開放式Web應用程式安全專案(OWASP)是一個側重於促進應用軟體安全發展的開發式非營利性組織,OWASP建議在選擇Web應用防火牆時應該參照一下標準: ·很少出現誤報(例如,不應該拒絕授權請求等) ·預設防禦的強度 ·容易操作模式 ·可以預防的漏洞型別 ·能夠限制個人使用者只能在當前對話中所看到的內容 ·配置預防特定問題的能力,如緊急補丁等 ·WAF提供形式:軟體與硬體(一般偏好硬體) Web應用防火牆主要需要考慮的問題 ·WAF與原始碼掃描的比較 WAF能夠實時保護應用程式,而不是修復漏洞,這在過去一直受到大家的批評。有些供應商甚至避免使用“WAF”字眼,而是採用“應用層意識”或者“應用層智慧”來形容他們的產品。然而,現在越來越普遍的共識是,只有透過正確的部署,WAF才可以作為多層安全模型中重要的組成部分,因為WAF可以在修復應用程式漏洞的時候提供保護。 筆者曾與安全裝置提供商交流中表示,應用程式中存在太多漏洞,根本來不及修復程式碼本身,並建議透過評估發現的漏洞應該作為自定義規則嵌入WAF中,這樣就能夠減輕目前的狀況並能過後再修復問題。 另一方面,Gartner公司建議客戶考慮採用消除應用程式漏洞的技術,“在你花錢購買裝置之前,應該考慮一下,能否透過更強大的系統開發生命週期來消除漏洞,或者透過使用其他工具,如原始碼掃描器。” 對於大多數企業而言,採用其中任意一種方法就足夠了,雖然對於應用安全需求很好的金融或內源使用者而言,筆者認為綜合的安全保護措施不失為更好的選擇。 ·硬體裝置與軟體比較 Jarden Consumer Solutions公司的全球網路服務和運作IT主管Jack Nelson表示,他們選擇硬體安全閘道器(整合Web應用安全技術)的主要原因在於,能夠有效的對這兩者進行配置。Jarden公司有個沒有配備IT人員的遠端辦公室,因此Nelson使用基於軟體的版本解決方案,這樣辦公室管理人員就可以在現有WAF失效的時候輕鬆將任何電腦配置為WAF。“這比購買第二個防火牆更靈活,這樣比快速反應維護費要便宜,”他表示,這種介面非常簡單並且不需要防火牆專家來配置,另外授權是基於金鑰的,這樣比較適用於遠端。
開放式Web應用程式安全專案(OWASP)是一個側重於促進應用軟體安全發展的開發式非營利性組織,OWASP建議在選擇Web應用防火牆時應該參照一下標準: ·很少出現誤報(例如,不應該拒絕授權請求等) ·預設防禦的強度 ·容易操作模式 ·可以預防的漏洞型別 ·能夠限制個人使用者只能在當前對話中所看到的內容 ·配置預防特定問題的能力,如緊急補丁等 ·WAF提供形式:軟體與硬體(一般偏好硬體) Web應用防火牆主要需要考慮的問題 ·WAF與原始碼掃描的比較 WAF能夠實時保護應用程式,而不是修復漏洞,這在過去一直受到大家的批評。有些供應商甚至避免使用“WAF”字眼,而是採用“應用層意識”或者“應用層智慧”來形容他們的產品。然而,現在越來越普遍的共識是,只有透過正確的部署,WAF才可以作為多層安全模型中重要的組成部分,因為WAF可以在修復應用程式漏洞的時候提供保護。 筆者曾與安全裝置提供商交流中表示,應用程式中存在太多漏洞,根本來不及修復程式碼本身,並建議透過評估發現的漏洞應該作為自定義規則嵌入WAF中,這樣就能夠減輕目前的狀況並能過後再修復問題。 另一方面,Gartner公司建議客戶考慮採用消除應用程式漏洞的技術,“在你花錢購買裝置之前,應該考慮一下,能否透過更強大的系統開發生命週期來消除漏洞,或者透過使用其他工具,如原始碼掃描器。” 對於大多數企業而言,採用其中任意一種方法就足夠了,雖然對於應用安全需求很好的金融或內源使用者而言,筆者認為綜合的安全保護措施不失為更好的選擇。 ·硬體裝置與軟體比較 Jarden Consumer Solutions公司的全球網路服務和運作IT主管Jack Nelson表示,他們選擇硬體安全閘道器(整合Web應用安全技術)的主要原因在於,能夠有效的對這兩者進行配置。Jarden公司有個沒有配備IT人員的遠端辦公室,因此Nelson使用基於軟體的版本解決方案,這樣辦公室管理人員就可以在現有WAF失效的時候輕鬆將任何電腦配置為WAF。“這比購買第二個防火牆更靈活,這樣比快速反應維護費要便宜,”他表示,這種介面非常簡單並且不需要防火牆專家來配置,另外授權是基於金鑰的,這樣比較適用於遠端。