您想在 Web 應(yīng)用程序防火墻（云 WAF）中尋找的一切。您是否知道即使是最嚴(yán)重的漏洞也可能需要長(zhǎng)達(dá) 5 個(gè)月的時(shí)間才能修復(fù)？Web 應(yīng)用程序安全統(tǒng)計(jì)報(bào)告指出，大多數(shù)公司平均在 146 天內(nèi)修復(fù)關(guān)鍵漏洞。

黑客會(huì)等待您的開(kāi)發(fā)人員修補(bǔ)代碼嗎？即使他們手頭有時(shí)間，您不希望將時(shí)間花在更關(guān)鍵的業(yè)務(wù)功能上嗎？這就是您需要?有效且經(jīng)濟(jì)高效的云 WAF 的原因。

根據(jù)開(kāi)放 Web 應(yīng)用程序安全項(xiàng)目 (OWASP)，WAF 將一組規(guī)則應(yīng)用于 HTTP 會(huì)話以阻止常見(jiàn)攻擊。這意味著Web 應(yīng)用程序防火墻(WAF) 旨在修補(bǔ)應(yīng)用程序的弱點(diǎn)。它可以阻止利用跨站點(diǎn)偽造、跨站點(diǎn)腳本 (XSS)、文件包含和 SQL 注入的攻擊，而無(wú)需在應(yīng)用程序中進(jìn)行開(kāi)發(fā)/代碼更改。

聽(tīng)起來(lái)很容易，對(duì)吧？然而，由于有數(shù)十家 WAF 供應(yīng)商且缺乏相關(guān)的技術(shù)指南，公司常常難以找到合適的產(chǎn)品。我們的安全分析師和行業(yè)專家專門(mén)為比較不同 WAF 產(chǎn)品的公司編寫(xiě)了本指南。以下是應(yīng)在清單頂部的功能。

1. 云可用性

（使用混合部署模型）2008 年，亞利桑那州立大學(xué)發(fā)表了一篇關(guān)于云計(jì)算未來(lái)的革命性文章。他們將 SaaS 模型與電力進(jìn)行了比較。當(dāng)您插入烤面包機(jī)時(shí)，您不必考慮電子從源（煤/核/水力發(fā)電站）行進(jìn)多遠(yuǎn)來(lái)為您的家供電。您知道那里有電，您可以每月支付使用費(fèi)。您可能永遠(yuǎn)不會(huì)想知道建立這樣一個(gè)發(fā)電廠的成本是多少。

Web 應(yīng)用程序防火墻（以及整個(gè) SaaS 行業(yè)）也以類(lèi)似的方式發(fā)展。早些時(shí)候，當(dāng)您不得不投資于本地 WAF 時(shí)，只有價(jià)值數(shù)百萬(wàn)美元的組織才能負(fù)擔(dān)得起。

隨著在線業(yè)務(wù)的蓬勃發(fā)展，安全問(wèn)題和要求也在增長(zhǎng)。并非每家在線公司都愿意在安裝的設(shè)備上花費(fèi)如此大的資金，而這些設(shè)備也需要軟件升級(jí)。它緩慢、昂貴且不必要。如今，WAF是指數(shù)級(jí)增長(zhǎng)的在線企業(yè)的首選，這些企業(yè)希望易于部署和降低每月成本。

• 無(wú)需巨額預(yù)付款的月度安全訂閱
• 帶寬靈活性
• 自動(dòng)更新以修補(bǔ)零日漏洞
• 快速自定義規(guī)則部署
• 具有成本效益的 PCI 合規(guī)性

此外，支持混合部署模型也很重要，?以使您能夠過(guò)渡到云（如果需要），這不可能在一夜之間發(fā)生。您根本不能在遷移到云期間延遲安全選擇，如果本地部署不支持免費(fèi)遷移到云，您也不能對(duì)本地部署進(jìn)行投資。

采用云 WAF 的主要障礙之一是擔(dān)心額外的躍點(diǎn)可能會(huì)影響網(wǎng)站的性能和響應(yīng)時(shí)間。這是一個(gè)有效的擔(dān)憂，但可以根據(jù)云 WF 可以啟用的某些功能輕松緩解。大多數(shù)云 WAF 提供商應(yīng)該提供一個(gè)選項(xiàng)來(lái)啟用 CDN 以及 WAF 服務(wù)，而無(wú)需額外費(fèi)用。這可以確保您實(shí)際上可以提高網(wǎng)站性能和安全性，因?yàn)榇蠖鄶?shù)網(wǎng)站（甚至是動(dòng)態(tài)網(wǎng)站）都有超過(guò) 75% 的靜態(tài)內(nèi)容可以從用戶瀏覽的最近邊緣自動(dòng)提供。還要檢查云 WAF 基礎(chǔ)設(shè)施是否托管和構(gòu)建在現(xiàn)有的公共云架構(gòu)（如 AWS 或 Azure）上，確保在所有這些部署模型中都有一個(gè)集中式控制臺(tái)，用于管理和查看提供給客戶的應(yīng)用程序安全性。

2. DDoS防護(hù)

分布式拒絕服務(wù) (?DDoS?) 攻擊使在線服務(wù)不可用。此類(lèi)攻擊利用大量僵尸/受損/被黑客入侵的系統(tǒng)或其他網(wǎng)絡(luò)資源。根據(jù)定義，每個(gè)網(wǎng)站都容易受到 DDoS 攻擊。

DDoS 攻擊的成本高達(dá)每小時(shí) 100,000 美元，如果您計(jì)劃比較 Web 應(yīng)用程序防火墻，最好有某種DDoS 保護(hù)以免受這些攻擊。現(xiàn)代的智能 WAF 持續(xù)監(jiān)控您的流量，以防止第 3、4 和 7 層攻擊。他們的全球威脅數(shù)據(jù)庫(kù)將攻擊歷史和威脅情報(bào)提供給您的 WAF 以進(jìn)行保護(hù)。

• 實(shí)時(shí)流量可見(jiàn)性
• 即時(shí)第 3、4 和 7 層保護(hù)
• 沒(méi)有停機(jī)時(shí)間
• 阻止來(lái)自某些國(guó)家、IP 的流量的即時(shí)規(guī)則
• 全球威脅數(shù)據(jù)庫(kù)

3. 自定義規(guī)則

（基于具有快速、托管保護(hù)的應(yīng)用程序風(fēng)險(xiǎn)）假設(shè)您的應(yīng)用程序中有一個(gè)專有漏洞（OWASP 稱之為業(yè)務(wù)邏輯缺陷），并且您希望 WAF 覆蓋它。那會(huì)有多困難？

有幾個(gè) Web 應(yīng)用程序防火墻供應(yīng)商會(huì)根據(jù)每個(gè)請(qǐng)求收取創(chuàng)建自定義規(guī)則的費(fèi)用。如果您有一個(gè)需要多個(gè)規(guī)則的復(fù)雜網(wǎng)站，那將是令人沮喪和昂貴的。此外，請(qǐng)確保供應(yīng)商提供的保證將檢查誤報(bào)。測(cè)試并將它們置于阻止模式的責(zé)任不應(yīng)僅由客戶承擔(dān)，還應(yīng)由提供這些規(guī)則和安全策略更新的供應(yīng)商承擔(dān)。尋找以服務(wù)水平協(xié)議(SLA)為后盾的零誤報(bào)保證來(lái)支持其自定義規(guī)則服務(wù)的供應(yīng)商。

理想情況下，Web 應(yīng)用程序防火墻應(yīng)允許您從門(mén)戶網(wǎng)站請(qǐng)求自定義規(guī)則，而無(wú)需為此大驚小怪或?yàn)槊總€(gè)請(qǐng)求收費(fèi)。確保在付款前比較不同 WAF 供應(yīng)商的此功能。

• 創(chuàng)建額外保護(hù)規(guī)則不收取任何費(fèi)用
• 簡(jiǎn)單的規(guī)則請(qǐng)求
• 安全分析師創(chuàng)建的規(guī)則消除誤報(bào)

在不了解您的應(yīng)用程序漏洞的情況下啟用 WAF 策略可能會(huì)使您的應(yīng)用程序處于高風(fēng)險(xiǎn)之中。重要的是，WAF 提供集成產(chǎn)品以包括應(yīng)用程序的安全測(cè)試和集成產(chǎn)品以立即防范這些風(fēng)險(xiǎn)，以及請(qǐng)求自定義規(guī)則的選項(xiàng)。此外，WAF 必須附帶可以從第一天開(kāi)始以 BLOCK 模式部署的默認(rèn)策略，以便可以立即阻止大多數(shù)常見(jiàn)攻擊。

4. Block-Log-挑戰(zhàn)開(kāi)關(guān)

安全情報(bào)是一項(xiàng)無(wú)與倫比的資產(chǎn)。它可以幫助您構(gòu)建更強(qiáng)大的 Web 應(yīng)用程序來(lái)保護(hù)請(qǐng)求，保護(hù)關(guān)鍵數(shù)據(jù)。WAF 日志對(duì)于構(gòu)建中央安全情報(bào)存儲(chǔ)庫(kù)至關(guān)重要。基本的 Web 應(yīng)用程序防火墻充當(dāng)機(jī)器人，根據(jù)預(yù)先編寫(xiě)的規(guī)則阻止請(qǐng)求，而智能 WAF 則賦予您決策權(quán)。

• 阻止 -完全阻止請(qǐng)求。用戶/攻擊者不會(huì)繞過(guò)請(qǐng)求（對(duì)于關(guān)鍵資產(chǎn)和請(qǐng)求）
• 日志- 標(biāo)記研究用戶行為的請(qǐng)求。查看日志后啟用阻止或質(zhì)詢
• 挑戰(zhàn)- 拋出驗(yàn)證碼請(qǐng)求以允許訪問(wèn)
• 使用上述每個(gè)事件作為情報(bào)的基礎(chǔ)單元來(lái)學(xué)習(xí)和更新策略，以進(jìn)一步加強(qiáng)防御態(tài)勢(shì)并防止未來(lái)的攻擊

5. 免費(fèi)、全功能試用

這是不費(fèi)吹灰之力的。您不會(huì)想在沒(méi)有試用的情況下購(gòu)買(mǎi)關(guān)鍵工具，例如 Web 應(yīng)用程序防火墻。畢竟，您只會(huì)在入職后評(píng)估潛在的好處和/或產(chǎn)品兼容性問(wèn)題。

確保您比較的云 WAF 具有全功能試用選項(xiàng)，沒(méi)有“退款”或“我們需要一張卡進(jìn)行身份驗(yàn)證”的先決條件。您不希望為 3 種不同的訂閱輸入信用卡以進(jìn)行試用并最終被收取費(fèi)用。

理想情況下，一個(gè)全功能的 WAF 試用版應(yīng)該包括它必須為測(cè)試提供的所有內(nèi)容，但您也可以滿足以下條件：

• 保護(hù)OWASP 前 10和 SANS 25 問(wèn)題
• 零日漏洞保護(hù)
• 一鍵式國(guó)家/IP黑名單
• 對(duì)儀表板（包括報(bào)告）的完全訪問(wèn)權(quán)限
• 抗DDoS
• 試用期間的問(wèn)題聊天/電子郵件/電話支持
• 至少 30 GB 的帶寬
• 使用安全掃描對(duì)您的應(yīng)用程序進(jìn)行安全評(píng)估
• 海關(guān)規(guī)則和虛擬補(bǔ)丁
• 清楚地了解與發(fā)生的攻擊相關(guān)的安全風(fēng)險(xiǎn)

總結(jié)

無(wú)論您是初創(chuàng)公司、小型企業(yè)還是蓬勃發(fā)展的巨頭，Web 應(yīng)用程序防火墻已成為現(xiàn)代在線業(yè)務(wù)的必需品。無(wú)論您公司的修補(bǔ)能力如何，您都無(wú)法承受客戶數(shù)據(jù)、金融交易和資產(chǎn)可用性方面的風(fēng)險(xiǎn)。此外，WAF 必須通過(guò)允許混合部署模型來(lái)促進(jìn)客戶采用云的旅程，但具有集中式窗格的云優(yōu)勢(shì)，可以查看所有 Web 應(yīng)用程序的安全狀況，而與防火墻的部署位置無(wú)關(guān)