联合挑战第十期：应用防火墙PK传统防火墙

rickyfang

建议大家不防推荐下自己在企业中所使用的，以及使用心得。
百花齐放呗。

juncker

个人认为这是市场细分的结果,不同的客户有不同的需求: 如电信运营商,需要强大的吞吐量,在这种场合,对于应用层的分析并非主要关注方向,所以可以看到目前市场上出现了超大吞吐量的防火墙,例如天融信,山石近期推出了号称100G吞吐量的防火墙.
而中小企业用户关注的可能更多的是对应用层的防护,但并不需要有很大的流量，于是现在市场上充斥着x86的产品，这些产品大部分除了具有传统防火墙各种功能外，都集成了大量应用层的控制分析功能。

rickyfang

回复 107# juncker


    很赞同这种观点，市场需求才决定了一切，当然，也有厂商的推动下的需求。
   企业在选择这些产品时，最关键的是选择适合企业信息安全需求的产品，而不是最好、最贵的产品。

michael1983

Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。传统防火墙主要在于保护网络的外围部分，而WAF则部署在Web客户端与Web服务器之间。Web应用防火墙的最大好处是，帮助分析应用层的流量以发现任何违法安全政策的安全问题。
虽然传统的防火墙多年来在第三层有效地阻断了一些数据包，但它在阻止利用应用程序漏洞进行的攻击方面却无能为力。Web应用防火墙可检测应用程序异常情况和敏感数据（如信用卡和社会保险号等）是否正被窃取，并阻断攻击或隐蔽敏感数据。并且WAF可以检测出应用程序是否以其规定的方式在运行，并且能够帮助你编写更具体的安全政策以防止同样的事情再次发生。
现在越来越多的攻击已经开始由网络转移到应用程序，传统的防火墙已经很难应付这种日益增长的应用攻击，网银、在线支付，还有帖子里所述的各种案例情形，迫切的需要我们去研究新的功能产品去对付这种攻击。应用防火墙应运而生。
Web应用防火墙应该具有哪些特性呢？
——对HTTP有非常深入的理解，WAF必须能够深入分析和解析HTTP的有效性。
——提供正面的安全模型。积极的安全模型可以只允许已知流量通过，有时也被称为“白名单”，这就给应用程序提供了一个有效的外部验证盾牌保护。
——应用层规则。由于高昂的维护成本，积极的安全模式应该还要配合基于签名的系统来运作。但是由于web应用程序都是自定义编码的，传统的针对已知漏洞的签名都没有效。WAF规则应该是通用的并且能够检测攻击的任何变种，如SQL注入攻击。
——基于会话的保护：HTTP存在的最大缺点在于缺乏内置的可靠会话机制，WAF必须补充应用程序会话管理的功能并保护它免受基于会话和超时攻击。
——允许细粒度政策管理。应该对很少部分的应用程序执行例外处理，否则，可能造成安全漏洞。
虽然WAF看起来很先进，但是我还是有一些问题需要确认：
1、web应用防火墙是放在web客户端和服务器之间的，相当于除了传统防火墙之外，又加了一层防火墙，这样我的web访问效率是不是会大幅降低？
2、看起来，web应用防火墙是针对应用程序来进行设置的，那么是否每个应用都需要设置一个规则呢？如果是这样的话，我的web应用很多，工作量岂不是很大？
3、会不会有误拦截的情况呢？比如一个正常的请求可能包含了规则中规定的违禁字符，导致被拦截，会不会对用户满意度造成影响呢？
4、应用防火墙的报表报告机制如何？预警监控机制是怎么做的？
其实说白了，目前使用WAF的主要动力来自于支付卡行业数据安全标准(PCI DSS)，该标准主要通过两个办法来审查是否合规：WAF和代码审查。另外一个因素就是，大家越来越多的意识到攻击已经开始由网络转移到应用程序。正是由于这两个原因，WAF才被大家所认识和接受，希望WAF有美好的未来。

baopbird2005

哇哦 结果出来的很快啊

renxiao2003

中了。呵呵。

renxiao2003

2、我们将从大家提出的和应用防火墙相关的问题中，选取10个具有代表性的，被选中的网友每人将会得到精美的礼品！

这个还没有开奖啊啊。

罗格

这个还没有开奖啊啊。
renxiao2003 发表于 2010-10-29 23:09

    已经公布了，呵呵。

renxiao2003

回复 119# 罗格


    呵呵。抢楼中了一次。抽又中了一次。高兴。呵呵。

tianjinwuzi

已按要求把通讯地址发送给vcanb。请查收。