WAF如何选购,WAF租用注意事项

确保Web应用安全需要多层次的安全防御，其中非常重要Web防火墙的应用Web当访问数据的机密性、可用性和完整性时，WAF是关键的防御层。本指南旨在帮助企业购买WAF，为企业提供了调查市场时应考虑的关键问题。

对于WAF，价格、部署方法、复杂性等规格范围很大。在购买WAF在此之前，企业应首先了解业务需求、功能和可用资源（如内部人才和资本），这可以帮助企业选择最符合其要求的产品。适当的规划和仔细评估市场产品也很重要。

以下要点和问题旨在为企业提供正确的方向和正确的评价方法。这些关键因素包括：确定性WAF如何整合环境、检测和响应攻击、执行日志记录以及WAF管理和维护的要求。企业应对每一项调查WAF回答这些问题将有助于企业缩小产品的选择范围，以满足其需求。

WAF如何整合你的环境？

在评估WAF部署是最重要的问题之一。换句话说，如何让步WAF操作？现在有一些不同WAF在部署选项时，企业应考虑每个选项，并结合企业现有环境确定哪个选项WAF类型最适合你。在许多情况下，删除不适合其网络IT环境产品将帮助决策者缩小供应商和产品的范围。

·内部设备：这种常见的WAF涉及用户和的部署方法Web应用程序之间的网络部署设备。该方法通常需要一定的内部专业技能，因为管理员将改变内部网络配置。理想情况下，企业有相关的内部技术人员或足够的资金支付供应商提供的部署服务。

·基于云的WAF：这种WAF企业通常需要重定向DNS记录来分析WAF供应商的IP地址，并让Web流量从供应商转发到实际应用主机。在许多情况下，企业需要提供它们SSL密钥，因为供应商的服务器在转发前解密数据。

性能问题可能发生在这里，因为流量在到达企业服务器之前需要额外的步骤。然而，大多数供应商都有足够的带宽，所以这在大多数情况下都不是问题（但请记住）。这是基于云的WAF它通常更容易部署，因为它只需要DNS变更(可能需要安装SSL密钥)，不需要内部IT技术技能。请注意：许多基于云的产品仍然提供DDoS保护。

·集成WAF：基于代码或软件WAF对企业最有可能Web应用代码或其Web直接更改服务器。这是熟练人员的好选择，比其他人好WAF产品更便宜。它不需要改变网络架构或DNS同时，重定向、集成WAF产品对网络、系统和性能的整体影响最小。

评估企业想要购买的东西WAF在类型上，最好与供应商交谈，让内部技术团队参与进来。表面上可能找不到一些要求或限制，但可能对最终决策产生重大影响。这方面的例子包括所选集成WAF如何与Web使用服务器，让Web服务器管理员的参与可以避免部署过程中的问题。另一个常见的问题是基于云WAF加载基于网络的重型内容，让网络团队和性能测试人员参与，确保用户不会遇到延迟问题。

另一个重要的考虑因素是WAF如何处理安全套接字层？（SSL），SSL保护联网上保护网站身份和数据的安全SSL来看，WAF不同的部署。

基于云或设备WAF在部署中，企业需要解密流量以查看流量。这涉及终止SSL会话和重建(如有必要)，或解密会话-通过WAF请确保您选择的产品支持这些选项。

WAF如何检测和响应攻击？

WAF该操作主要通过检测应用服务器与客户端之间的请求和响应内容来实现。WAF如何检测和检测什么对企业资产的有效保护至关重要。

WAF测试什么(如表头、会话、文件上传等。)将决定其响应能力。WAF应能够检测请求/响应对象的所有组件，包括会话的详细信息。大多数应用程序都有要求，比如限制用户的会话数量WAF有助于实现。WAF管理员应该提供可用的配置来轻松选择这些选项。如果企业是对的GET与POST如何使用具体要求，或对访问者进入网站的方式有具体要求，WAF还应提供支持。

检测异常或恶意流量主要基于几个模型，了解每个模型非常重要。

如果WAF黑名单只会阻止列表中包含已知攻击的请求。众所周知的攻击(例如SQL注入和跨站脚本)通常包含一些易于检测的字符。黑名单很容易使用，只要WAF支持这种攻击方法。而且，由于威胁的频繁变化，黑名单必须更新。

如果WAF使用白名单只允许满足列表或配置中的标准要求。这种测试方法需要在前端部署更多的工作，但通常是一种更安全的方法，因为它阻止了一切不被定义为可接受的东西。

企业的技术团队应配置这两种方法。

除了检测，WAF对攻击或异常的反应也至关重要。WAF提供多种响应选项，这些选项在配置界面应该容易变更。通常情况下，WAF它将以某种方式与请求或对话（当发现攻击或异常时）互动，如终止与应用服务器的对话或阻止单个请求。每种方法都有优缺点，企业应该知道哪些方法是可行的，这是非常重要的。

WAF应配置以下方法来防止攻击：

·阻止会话

·阻止IP地址

·阻止请求

·注销用户

·阻止用户

理想情况下，WAF这些方法应支持各种配置，以响应攻击或异常检测。在某些情况下，WAF可能需要依靠其他设备(如网络防火墙或路由器)来阻止操作。企业要想使用这个功能，就要保证选择WAF产品与现有网络设备兼容。

WAF如何记录日志？

WAF最重要的功能是抵抗攻击，然后是日志记录，提醒管理员正在发生什么。在某些情况下，企业可能会怀疑攻击或感染用户，并希望查看详细信息。这是真的WAF日志的重要性。如何记录这个日志，最简单的方法就是测试可靠的哪里，何时，什么方法。

首先，让我们讨论什么。WAF日志记录了什么？应尽可能详细地记录下来。它应该跟踪每个事务，包括会话、导航信息和两者之间的所有信息。应详细记录每个事务日志项目的所有细节，以减少调查事故的时间和精力。通过非常详细的日志记录，企业将能够解决这个问题WAF本身的配置问题。

接下来，让我们讨论什么时候。这很简单，但重要的是看两个关键点。至少应该有两组日志：第一组应该是访问或事务日志，包括所有通过WAF当事件触发时，第二组是事件日志WAF在检测或反应过程中创建项目。虽然这两种日志都很重要，但事件日志更常用，因为它们通常异常行为，如攻击或疑似攻击。

最后，让我们讨论一下在哪里。日志存储在哪里或如何发送到中央日志记录服务至关重要。日志采用的格式和传输方式是根据企业使用的安全信息和事件管理（或）SIEM）系统支持的格式和协议吗？日志会在设备上保留一段时间吗？WAF会混淆任何敏感信息，如社会安全号码或请求中包含的永久账户（如信用卡号码）吗？这对遵守法律法规非常重要，如支付卡行业数据安全标准版本（或PCIDSS）。

除了存储，在哪里还应该包括如何生成和发送警报到企业。电子邮件警报、门户网站和SNMP这是一种常见的方式，但如果有更多的选项，那就更好了。

如何管理和更新WAF？

WAF从长期使用的角度来看，如何管理它并不是一个很好的配置WAF非常重要WAF使用黑名单签名或规则，企业应找出如何更新它们。企业还应确保他们能够定制这些规则和签名，以最大限度地提供灵活性。

若企业未使用PHP脚本语言可能不需要这些黑名单的签名或规则，但应该被禁止。通常，这些选项可以通过管理界面WAF配置政策。企业应确保这些政策完全由用户配置，以确保正确WAF最大控制操作。

如果企业正试图定期更新供应商，如何向企业提供这些更新？许多供应商将提供手动更新文件或允许设备自动连接更新服务。基本操作系统的更新也需要关注，这取决于WAF运行平台(例如Windows或Linux）。请确保无论WAF什么样的产品更新方法最终真正实施了更新。毕竟，不安全的设备保护企业Web如果只会适得其反。

结论

综上所述，在选择中WAF在产品或供应商之前，企业决策者应该对需要考虑的问题有一个全面和详细的清单。确保提前准备好这些问题，并在最终决定之前回答或解决所有问题。对于额外的资源，企业可以参考Web应用安全联盟提供的WAF评估标准文件，非常详细。

Web防火墙云的应用WAF服务是微云网络推出的专业应用安全防护系统，帮助用户应对Web网站及攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等Web业务安全防护问题。微云网络客服400-0289-798。