Web应用防火墙是复杂的产品,在本文中,专家Brad Causey介绍了在购买Web应用防火墙(WAF)产品之前企业需要考虑的关键问题。
确保Web应用的安全性需要多层安全防御,其中很重要的是Web应用防火墙。考虑到Web访问数据的机密性、可用性和完整性时,WAF是很关键的防御层。本指南旨在帮助企业选购WAF,为企业提供了在调查市场时应该考虑的关键问题。
对于WAF,价格、部署方法、复杂性和很多其他规格的范围非常大。在购买WAF之前,企业应该先了解业务需求、功能和可用资源(例如内部人才和资金情况),这可以帮助企业选择最符合其要求的产品。适当的规划和仔细评估市场产品情况也很重要。
下面列出的要点和问题旨在为企业提供方法来朝着正确的方向前进,并作出正确的评估。这些关键因素包括:确定WAF如何整合到环境、检测和响应攻击、执行日志记录,以及WAF管理和维护的要求。企业应对所调查的每个WAF产品回答这些问题,这将帮助企业缩小选择范围到满足其需求的产品。
WAF如何整合到你的环境?
在评估WAF时需要考虑的最关键问题之一是部署。换句话说,如何让WAF运作?现在有一些不同的WAF部署选项,企业应该考虑每个选项,并结合企业现有环境,以确定哪种WAF类型最合适自己。在很多情况下,通过删除不适合其网络和IT环境的产品,这将帮助决策者缩小供应商和产品范围。
· 内部设备:这种常见的WAF部署方法涉及在用户和Web应用之间的网络部署设备。这种方法通常需要一定的内部专业技能,因为管理员将要更改内部网络配置。理想情况是,企业有相关内部技术人员或者有足够资金来支付供应商提供的部署服务。
· 基于云的WAF:这种WAF方法通常需要企业重定向DNS记录来解析到WAF供应商的IP地址,并让Web流量从供应商转发到实际应用主机。在很多情况下,企业将需要提供他们的SSL密钥,因为供应商的服务器在转发前将解密数据。
这里可能会出现性能问题,因为流量在到达企业服务器之前要经过额外的步骤。不过,大多数供应商都有足够的带宽,因此在大多数情况下这都不是问题(但应该记住这一点)。这种基于云的WAF通常更容易部署,因为它只需要DNS变更(可能还要安装SSL密钥),并且不太需要内部IT技术技能。请注意:很多基于云的产品现在还提供DDoS保护。
· 集成WAF:基于代码或软件的WAF最有可能需要对企业Web应用代码或其Web服务器的直接更改。对于技术熟练的人员来说,这是不错的选择,并且比其他WAF产品更便宜。它不需要更改网络架构或者DNS重定向,同时,集成WAF产品对网络、系统和性能的整体影响最小。
在评估企业想要购买的WAF类型时,最好与供应商进行交谈,并让内部技术团队参与进来。有些要求或限制可能在表面来看无法发现,但可能对最终决策有着重大影响。这方面的例子包括所选择的集成WAF如何与Web服务器使用,对此,让Web服务器管理员参与可能会避免部署过程中的问题。另一个常见问题是通过基于云的WAF加载重型基于网络的内容,让网络团队和性能测试人员参与可以确保用户不会遭遇延迟问题。
另一个重要考虑因素是WAF如何处理安全套接字层(SSL),SSL保护网站身份和数据在互联网的安全。从SSL来看,WAF部署各有不同。
在基于云或设备的WAF部署中,企业需要解密流量以查看流量。这涉及终止SSL会话以及重建它(如果需要的话),或解密会话—在它们通过WAF时。请确保你所选择的产品支持这些选项。
转载请注明:安全专题