• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

采购Web应用防火墙?这些问题你必须考虑(1)

安全经验 网络收集 2年前 (2016-12-24) 256次浏览 0个评论

Web 应用防火墙是复杂的产品,在本文中,专家 Brad Causey 介绍了在购买 Web 应用防火墙(WAF)产品之前企业需要考虑的关键问题。

确保 Web 应用的安全性需要多层安全防御,其中很重要的是 Web 应用防火墙。考虑到 Web 访问数据的机密性、可用性和完整性时,WAF 是很关键的防御层。本指南旨在帮助企业选购 WAF,为企业提供了在调查市场时应该考虑的关键问题。

对于 WAF,价格、部署方法、复杂性和很多其他规格的范围非常大。在购买 WAF 之前,企业应该先了解业务需求、功能和可用资源(例如内部人才和资金情况),这可以帮助企业选择最符合其要求的产品。适当的规划和仔细评估市场产品情况也很重要。

下面列出的要点和问题旨在为企业提供方法来朝着正确的方向前进,并作出正确的评估。这些关键因素包括:确定 WAF 如何整合到环境、检测和响应攻击、执行日志记录,以及 WAF 管理和维护的要求。企业应对所调查的每个 WAF 产品回答这些问题,这将帮助企业缩小选择范围到满足其需求的产品。

WAF 如何整合到你的环境?

在评估 WAF 时需要考虑的最关键问题之一是部署。换句话说,如何让 WAF 运作?现在有一些不同的 WAF 部署选项,企业应该考虑每个选项,并结合企业现有环境,以确定哪种 WAF 类型最合适自己。在很多情况下,通过删除不适合其网络和 IT 环境的产品,这将帮助决策者缩小供应商和产品范围。

· 内部设备:这种常见的 WAF 部署方法涉及在用户和 Web 应用之间的网络部署设备。这种方法通常需要一定的内部专业技能,因为管理员将要更改内部网络配置。理想情况是,企业有相关内部技术人员或者有足够资金来支付供应商提供的部署服务。

· 基于云的 WAF:这种 WAF 方法通常需要企业重定向 DNS 记录来解析到 WAF 供应商的 IP 地址,并让 Web 流量从供应商转发到实际应用主机。在很多情况下,企业将需要提供他们的 SSL 密钥,因为供应商的服务器在转发前将解密数据。

这里可能会出现性能问题,因为流量在到达企业服务器之前要经过额外的步骤。不过,大多数供应商都有足够的带宽,因此在大多数情况下这都不是问题(但应该记住这一点)。这种基于云的 WAF 通常更容易部署,因为它只需要 DNS 变更(可能还要安装 SSL 密钥),并且不太需要内部 IT 技术技能。请注意:很多基于云的产品现在还提供 DDoS 保护。

· 集成 WAF:基于代码或软件的 WAF 最有可能需要对企业 Web 应用代码或其 Web 服务器的直接更改。对于技术熟练的人员来说,这是不错的选择,并且比其他 WAF 产品更便宜。它不需要更改网络架构或者 DNS 重定向,同时,集成 WAF 产品对网络、系统和性能的整体影响最小。

在评估企业想要购买的 WAF 类型时,最好与供应商进行交谈,并让内部技术团队参与进来。有些要求或限制可能在表面来看无法发现,但可能对最终决策有着重大影响。这方面的例子包括所选择的集成 WAF 如何与 Web 服务器使用,对此,让 Web 服务器管理员参与可能会避免部署过程中的问题。另一个常见问题是通过基于云的 WAF 加载重型基于网络的内容,让网络团队和性能测试人员参与可以确保用户不会遭遇延迟问题。

另一个重要考虑因素是 WAF 如何处理安全套接字层(SSL),SSL 保护网站身份和数据在互联网的安全。从 SSL 来看,WAF 部署各有不同。

在基于云或设备的 WAF 部署中,企业需要解密流量以查看流量。这涉及终止 SSL 会话以及重建它(如果需要的话),或解密会话—在它们通过 WAF 时。请确保你所选择的产品支持这些选项。
转载请注明:安全专题


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:采购 Web 应用防火墙?这些问题你必须考虑(1)
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址