web防火墙功能有哪些呢
web防火墙怎么样为客户提高防护呢?都有些什么功能?下面由学习啦小编给你做出详细的web防火墙功能介绍!希望对你有帮助!
web防火墙功能介绍一:
首先可以分析WEB应用的特点、类型,不同的web应用,安全关注的侧重点是不同的。
然后综述一下当前各类网络防火防火墙的特性,并加以对比,发现各自的长处。
第三分析这些成型的防火墙在应对你的WEB应用方面存在哪些不足。
然后提出自己的设计思路以及完成防火墙的实际效果。
web防火墙功能介绍二:
一直以来,管理层都有一个误解,他们认为只要有防火墙,网络就会正常。而且经销商会更加误导这种错误的理解,他们推崇Web应用防火墙作为最佳解决方案——同时可以实现PCI DSS的需求。实际上,和其他周边-中央安全设备一样,如果Web应用防火墙没有合理地设置来保护所需的一切的话,包括外部和局域网上-----他们很可能会创建错误的安全检测。Web应用防火墙可以保证基于Web的恶意软件不踏足你的企业内部。它也可以阻止黑客利用漏洞进入OSI第7层,反过来说,它可以防止进一步的侵入。
然而,对于Web应用防火墙还存在一些问题。使用Web应用防火墙的问题WAF最显著的问题是它不能阻止某些必须防范的攻击。WAFs声称可以通过渗透测试工具来检测攻击,如用Metasploit来获取一台未打补丁的web服务器的远程命令提示符或者轻松下载编译开发代码来触发OpenSSL缓冲溢出区。
其实这也未必---特别是当攻击通过SSL实现时。WAF也会被误用来解决已知的安全问题,虽然他们不能真正的解决。比如,我最近遇到的情况,有人想部署WAF来解决隐码攻击。短期内这没什么,但依靠虚拟补丁并不能真正修复。事实上,这种做法会掩盖问题,久而久之导致更大的安全隐患。除了Web应用防火墙还有其他选择吗?如果你考虑在你的环境中添加WAF,请首先考虑你的现有设备。
使用另一个物理设备可能会增添复杂性,而复杂性是安全的天敌。许多基础防火墙都有HTTP检测功能。找找看你有没有像WAF一样的功能。我看过类似的很多案例,这些设备本来就有WAF功能,而用户却不知道。
当然把WAF功能作为单独模块添加到现存的防火墙中也是有可能的。使用Web应用防火墙的方法只是开启WAF功能并不能保护你所有的网络。为了最优化你的配置,你必须清楚你运行的基于Web的系统平台(包括其他人管理的系统)。你还要了解你Web应用程序上的业务逻辑。白名单和行为分析技术发现某些WAFs适合创建具体的应用信息,但是这个过程会很复杂。一个很好的调整保护的方法是使用Web弱点扫描工具,如AcunetixWeb弱点扫描器或WebInspect,然后设置测试用例,包括用WAF保护和不用WAF保护。一旦一切设置完成,最好在通过自动扫描和手动分析来建立全面的Web弱点评估系统。总之,保持简单是很重要的。这意味着在你的现存防火墙上使用WAF控制,或者需要浪费时间在很多不同的经销商上,看谁的方案能最好的满足你和公司的需求。
web防火墙功能介绍三:
目前,企业有多种途径进行规则遵从,如果执行恰当的话,任何一种选择都可以帮助企业达到规则遵从要求,而且能够提高Web应用程序的安全性。
当然,在应用程序安全方面并不存在万全之策。除非你很幸运,既能进行代码审查又能运行WAF,不过这样做依然需要人工去完成。企业是否有员工可以完成以下工作:配置和维护应用层防火墙?进行代码审查?使用第三方漏洞监测工具,并处理在审查中所发现的问题? 当然,这个决定还要考虑架构,以及WAF与现有系统及设备的兼容性如何。其中一个需要考虑的因素(尤其是对那些倾向于使用第三方代码审查的企业而言)是企业对其代码状态的满意度如何。随着时间的推移,支付卡应用程序的开发可能会包含来历不明以及目的不明确的遗留代码。安全人员可能不想冒破坏任务优先应用程序的风险而删除这些遗留代码。在应用程序前面放置一个防火墙可能会比在代码审查中重写程序成本要低,或者破坏性要小。
另一种方法是用威胁模型(threat modeling)来识别和评估应用程序的风险。我们以三大关键风险为例,并确定哪些方法能最好地处理它们:代码审查、漏洞评估、WAF产品。但是请注意,部署WAF并不能减少你的安全软件开发过程需求(要求6.3)!而应用程序漏洞评估和代码审查却都能加强开发和质量保证周期。 对于小型商业网站来说,上述选择过于昂贵。所以,我建议把支付任务外包给第三方支付服务供应商,不必担心所有昂贵的安全要求,包括Web安全、以及实际的PCI DSS遵从等。
只要你不处理任何卡支付,你就不需要遵从PCI DSS标准。 规则遵从与安全的权衡 不管你选择什么方式,许多人都会争论PCI遵从是否同可接受的安全水平一致。负责安全的人员需要了解上述每种选择的局限性和能力。
源代码分析本身可以进行规则遵从,但它不是保障应用程序安全的好办法。事实上,没有一种方法能完全保证所有的要求。PCI DSS侧重于与PCI相关的支付卡应用程序和组件,但它并不是以整体方式查看企业及其全部网络操作,而需要在整个企业中全面部署安全措施。 即使有了PCI要求6.6信息补充的澄清说明,许多商户还是不确定哪些行动能够很好地进行规则遵从。这就导致了典型的规则遵从困境(compliance dilemma)。如果你要公布一个可以增加安全性的标准,你就必须回答这个问题:“我必须做哪些工作来满足这个标准?”而该问题又会迅速演变为:“满足标准的最小工作量是多少?”如果你只是以“选中复选框并继续”的观点来看待PCI规则遵从的话,那么WAF将是快速、简单的选择。
然而,PCI DSS的确给企业提供了创建安全架构和业务模型的基础。它还让企业高层关注安全问题。如果你关心安全,那么遵从PCI要求只是顺理成章的事情。在你的开发人员能够安全编程之前,多层次的安全方案将永远是减轻风险的最好方法,因为在这种情况下,安全方案包括了代码审查、漏洞评估和WAF产品。一旦漏洞扫描的结果整合到WAF的配置中,WAF将更加有效。这样做将会为程序提供保护,同时对源代码进行分析和修正,以消除漏洞。 在PCI审查之后,漏洞还会不会暴露出来?当然会,但是不会那么多,也可能不会那么严重。降低成本和商业因素可能导致低水平的评估和保护,但在真实的商业世界中,安全必须引起人们的重视。
看了“web防火墙功能有哪些呢 ”文章的还看了:
7.防火墙功能是什么