咨询机构Security Curve创建人Diana Kelley说:“尽管一些传统的防火墙提供某种程度的应用意识,但它不具有WAF提供的颗粒度和专一性。”例如,WAF可以检测应用程序的行为是否像它设计的那样,WAF使用户能够编写特殊的规则来防止这些攻击再次发生。
WAF也与入侵检测系统不同。Gartner分析师Greg Young说:“它是一种非常不同的技术——它不是基于特征,它是基于行为的,它防止那些用户无意中制造的漏洞被利用。”
当前,推动WAF发展的主要因素之一是支付卡行业数据安全标准(PCI DSS)。这项标准规定了两种取得遵从性的途径:WAF和代码审查。但是,另一个推动因素是人们越来越意识到攻击目标由网络转向应用。WhiteHat Security进行的一项研究发现,82%的网站至少存在一个程度为高风险、危急或严重的问题。这项研究从2006年1月到2008年12月对877个网络进行了调查。
WAF的主要属性
Web 应用防火墙市场仍没有得到明确的定义,许多不同的产品都归在了WAF的名下。Burton Group分析师Ramon Krikken说:“许多产品提供的功能超出了人们对防火墙的原有认识。此外,新厂商通过将已有的非WAF扩展为WAF集成产品,开始进入这个市场细分。”
根据研究咨询机构Xiom创建人Ofer Shezaf提供的清单,我们给出了以下WAF应当具备的属性:
※ 深入了解HTTP。WAF若要有效就必须完全解析和分析HTTP。
※ 提供正面的安全模型。正面的安全政策只允许被认为合法的传输流通过。这种有时叫做“白名单”的特性为应用提供外部输入确认保护。
※ 应用层规则。由于高性能成本,正面安全模型应当利用基于特征的系统来加强。但是由于Web应用是定制编码的,针对已知安全漏洞的传统特征不再有效。WAF规则应当普遍适用,能够检测攻击(如SQL注入)的变种。
※ 基于会话的保护。HTTP最大的缺点之一就是缺少内建的可靠会话机制。WAF必须弥补应用会话管理的不足,保护它免受基于会话的和长时间的攻击。
※ 提供细粒度的政策管理。例外应当只适用于应用的很小部分。否则,假报警将造成巨大的安全缝隙。