怎么樣部署web應(yīng)用防火墻

　　有時(shí)候想要部署一下web的應(yīng)用防火墻!需要我們?cè)趺礃尤ゲ渴鹉?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的部署web應(yīng)用防火墻方法介紹!希望對(duì)你有幫助!

　　部署web應(yīng)用防火墻方法一

　　開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP)是一個(gè)側(cè)重于促進(jìn)應(yīng)用軟件安全發(fā)展的開(kāi)發(fā)式非營(yíng)利性組織，OWASP建議在選擇Web應(yīng)用防火墻時(shí)應(yīng)該參照一下標(biāo)準(zhǔn)：

　　很少出現(xiàn)誤報(bào)

　　(例如，不應(yīng)該拒絕授權(quán)請(qǐng)求等)

　　默認(rèn)防御的強(qiáng)度

　　容易操作模式

　　·可以預(yù)防的漏洞類型

　　·能夠限制個(gè)人用戶只能在當(dāng)前對(duì)話中所看到的內(nèi)容

　　·配置預(yù)防特定問(wèn)題的能力

　　如緊急補(bǔ)丁等

　　·WAF提供形式：軟件與硬件(一般偏好硬件)

　　Web應(yīng)用防火墻主要需要考慮的問(wèn)題

　　·WAF與源代碼掃描的比較

　　WAF能夠?qū)崟r(shí)保護(hù)應(yīng)用程序，而不是修復(fù)漏洞，這在過(guò)去一直受到大家的批評(píng)。有些供應(yīng)商甚至避免使用“WAF”字眼，而是采用“應(yīng)用層意識(shí)”或者“應(yīng)用層智能”來(lái)形容他們的產(chǎn)品。然而，現(xiàn)在越來(lái)越普遍的共識(shí)是，只有通過(guò)正確的部署，WAF才可以作為多層安全模型中重要的組成部分，因?yàn)閃AF可以在修復(fù)應(yīng)用程序漏洞的時(shí)候提供保護(hù)。

　　筆者曾與安全設(shè)備提供商交流中表示，應(yīng)用程序中存在太多漏洞，根本來(lái)不及修復(fù)代碼本身，并建議通過(guò)評(píng)估發(fā)現(xiàn)的漏洞應(yīng)該作為自定義規(guī)則嵌入WAF中，這樣就能夠減輕目前的狀況并能過(guò)后再修復(fù)問(wèn)題。

　　另一方面，Gartner公司建議客戶考慮采用消除應(yīng)用程序漏洞的技術(shù)，“在你花錢購(gòu)買設(shè)備之前，應(yīng)該考慮一下，能否通過(guò)更強(qiáng)大的系統(tǒng)開(kāi)發(fā)生命周期來(lái)消除漏洞，或者通過(guò)使用其他工具，如源代碼掃描器。”

　　對(duì)于大多數(shù)企業(yè)而言，采用其中任意一種方法就足夠了，雖然對(duì)于應(yīng)用安全需求很好的金融或內(nèi)源用戶而言，筆者認(rèn)為綜合的安全保護(hù)措施不失為更好的選擇。

　　·硬件設(shè)備與軟件比較

　　Jarden Consumer Solutions公司的全球網(wǎng)絡(luò)服務(wù)和運(yùn)作IT主管Jack Nelson表示，他們選擇硬件安全網(wǎng)關(guān)(集成Web應(yīng)用安全技術(shù))的主要原因在于，能夠有效的對(duì)這兩者進(jìn)行配置。Jarden公司有個(gè)沒(méi)有配備IT人員的遠(yuǎn)程辦公室，因此Nelson使用基于軟件的版本解決方案，這樣辦公室管理人員就可以在現(xiàn)有WAF失效的時(shí)候輕松將任何電腦配置為WAF。“這比購(gòu)買第二個(gè)防火墻更靈活，這樣比快速反應(yīng)維護(hù)費(fèi)要便宜，”他表示，這種界面非常簡(jiǎn)單并且不需要防火墻專家來(lái)配置，另外授權(quán)是基于密鑰的，這樣比較適用于遠(yuǎn)程。

　　部署web應(yīng)用防火墻方法二

　　可管理性 你需要執(zhí)行的第一個(gè)對(duì)比測(cè)試是可管理性。如果Web應(yīng)用防火墻難以管理，并不提供你需要的政策靈活性，稍后你將為此付出代價(jià)。雖然當(dāng)你在談?wù)摱ㄖ茟?yīng)用時(shí)，即插即用設(shè)備的要求可能有點(diǎn)太過(guò)分，但初始部署不應(yīng)太具挑戰(zhàn)性。

　　你會(huì)想知道能否通過(guò)努力讓W(xué)eb應(yīng)用防火墻來(lái)保護(hù)那些不需要不斷監(jiān)管和微調(diào)的應(yīng)用程序。 可讀警報(bào)和報(bào)告是Web應(yīng)用防火墻應(yīng)該具備的必要功能，這些功能能夠?yàn)槟闾峁╆P(guān)于Web應(yīng)用防火墻的精準(zhǔn)信息，并在出現(xiàn)問(wèn)題時(shí)，提供概述性的威脅描述。評(píng)估的互補(bǔ)方面是Web應(yīng)用防火墻的可用性，這包括提供清晰威脅信息的GUI，能夠向下挖取和審查警報(bào)的詳細(xì)信息。

　　理想情況下，你還能夠生成與配置和定制化報(bào)告，并能輕松地調(diào)整安全策略。 當(dāng)你在處理分布在世界各地的Web應(yīng)用基礎(chǔ)設(shè)施時(shí)，中央管理也很有幫助。你想要管理不同的WAF設(shè)備，而不需要分別連接到每個(gè)設(shè)備，這同樣也使企業(yè)能夠橫跨整個(gè)企業(yè)范圍建立、維護(hù)和執(zhí)行統(tǒng)一的安全政策。

　　性能 當(dāng)涉及Web應(yīng)用防火墻時(shí)，性能是一個(gè)關(guān)鍵因素。Web應(yīng)用防火墻的部署應(yīng)該不能影響現(xiàn)有基礎(chǔ)設(shè)施的性能，包括應(yīng)用程序和網(wǎng)絡(luò)設(shè)備等。這意味著即使Web應(yīng)用防火墻作為應(yīng)用程序的安全代理，該應(yīng)用程序應(yīng)該繼續(xù)能夠傳輸數(shù)據(jù)，而不會(huì)遇到請(qǐng)求積壓或者重負(fù)載的情況，該應(yīng)用程序應(yīng)該像沒(méi)有Web應(yīng)用防火墻一樣運(yùn)行。

　　從最終用戶的角度來(lái)看，Web應(yīng)用防火墻應(yīng)該是完全透明的。用戶不應(yīng)該遇到任何明顯的延遲或者服務(wù)阻礙。 為了避免性能降級(jí)，你要確保Web應(yīng)用防火墻的性能符合或者超過(guò)應(yīng)用程序基礎(chǔ)設(shè)施的其他因素。

　　最小誤報(bào) 誤報(bào)是一個(gè)很重要的方面。你不會(huì)希望看到Web應(yīng)用防火墻對(duì)于每個(gè)傳入的請(qǐng)求都發(fā)出警報(bào)。這就像“狼來(lái)了”一樣的道理，當(dāng)惡意請(qǐng)求真正來(lái)到時(shí)，你可能會(huì)因?yàn)檎`報(bào)大幅增加而忽視這個(gè)惡意請(qǐng)求。如果你是在阻止模式，這個(gè)問(wèn)題將更加嚴(yán)重。你想做的最后一件事情將是阻止合法流量，這最終將破壞部署在線應(yīng)用程序的意義。請(qǐng)確保你正在評(píng)估的Web應(yīng)用防火墻具有最小的誤報(bào)率，只有為數(shù)不多的幾個(gè)。

看了“怎么樣部署web應(yīng)用防火墻 ”文章的還看了：

1.WEB應(yīng)用防火墻的相關(guān)介紹

2.web防火墻功能有哪些呢

3.IPS web應(yīng)用防火墻如何防止cookie欺騙

4.用組策略部署Windows防火墻

5.Web安全問(wèn)題解答(2)

6.防火墻部署原則

7.imperva web應(yīng)用防火墻哪家的好