盡管有很多媒體都有關(guān)于使用web應(yīng)用防火墻的報(bào)道，但是我們必須了解這些設(shè)備只是解決企業(yè)網(wǎng)絡(luò)安全問題的一部分。即使如此，用戶還必須知道web應(yīng)用防火墻問題大量存在著。

一直以來，管理層都有一個(gè)誤解，他們認(rèn)為只要有防火墻，網(wǎng)絡(luò)就會正常。而且經(jīng)銷商會更加誤導(dǎo)這種錯(cuò)誤的理解，他們推崇web應(yīng)用防火墻作為最佳解決方案——同時(shí)可以實(shí)現(xiàn)PCI DSS的需求。實(shí)際上，和其他周邊-中央安全設(shè)備一樣，如果web應(yīng)用防火墻沒有合理地設(shè)置來保護(hù)所需的一切的話，包括外部和局域網(wǎng)上——他們很可能會創(chuàng)建錯(cuò)誤的安全檢測。

web應(yīng)用防火墻可以保證基于Web的惡意軟件不踏足你的企業(yè)內(nèi)部。它也可以阻止黑客利用漏洞進(jìn)入OSI第7層，反過來說，它可以防止進(jìn)一步的侵入。然而，對于web應(yīng)用防火墻還存在一些問題。

使用web應(yīng)用防火墻的問題

WAF最顯著的問題是它不能阻止某些必須防范的攻擊。WAFs聲稱可以通過滲透測試工具來檢測攻擊，如用Metasploit來獲取一臺未打補(bǔ)丁的web服務(wù)器的遠(yuǎn)程命令提示符或者輕松下載編譯開發(fā)代碼來觸發(fā)OpenSSL緩沖溢出區(qū)。其實(shí)這也未必——特別是當(dāng)攻擊通過SSL實(shí)現(xiàn)時(shí)。

WAF也會被誤用來解決已知的安全問題，雖然他們不能真正的解決。比如，我最近遇到的情況,有人想部署WAF來解決隱碼攻擊。短期內(nèi)這沒什么，但依靠虛擬補(bǔ)丁并不能真正修復(fù)。事實(shí)上，這種做法會掩蓋問題，久而久之導(dǎo)致更大的安全隱患。

除了web應(yīng)用防火墻還有其他選擇嗎？

如果你考慮在你的環(huán)境中添加WAF，請首先考慮你的現(xiàn)有設(shè)備。使用另一個(gè)物理設(shè)備可能會增添復(fù)雜性，而復(fù)雜性是安全的天敵。許多基礎(chǔ)防火墻都有HTTP檢測功能。找找看你有沒有像WAF一樣的功能。我看過類似的很多案例，這些設(shè)備本來就有WAF功能，而用戶卻不知道。當(dāng)然把WAF功能作為單獨(dú)模塊添加到現(xiàn)存的防火墻中也是有可能的。

使用web應(yīng)用防火墻的方法

只是開啟WAF功能并不能保護(hù)你所有的網(wǎng)絡(luò)。為了最優(yōu)化你的配置，你必須清楚你運(yùn)行的基于Web的系統(tǒng)平臺（包括其他人管理的系統(tǒng)）。你還要了解你Web應(yīng)用程序上的業(yè)務(wù)邏輯。白名單和行為分析技術(shù)發(fā)現(xiàn)某些WAFs適合創(chuàng)建具體的應(yīng)用信息，但是這個(gè)過程會很復(fù)雜。

一個(gè)很好的調(diào)整保護(hù)的方法是使用Web弱點(diǎn)掃描工具，如AcunetixWeb弱點(diǎn)掃描器或WebInspect，然后設(shè)置測試用例，包括用WAF保護(hù)和不用WAF保護(hù)。一旦一切設(shè)置完成，最好在通過自動(dòng)掃描和手動(dòng)分析來建立全面的Web弱點(diǎn)評估系統(tǒng)。

總之，保持簡單是很重要的。這意味著在你的現(xiàn)存防火墻上使用WAF控制，或者需要浪費(fèi)時(shí)間在很多不同的經(jīng)銷商上，看誰的方案能最好的滿足你和公司的需求。或者根本不需要WAF——至少從目前來看是這樣的。

原文鏈接：http://netsecurity.51cto.com/art/201102/246425.htm