认识并用好WAF
企业需要了解独立与集成产品之间的差异。需要了解将WAF功能集成到已有的应用和网络安全产品中的厂商与那些专业从事应用安全的厂商之间的差别。决定谁更适合你取决于多种因素,包括你已经安装的东西、你需要的安全水平以及你是否愿意使用专用产品还是那些提供多种功能的产品。
Krikken指出,关注应用提交的产品必须具有线速度的性能,因此不包含像学习引擎和会话意识等计算密集型能力。他说:“它们局限在黑名单与白名单以及进入/离开检查。”学习引擎使WAF能够学习应用的行为并生成策略建议。会话意识使WAF可以实时建立动态的、基于会话的规则,并把它们用来决定随后的请求是否有效。
对于将Check Point用于公司的虚拟专用网和外部Web应用的Nelson来说,重要的是这种产品拥有多种安全组件,而不仅仅是专用防火墙。他说:“我们需要在不牺牲性能和可管理性的情况下,提供整合功能的能力。”
而对于使用Breach Security的独立WAF来保护电子商务的汽车零件供应商AutoAnything.com的CTO Parag Patel来说,他采用相反的方式。他说:“一家公司很少能把很多事都做得很好。”
不要认为WAF是包治百病的妙方。许多公司为取得PCI遵从性而求助于WAF。可是分析人士警告说不要把WAF视为一种保你万事大吉的技术。
Young补充说:“我看到正在发生很多的错误和不应该的花费。人们认为:‘如果我们购买防火墙,审计人员就不会来找麻烦,’但是它在这方面没有好到这种程度。你必须定制你的应用防线来适合你的环境。”
眼光放到传统WAF功能范围之外。Krikken说,虽然传统WAF的客户是安全团队,但由于分析特性、一次登录支持以及与Web服务器安全性的集成,许多产品开始变得对更广泛的用户具有吸引力。这正是为何他建议WAF评估应当包括那些负责企业架构、应用提交和软件部署的人员。他说:“这将提高人们对解决方案的安全方面的信心,减少人们对可用性和性能的担心。”
事实上,在一家全球能源公司中,在部署SOA后出现了安全服务需要,所以该公司做出了使用WAF的决定。公司的首席架构师决定选择Reactivity XML加速器安全设备。这家公司后来被Cisco公司收购,并改名为ACE WAF。当这家能源公司决定购买一种面向Internet的WAF时,Cisco向它保证:利用ACE可以保护Web应用并同时满足内部SOA需要。
考虑WAF提供性能监测。由于WAF能够检测性能问题或应用是否由于断掉的链接而提供错误网页,应用监测成为WAF的一种越来越流行的非传统应用。
不要认为它是部署之后就一劳永逸的技术。Krikken说,虽然你可以使用出厂配置的黑名单规则提供基本的安全性,但要做好为几乎所有最简单的Web应用继续投资的准备。他说:“甚至对于规则模板和学习引擎,都常常需要最初的调节和不断的定制,来优化效率和决定误报警。”
那家全球能源公司的首席架构师说,他的公司在使用ACE WAF时能够用两个小时配置一个应用。但是,他更喜欢配置像字符过滤这类东西的非常好的实践指南,“而不是我们手忙脚乱地来做这些事。”
考虑学习引擎特性。有了学习引擎,WAF学习了解应用程序,这样它可以创建甚至执行规则。Krikken说,在非常动态的环境中,WAF最好能警告你注意异常行为而不是阻止它。
Patel使用Breach的学习引擎。他说这种引擎用两个月时间描绘Web应用的行为模式。在这段时间里,它标记出不规则的行为,然后他的团队调查这些行为。他说:“你需要WAF帮助你做出正确的决定。”但是,经过一段时间后,Patel需要自动阻止功能。他说:“鉴于我们网站上的流量,WAF识别不规则行为并在它们发生时而不是以后阻止这些企图成为了关键。”
例如,WAF现在阻止竞争对手从网站收集产品数据(包括数百万SKU(库存量单位))以及价格信息。Patel说:“如果我们发现有人每周或每月检查数据,这表明竞争情报的巨大损失。”
考虑企业级能力。Jarden的Nelson之所以选择Check Point的产品,部分是由于其企业级控制台。这种控制台提供对Jarden的所有防火墙的集中管理。能够将防火墙分类到所谓的“容器”中并在这些容器中应用不同的策略,尤其令他感到满意。
而一家营养补品制造商的安全工程师说,他使用的Barracuda系统的巨大优势是可伸缩性。这家公司使用WAF的主要动机是为希望从世界各地访问电子邮件的用户提供安全的Web邮件界面。它还使用WAF防御应用层攻击。
这位安全工程师当时希望为用户提供在任何地点都可以访问电子邮件的单一URL,他希望能够在不中断运行的情况下扩展这个系统。由于他不用增加新IP地址就可以添加WAF设备,因此改动对于用户是透明的。他说:“如果它开始变得超载,我们所要做的就是再拿来一台WAF设备,把它装到机架上,将它与原来的设备连接起来,然后我们就得到了两倍的容量。”
