防火牆是過濾網路上傳入和傳出流量的韌體的通用術語。這個廣泛定義中有幾個類別,它們提供的保護類型不同。 其中包括狀態檢查、封包過濾、代理伺服器和次世代防火牆 (NGFW)。
WAF 是另一種類型的防火牆,其特點是過濾資料包的方式。WAF 檢查網路的應用程式層,並可以防止許多其他類型的防火牆無法察覺的攻擊。例如,常規防火牆不會偵測 SQL 注入攻擊,因為它不會檢查應用程式請求的有效負載,例如 SQL 查詢。
與可以封鎖來自特定 IP 範圍、地理位置等的流量的傳統防火牆不同,WAF 可讓您定義規則,排除看似惡意的特定類型的應用程式行為。
網路應用程式伺服器主要有三種:網路WAF、基於主機的WAF和雲端WAF。
通常基於硬件,可以使用專用設備在本地安裝,並且可以盡可能靠近現場應用程式安裝以減少延遲。
大多數基於硬體的 WAF 允許您在裝置之間複製規則和設置,以支援企業網路上的大規模部署。網路 WAF 的缺點是需要大量的前期投資以及持續的維護成本。
基於硬體的 WAF 的替代方案是將 WAF 作為虛擬設備運行,通常使用網路功能虛擬化 (NVF) 技術在本地運行,或透過部署預先配置的雲端電腦映像在公有雲中運行。這可以減少資本開支,但仍然會產生維護開支。
可以完全整合到您的應用程式程式碼中。這種部署模型的優點包括成本大幅降低和客製化能力得到改善。然而,基於主機的WAF部署起來比較複雜,需要在應用程式伺服器上安裝特定的庫,並依賴伺服器資源才能有效運作。WAF 也成為網路應用程式的依賴項,需要在整個開發生命週期中進行管理。
這是一種經濟高效的選項,可提供交鑰匙 WAF 解決方案,無需前期投資且可快速部署。雲端 WAF 解決方案通常基於訂閱,只需要簡單的 DNS 或代理配置即可開始工作。基於雲端的 WAF 可以存取不斷更新的威脅情報,還可以提供託管服務來幫助您定義安全規則並在攻擊發生時做出回應。
雲端 WAF 面臨的挑戰是您需要信任您的供應商將所有流量路由到您的網路應用程式。如果 WAF 提供商出現故障,您的網站也會出現故障,如果性能不佳,則您的網站性能將受損。 這就是為什麼大多數雲端 WAF 供應商提供整合的 WAF、CDN 和 DDoS 保護解決方案,以確保正常運行時間和最小延遲。
網路應用程式防火牆有多種可能的部署模式:
在每個部署模型中,WAF 始終位於網路應用程式的前面,攔截應用程式和 Internet 之間的所有流量。
白名單與黑名單
WAF 可以在白名單模型中運行,僅允許已知良好的應用程式流量進入,也可以在黑名單模型中運行,阻止與已知攻擊模式或安全規則匹配的流量。
WAFs 會攔截 HTTP/S 請求,檢查它們,並且只有在確認它們不是惡意的時候才允許它們通過。 以同樣的方式,它檢查伺服器回應,檢查它們是否存在已知的網路應用程式攻擊模式,例如會話劫持、緩衝區溢位、XSS、命令和控制 (C&C) 通訊或拒絕服務 (DoS) 。
WAF 通常提供以下功能:
WAF 部署在邊緣,並嘗試過濾和封鎖懷疑為惡意的流量。 傳統上,此篩選是使用 WAF 供應商即開啟提供的規則來執行,或由部署 WAF 的組織自訂。
基於規則的 WAF 的問題是它們需要非常高的維護。 組織必須精心定義與其特定應用程式模式相符的規則,隨著新應用程式的採用和應用程式的發展,這些規則可能會隨著時間的推移而變化。這也使得處理不斷變化的威脅向量變得更困難 — 新的攻擊可能需要新的規則。
另一個挑戰是在微服務環境中執行 WAF。在大型微服務應用程式中,每天會多次發布新版本的微服務。部署 WAF 並為每個元件更新規則集簡單不實際。 這意味著在許多情況下,微服務將不受 WAF 的保護。
Appsec 一直具有挑戰性,但隨著開發速度比以往任何時候都快,在不造成大量 WAF 維護或阻止合法用戶的情況下保護應用程式幾乎是不可能的。
Check Point 的CloudGuard AppSec使用人工智慧為客戶提供更好的安全覆蓋範圍,同時降低管理費用。
透過與開發營運一樣快速的自動化解決方案來阻止誤報、保護應用程式和應用程式開發界面,該解決方案提供:精確預防、零策略管理、在任何環境上的自動部署。
立即開始免費試用並保護您的應用程序。
反映意見