人客户数据的在线业务提供关键保护. 企业通常部署WAF来保护其web应用程序免受复杂和有针对性的攻击, 就像 跨站点脚本(XSS) 和 SQL注入, that might result in fraud or data theft. 当成功, 这些类型的入侵可能严重损害客户信心,甚至导致监管处罚. WAF提供的额外保护可以帮助维护公司在市场上的声誉和地位.
A WAF also lightens the administrative burden of ensuring proper Web应用程序安全测试 在持续的基础上. By helping to proactively set guidelines 和 rules, 应用程序安全团队能够通过WAF监视什么应该允许,什么不应该允许. 从那里, 团队可以及时收到正在进行的攻击通知,这样他们就可以更快地响应潜在的安全事件.
因为WAF为安全管理员提供了必要的应用程序可见性,以证明符合诸如PCI之类的法规标准, HIPAA, 和GDPR, it can be valuable from a compliance perspective as well. 结合, 所有这些优势都可以帮助公司加强其web应用程序的安全性,并更好地保护客户数据免受不断变化的威胁.
A WAF sits between a company’s web applications 和 the requests coming in from the internet. 通过反向代理, 它可以监视, 过滤器, or blocks data packets as they travel to 和 from a web application. 在这样做的过程中,它试图过滤掉可能导致网络漏洞的潜在有害流量. WAF可以以基于云的解决方案、设备、服务器插件或过滤器的形式出现.
早期waf, which are known as stateless WAFs, 使用静态规则分析通过公司web应用服务器的入站请求到达的潜在威胁. 使用模式识别, 他们使用预先确定的应用程序行为和攻击行为模型,有效地对web应用程序如何应对特定形式的攻击做出有根据的猜测.
例如, stateless WAFs might check how quickly requests were coming in, whether they were originating from the same source, 和 other behavioral metrics that might indicate malicious activity was underway.
状态less WAFs could perform such tasks much more rapidly than their human counterparts, but they were not adaptable or nimble enough to successfully ward off evolving attacks. A continual game of cat 和 mouse ensued in which attackers, 当发现他们对web应用程序的初始攻击没有成功时, 会简单地设计出一种WAF从未见过也无法阻止的新形式的攻击行为吗. 然后, when the WAF eventually received new rules that could ward off this new attack variant, the attackers would come up with yet another method for evading detection.
第二代waf, 称为有状态waf, offers more agile defenses than its predecessor. 有状态waf可以用相关上下文丰富收集的数据,并分析web应用程序当前的威胁情况. 因为它们的范围更广, more contextual view into account, 有状态waf更擅长检测关键问题,例如DDoS攻击和“低速度”攻击,这些攻击试图通过在雷达下飞行来破坏安全性.
Another technology used for monitoring 和 protection is Runtime Application Self-Protection (粗声粗气地说). 粗声粗气地说阻止恶意流量,而不需要使用应用程序本身的静态规则. 而不是依赖于对应用程序在特定场景中的行为的预测, 粗声粗气地说评估实际的应用程序行为以检测潜在的恶意活动(例如, 对数据库的调用, 打开文件的请求, or a request to start a shell for the purposes of executing a comm和) as it occurs.
This can cut down on false positives often seen when using a WAF, giving a security team more accurate insight into potential attacks in real time. 和, since it uses the application itself, 即使应用程序不断更新和进一步开发,粗声粗气地说仍然可以评估应用程序的安全性. 粗声粗气地说更适合于一个连续的过程,因为你可以看到应用程序的行为,因为你不断地推动代码的变化,而不必为WAF操纵静态规则. WAF 和 粗声粗气地说 can complement one another, combining forces to provide a business with comprehensive 和 robust application security.
这里有三个建议,以确保您的企业成功地最大化WAF的好处:
There are many WAF solutions available, 每个都有不同的安全特性和技术来识别和防止攻击. Make sure that any WAF you choose supports your specific application security objectives.
In order to truly underst和 how a WAF can serve as an integral part of your 应用程序安全程序, 在最终决定是否实现WAF解决方案之前,对您正在评估的任何WAF解决方案进行测试可能是有益的. 这种方式, 您可以评估和理解它将如何与您可能正在使用的其他应用程序安全工具协同工作, 例如粗声粗气地说, 由于这些技术不是相互排斥的,可以串联使用以实现最全面的覆盖.
While you’re evaluating a WAF solution, think about what in-house resources you will need to make the most of it. 您可能会确定需要在安全团队中构建额外的技能和能力, 例如, 或者您可能想要考虑实现WAF将如何改变您的团队现有的安全流程.
企业的web应用程序面临着越来越复杂的攻击,因为恶意行为者希望通过欺诈和数据盗窃来赚钱. Ensuring proper web application security has never been more critical, 但是,企业可以通过采用web应用程序防火墙,在保护其web应用程序和客户数据方面取得重大进展. 它是健壮的应用程序安全工具包和现代应用程序安全程序的重要组成部分.
与 网络攻击 becoming increasingly more complex, 企业和组织必须将自己置于最佳位置,以保护自己和客户免受恶意攻击. 参与电子商务的公司, 网上金融服务, 和 various other web-based products face a constant threat of fraud 和 data theft, which leaves them prone to compromised customer trust 和 possible regulatory disciplines.
还有一套工具, waf可以为已经很健壮的应用程序安全程序增加一个必要的额外防御层. 安全专家可以利用web应用程序防火墙,通过接收违反预先确定的指导方针和规则的活动警报来监视正在进行的可能的攻击. 这种可见性确保安全团队有必要的能力来满足法规标准, while still maintaining the utmost protection for customer data.