Web應用防火墻是復雜的產品，在本文中，專家Brad Causey介紹了在購買Web應用防火墻(WAF)產品之前企業需要考慮的關鍵問題。

確保Web應用的安全性需要多層安全防御，其中很重要的是Web應用防火墻。考慮到Web訪問數據的機密性、可用性和完整性時，WAF是很關鍵的防御層。本指南旨在幫助企業選購WAF，為企業提供了在調查市場時應該考慮的關鍵問題。

對于WAF，價格、部署方法、復雜性和很多其他規格的范圍非常大。在購買WAF之前，企業應該先了解業務需求、功能和可用資源(例如內部人才和資金情況)，這可以幫助企業選擇最符合其要求的產品。適當的規劃和仔細評估市場產品情況也很重要。

下面列出的要點和問題旨在為企業提供方法來朝著正確的方向前進，并作出正確的評估。這些關鍵因素包括：確定WAF如何整合到環境、檢測和響應攻擊、執行日志記錄，以及WAF管理和維護的要求。企業應對所調查的每個WAF產品回答這些問題，這將幫助企業縮小選擇范圍到滿足其需求的產品。

WAF如何整合到你的環境?

在評估WAF時需要考慮的最關鍵問題之一是部署。換句話說，如何讓WAF運作?現在有一些不同的WAF部署選項，企業應該考慮每個選項，并結合企業現有環境，以確定哪種WAF類型最合適自己。在很多情況下，通過刪除不適合其網絡和IT環境的產品，這將幫助決策者縮小供應商和產品范圍。

· 內部設備：這種常見的WAF部署方法涉及在用戶和Web應用之間的網絡部署設備。這種方法通常需要一定的內部專業技能，因為管理員將要更改內部網絡配置。理想情況是，企業有相關內部技術人員或者有足夠資金來支付供應商提供的部署服務。

· 基于云的WAF：這種WAF方法通常需要企業重定向DNS記錄來解析到WAF供應商的IP地址，并讓Web流量從供應商轉發到實際應用主機。在很多情況下，企業將需要提供他們的SSL密鑰，因為供應商的服務器在轉發前將解密數據。

這里可能會出現性能問題，因為流量在到達企業服務器之前要經過額外的步驟。不過，大多數供應商都有足夠的帶寬，因此在大多數情況下這都不是問題(但應該記住這一點)。這種基于云的WAF通常更容易部署，因為它只需要DNS變更(可能還要安裝SSL密鑰)，并且不太需要內部IT技術技能。請注意：很多基于云的產品現在還提供DDoS保護。

· 集成WAF：基于代碼或軟件的WAF最有可能需要對企業Web應用代碼或其Web服務器的直接更改。對于技術熟練的人員來說，這是不錯的選擇，并且比其他WAF產品更便宜。它不需要更改網絡架構或者DNS重定向，同時，集成WAF產品對網絡、系統和性能的整體影響最小。

在評估企業想要購買的WAF類型時，最好與供應商進行交談，并讓內部技術團隊參與進來。有些要求或限制可能在表面來看無法發現，但可能對最終決策有著重大影響。這方面的例子包括所選擇的集成WAF如何與Web服務器使用，對此，讓Web服務器管理員參與可能會避免部署過程中的問題。另一個常見問題是通過基于云的WAF加載重型基于網絡的內容，讓網絡團隊和性能測試人員參與可以確保用戶不會遭遇延遲問題。

另一個重要考慮因素是WAF如何處理安全套接字層(SSL)，SSL保護網站身份和數據在互聯網的安全。從SSL來看，WAF部署各有不同。

在基于云或設備的WAF部署中，企業需要解密流量以查看流量。這涉及終止SSL會話以及重建它(如果需要的話)，或解密會話—在它們通過WAF時。請確保你所選擇的產品支持這些選項。

WAF如何檢測和響應攻擊?

WAF的運作主要是通過檢測應用服務器和客戶端之間的請求和響應內容來實現。WAF如何檢測以及檢測什么對能否有效保護企業資產至關重要。

WAF檢測什么(例如表頭、會話、文件上傳等)將決定其響應能力。WAF應該能夠檢測請求/響應對象的所有組件，包括會話詳細內容。如果應用有要求，例如限制用戶會話數量，大多數WAF可以幫助實現。WAF應該提供可用的配置讓管理員來輕松選擇這些選項。如果企業對GET與POST如何使用有具體要求，或者對訪問者進入網站的途徑有特定要求，WAF也應該提供支持。

檢測異常或惡意流量主要是基于幾個模型，了解每個模型很重要。

如果WAF采用黑名單的做法，它只會阻止列表中包含已知攻擊的請求。眾所周知的攻擊(例如SQL注入和跨站腳本)通常包含容易檢測的某些字符。黑名單很好用，只要WAF支持這種攻擊方法。并且，由于威脅經常變化，必須保持黑名單的更新。

如果WAF使用白名單的做法，它只會允許滿足列表或配置中標準的請求。這種檢測方法需要部署期間前端的更多工作，但通常這是更安全的方法，因為它會阻止一切沒有被定義為可接受的事物。

這兩種方法都應該由企業的技術團隊來配置。

除了檢測，WAF如何響應攻擊或異常也很關鍵。WAF提供多種響應選項，這些選項在配置界面應該容易變更。通常情況下，WAF會以某種方式與請求或會話進行交互(當發現攻擊或異常時)，例如終止與應用服務器的會話或阻止單個請求。每種方法都有優點和缺點，企業應了解哪些方法可行，這很重要。

WAF應該可配置為使用下列方法來阻止攻擊：

· 阻止會話

· 阻止IP地址

· 阻止請求

· 注銷用戶

· 阻止用戶

理想情況下，WAF應該在各種配置中支持這些方法，以響應對攻擊或異常的檢測。在某些情況下，WAF可能需要依賴其他設備(例如網絡防火墻或路由器)來執行阻止操作。如果企業想要使用這個功能，企業應該確保所選擇的WAF產品與現有網絡設備兼容。

WAF如何進行日志記錄?

WAF最重要的功能是抵御攻擊，緊隨其后的是日志記錄并提醒管理員正在發生的情況。在某些情況下，企業可能懷疑出現攻擊或者受感染用戶，并想要看到詳細信息。這正是WAF日志的重要性所在。對于如何進行這種日志記錄，最簡單的做法是經過檢驗而可靠的“哪里、何時、什么”方法。

首先，讓我們討論“什么”。WAF日志記錄什么內容?應該盡可能地詳細地記錄。它應當追蹤每個事務，包括會話、導航信息以及兩者之間的所有信息。每個事務性日志條目的全部細節都應該詳細記錄，以減少調查事故的時間和精力。通過非常詳細的日志記錄，企業將能夠解決因為WAF本身配置問題發生的問題。

接下來，讓我們討論“何時”。這是非常簡單的，但重要的是看兩個關鍵點。在最低限度應該有兩組日志：第一組應該是訪問或事務日志，包含所有通過WAF的活動;第二組是事件日志，當有事件觸發WAF的檢測或反應時會創建條目。雖然說，這兩種日志都很重要，但事件日志更常使用，因為這些條目通常會指明異常行為，例如攻擊或者疑似攻擊。

最后，讓我們來討論“哪里”。日志存儲在哪里或者它們如何發送到中央日志記錄服務是至關重要的。日志采用的格式和傳輸方式是按照企業使用的安全信息和事件管理(或SIEM)系統支持的格式和協議嗎?日志會在設備保留一定時間嗎?WAF會混淆任何敏感信息，例如請求中包含的社會安全號碼或永久賬號(例如信用卡號碼)嗎?這對遵守法規很重要，例如支付卡行業數據安全標準版本(或PCI DSS)。

除了存儲，“哪里”還應該包含警報如何產生以及發送到企業。電子郵件警報、門戶網站和SNMP都是常見方式，但如果有更多選項則更好。

如何管理和更新WAF?

WAF并不是配置好就可以置之不管，從長期使用來看，如何管理WAF很重要。如果WAF使用黑名單簽名或規則，企業應該弄清楚如何對它們進行更新。企業還應該確保可以自定義這些規則和簽名以為他們提供最大靈活性。

如果企業沒有在使用PHP腳本語言，可能不需要這些黑名單簽名或表示規則，而應該禁用它們。通常情況下，這些選項可以通過管理界面的WAF政策來配置。企業應確保這些政策完全可由用戶配置，以確保保持對WAF運作的最大控制。

如果企業正試圖進行定期供應商更新，這些更新如何提供給企業?很多供應商會提供手動更新文件，或者允許設備自動連接更新服務。同樣需要關注的是底層操作系統更新，這取決于WAF運行的平臺(例如Windows或Linux)。請確保無論WAF產品使用何種更新方法，最終都真正執行了更新。畢竟，不安全的設備保護企業的Web應用的話，結果只會適得其反。

結論

綜上所述，在選擇WAF產品或供應商之前，企業決策者應該對需要考慮的問題有著全面和詳細的清單。確保提前準備這些問題，并在最后決定之前回答或解決所有問題。對于額外的資源，企業可以參閱Web應用安全聯盟提供的WAF評估標準文件，該文件非常詳盡。