什么是 WAF(Web 应用程序防火墙)?
WAF(即 Web 应用程序防火墙)是一种虚拟安全设备、云服务,旨在通过过滤、监控和分析 Web 应用程序与应用程序之间的超文本传输协议 (HTTP) 和安全超文本传输协议 (HTTPS) 流量来保护应用程序级别的组织。互联网。
WAF 可保护 Web 应用程序免受跨站点伪造、服务器端请求伪造、文件包含和 SQL 注入等攻击。此外,它还可以保护应用程序和网站免受漏洞、漏洞利用和零日攻击。对应用程序的攻击是造成数据泄露的主要原因,它们是获取宝贵数据的门户。有了正确的 WAF,您就可以成功阻止一系列旨在通过破坏系统来窃取数据的攻击。
WAF 如何工作?
当 WAF 部署在 Web 应用程序前面时,Web 应用程序和互联网之间会放置一个保护罩,用于监视应用程序和最终用户之间的所有流量。WAF 通过过滤、监控和阻止任何流向 Web 应用程序的恶意 HTTP/S 流量来保护 Web 应用程序,并且还通过遵守一组有助于确定哪些流量是恶意流量以及哪些流量是恶意的来防止任何未经授权的数据离开应用程序。什么交通是安全的。正如代理服务器充当保护客户端身份的中介一样,在传统部署中,WAF 以类似的方式运行,但方向相反(称为反向代理),充当保护 Web 应用程序服务器免受恶意攻击的中介。潜在的恶意客户端。
WAF 安全模型
WAF 通常采用三种安全方法:
白名单– 使用机器学习和行为建模算法来定义 WAF 允许通过的流量的“允许列表”。然后它会阻止其余部分。
黑名单– 基于针对已知漏洞的最新签名的“阻止列表”,定义了 WAF 拒绝的流量。其余的都接受。
混合方法– WAF 依赖于积极和消极安全模型的组合 - 允许和阻止列表的组合来确定什么可以通过。
WAF与防火墙的区别
防火墙和 Web 应用程序防火墙之间的主要区别在于,防火墙通常仅与网络和传输层(第 3 层和第 4 层)的保护相关联。然而,Web 应用程序防火墙为第 7 层提供保护。
Web 应用程序防火墙的类型和部署选项
WAF 可以通过多种方式实现,每种方式都有其独特的优点和缺点。WAF 分为三种类型:
基于网络的WAF通常是基于硬件的。由于它是在本地安装的,因此可以最大限度地减少延迟,但它也需要物理设备的存储和维护。基于软件的 WAF 由将WAF 作为安全即服务提供的服务提供商进行管理基于云的 WAF提供了一种经济实惠且易于实施的选项;他们通常提供交钥匙安装,就像更改 DNS 来重定向流量一样简单。基于云的 WAF 的前期成本也很低,因为用户每月或每年为安全即服务付费。基于云的 WAF 还可以提供持续更新的解决方案,以防御最新的威胁,而无需用户进行任何额外的工作或成本。基于云的WAF的缺点是用户将责任移交给第三方。
理想情况下,WAF 应提供在线部署选项(解决方案可充当“中间人”)或基于API 的路径外 (OOP) 服务。基于 API 的 OOP 部署可以提供多种独特的优势,使其能够针对多云环境进行优化。它使应用程序请求能够不间断地从客户端直接发送到应用程序服务器。优点包括减少延迟、无需流量重定向、增加正常运行时间以及跨异构环境的全面保护。
WAF的关键功能是什么?
理想情况下,WAF 应结合积极和消极的安全模型来提供全面的保护,其中包括能够减轻已知的 Web 应用程序攻击,例如访问违规、隐藏在 CDN 后面的攻击、API 操纵和攻击、前面提到的 HTTP/S 洪水和暴力攻击等。此外,这种组合还可以防范未知攻击和漏洞,例如零日攻击。
Web 应用程序防火墙还应利用基于行为的机器学习算法来实时创建和优化安全策略,以实现全面保护,同时尽量减少误报甚至不产生误报。当新应用程序添加到网络时,此功能还应该提供对新应用程序的自动检测和保护。
WAF 应包括的其他关键功能包括:
核心功能应包括基于地理封锁、IP 组、黑名单、白名单和黑名单过滤网络流量API 发现和保护,提供对所有形式的 API 滥用和操纵的可见性、执行和缓解,无论是本地环境还是云托管环境内置 DDoS 防护,阻止上述应用层 DDoS 攻击能够与机器人管理解决方案集成,以检测和集成复杂的类人机器人数据泄露防护机制可自动屏蔽敏感用户数据,例如个人身份信息 (PII)为什么需要 WAF?
由于敏捷开发方法、向云的转变、基于 Web 的软件或 SaaS 应用程序的使用增加以及远程员工的使用,许多组织在应用程序级别面临着越来越多的安全风险。合并 WAF 使组织能够应对针对 Web 应用程序和应用程序编程接口 (API) 的攻击。
虽然 WAF 不能保护组织免受所有数字威胁,但它们确实可以解决针对应用程序级别的威胁,包括 OWASP 十大应用程序漏洞。这些可以包括:
跨站脚本攻击 (XSS):一种代码注入攻击,攻击者在合法网站中插入恶意代码。然后,该代码在用户的 Web 浏览器中作为受感染的脚本启动,使攻击者能够窃取敏感信息或冒充用户。应用层 DDoS 攻击:集中在应用层的大规模DoS 或 DDoS攻击。常见的例子包括 HTTP/S 洪水、SSL 攻击、慢速攻击和暴力攻击。SQL 注入: SQL 注入攻击与 XSS 类似,攻击者利用已知漏洞将恶意 SQL 语句注入应用程序。这反过来又允许黑客提取、更改或删除信息。零日攻击:当黑客在软件开发人员发布补丁之前利用未知的安全漏洞或软件缺陷时,就会发生零日攻击。WAF市场动态和趋势
以下是 WAF 的主要市场驱动因素:
希望改进其产品的 WAF 提供商正在将其产品与安全信息和事件管理 (SIEM) 系统、应用程序安全测试 (AST) 和 Web 访问管理 (WAM) 集成。供应商提供的WAF解决方案基于积极的安全模型,并使用机器学习算法来分析HTTP请求。由于物联网设备的增加,组织可能会投资 WAF 解决方案以遵守数据隐私规范,包括设备指纹识别和协议验证等物联网特定功能。企业正在寻求增强的威胁情报、扩展的 WAF 保护和各种开箱即用的集成。人们关注的是新的检测方法,以防止网络攻击并最大限度地减少误报。