Web 應(yīng)用防火墻(WAF) 幫助企業(yè)消除常見(jiàn)的網(wǎng)站攻擊和破壞，保護(hù)網(wǎng)站正常運(yùn)行時(shí)間和存儲(chǔ)敏感信息的帳戶(hù)。WAF 充當(dāng)網(wǎng)站與所有HTTP和HTTPS流量之間的一道防線，檢查進(jìn)入網(wǎng)站的每個(gè)請(qǐng)求并觀察互聯(lián)網(wǎng)流量的趨勢(shì)以確定來(lái)自攻擊者的內(nèi)容。許多安全供應(yīng)商為企業(yè)提供 Web 應(yīng)用程序防火墻，以將其作為設(shè)備、云或軟件安裝在其Web 服務(wù)器上。

跳到：

• 什么是 Web 應(yīng)用程序防火墻？
• 比較最佳的 Web 應(yīng)用程序防火墻解決方案

• • 強(qiáng)化 WAF
  • Cloudflare WAF
  • 亞馬遜網(wǎng)絡(luò)服務(wù) WAF
  • 梭子魚(yú)網(wǎng)絡(luò)WAF
  • Akamai Kona
  • Fortinet FortiWeb
  • WAF果汁

• Web 應(yīng)用程序防火墻的類(lèi)型有哪些？
• 為什么 Web 應(yīng)用程序防火墻很重要？
• 如何選擇 WAF 解決方案

什么是 WEB 應(yīng)用程序防火墻？

Web 應(yīng)用程序防火墻是一種保護(hù) Web 應(yīng)用程序或網(wǎng)站的安全服務(wù)。Web 應(yīng)用程序防火墻可用于許多不同的問(wèn)題，包括管理 Web 服務(wù)流量、根據(jù)組織的預(yù)定義規(guī)則允許和阻止 HTTP 和 HTTPS 請(qǐng)求，有時(shí)還可以根據(jù)威脅情報(bào)做出實(shí)時(shí)決策。

WAF 軟件還可以：

• 阻止常見(jiàn)的網(wǎng)站攻擊
• 保護(hù)組織的 Web 服務(wù)器

Web 應(yīng)用程序防火墻保護(hù)應(yīng)用程序和站點(diǎn)免受的攻擊類(lèi)型包括：

• 分布式拒絕服務(wù) (DDoS) 攻擊，這會(huì)導(dǎo)致服務(wù)器停機(jī)，因?yàn)樗鼈儠?huì)向服務(wù)器發(fā)出不合理數(shù)量的 IP 請(qǐng)求
• 零日攻擊，一旦威脅被公開(kāi)，就會(huì)立即針對(duì)安全漏洞
• SQL注入，利用不安全的代碼訪問(wèn)數(shù)據(jù)庫(kù)或主機(jī)等系統(tǒng)。
• 跨站腳本攻擊，使用動(dòng)態(tài)網(wǎng)頁(yè)生成進(jìn)入受限賬戶(hù)和編輯網(wǎng)站內(nèi)容

比較最佳的 WEB 應(yīng)用程序防火墻解決方案

以下七家 WAF 供應(yīng)商提供 Web 應(yīng)用程序防火墻解決方案，可阻止攻擊并提供附加功能，例如可定制的策略或規(guī)則集、高級(jí)威脅監(jiān)控或與第三方和其他供應(yīng)商安全產(chǎn)品的集成。在嘗試尋找適合您需求的 WAF 供應(yīng)商時(shí)，請(qǐng)考慮以下提供的 WAF 解決方案。

因佩瓦

Imperva 的 Web 應(yīng)用程序防火墻是提供商的 Web 應(yīng)用程序和網(wǎng)絡(luò)安全套件的一部分，通過(guò)基于云的內(nèi)容交付網(wǎng)絡(luò)(CDN) 交付。Imperva 的 CDN 不僅注重安全，而且高效：它減少了帶寬消耗并加快了頁(yè)面渲染速度。這使 WAF 能夠更快地響應(yīng)。CDN、DDoS 保護(hù)功能和 Web 應(yīng)用程序防火墻都是 Web 應(yīng)用程序和 API 保護(hù) (WAAP) 平臺(tái)的組成部分，Imperva 使用該平臺(tái)來(lái)改進(jìn)企業(yè) Web 應(yīng)用程序的緩存、負(fù)載平衡和安全性。

Imperva 的 WAF符合PCI標(biāo)準(zhǔn)，旨在保護(hù)第三方應(yīng)用程序、API、微服務(wù)、容器、虛擬機(jī)等。它會(huì)提醒用戶(hù)潛在的攻擊，并且無(wú)需高級(jí) HTTP 知識(shí)即可進(jìn)行配置。

主要特征：

• 自動(dòng)動(dòng)態(tài)應(yīng)用程序分析
• DDoS 防護(hù)
• PCI 合規(guī)性
• Imperva 客戶(hù)指出的高可靠性和穩(wěn)定性

Cloudflare

Cloudflare 為企業(yè)和 SaaS 提供商提供 Web 應(yīng)用程序防火墻。SaaS 解決方案還包括 SSL 證書(shū)、DDoS 緩解和機(jī)器人管理，這些組合可幫助企業(yè)保護(hù)其 Web 應(yīng)用程序免受攻擊。Cloudflare 是對(duì)于擁有多個(gè)云的企業(yè)來(lái)說(shuō)，這是一個(gè)很好的解決方案，因?yàn)樗亩嘣浦С趾w了負(fù)載均衡和 DNS 技術(shù)，適用于擁有多個(gè)云部署的企業(yè)。

Cloudflare 為前 10 個(gè) OWASP（開(kāi)放 Web 應(yīng)用程序安全項(xiàng)目）漏洞提供OWASP覆蓋。用戶(hù)自定義規(guī)則集以阻止某些模式或類(lèi)型的流量。Cloudflare 的 WAF 還監(jiān)控流量以獲取暴露的憑據(jù)，以防攻擊者使用竊取的憑據(jù)訪問(wèn)站點(diǎn)。

主要特征：

• 防御零日攻擊
• 可定制的規(guī)則集
• OWASP 覆蓋前 10 個(gè)漏洞
• Cloudflare 檢測(cè)到敏感數(shù)據(jù)時(shí)發(fā)出警報(bào)

亞馬遜網(wǎng)絡(luò)服務(wù) WAF

AWS Web 應(yīng)用程序防火墻通過(guò)監(jiān)控發(fā)送到其內(nèi)容交付網(wǎng)絡(luò) CloudFront 的 HTTP 和 HTTPS 請(qǐng)求來(lái)保護(hù)網(wǎng)站。用戶(hù)指定 CloudFront 用于允許或阻止流量的規(guī)則。雖然 AWS WAF 與亞馬遜的 CDN 集成，CloudFront 確實(shí)支持在其他地方托管的網(wǎng)站，因此用戶(hù)不必通過(guò) Amazon 托管網(wǎng)站即可使用防火墻。

AWS WAF 用戶(hù)可以在多個(gè)部署之間進(jìn)行選擇，包括 Amazon API Gateway 和 Application Load Balancer。企業(yè)添加規(guī)則的成本越高，但 AWS 提供了各種可定制的規(guī)則選項(xiàng)，包括 OWASP 十大漏洞和機(jī)器人管理。

主要特征：

• 機(jī)器人管理
• 與 Amazon 的 CDN CloudFront 集成
• 按使用付費(fèi)格式
• OWASP 漏洞管理

梭子魚(yú)網(wǎng)絡(luò)WAF

梭子魚(yú)網(wǎng)絡(luò)為云環(huán)境提供Web應(yīng)用防火墻；它保護(hù)托管在 Microsoft Azure 中的應(yīng)用程序。防火墻屬于梭子魚(yú)的云應(yīng)用程序保護(hù)平臺(tái)，用于保護(hù)應(yīng)用程序，使用自動(dòng)化、訪問(wèn)控制和高級(jí)機(jī)器人保護(hù)。梭子魚(yú)的 WAF 集成了多種服務(wù)，包括 Amazon CloudWatch 和 Microsoft Azure Sentinel。

梭子魚(yú)的防火墻也可以作為服務(wù)使用；WAF-as-a-sService 保護(hù) JSON 和 XML API。WAF 即服務(wù)也通過(guò)了 Azure 應(yīng)用程序的認(rèn)證。

主要特征：

• 高級(jí)機(jī)器人保護(hù) (ABP) 功能
• 自動(dòng)創(chuàng)建 API 規(guī)則集
• WAF 即服務(wù)選項(xiàng)
• 與 Amazon CloudWatch 和 Azure Sentinel 集成

Akamai Kona

安全提供商 Akamai 提供 Web 應(yīng)用程序防火墻 Kona Site Defender，可保護(hù)數(shù)據(jù)中心免受來(lái)自邊緣的攻擊。Akamai 擁有威脅情報(bào)根據(jù)出現(xiàn)的威脅和現(xiàn)有攻擊編輯 WAF 規(guī)則的團(tuán)隊(duì)。Kona 屬于其基于云的網(wǎng)絡(luò)安全平臺(tái)，該平臺(tái)還提供 12 種其他解決方案。

Akamai 針對(duì) SQLi 和跨站點(diǎn)腳本攻擊采取措施。它在應(yīng)用層控制中提供了預(yù)定義的規(guī)則，例如協(xié)議違規(guī)，但用戶(hù)也可以配置這些規(guī)則。Akamai 監(jiān)控警報(bào)和有關(guān)觸發(fā)警報(bào)或防火墻響應(yīng)的操作的更詳細(xì)數(shù)據(jù)。Akamai 還提供 IP 白名單和黑名單以及地理封鎖。用戶(hù)可以對(duì)基于數(shù)量的攻擊應(yīng)用速率控制。

主要特征：

• 基于容量的攻擊的速率控制
• 防止 SQL 注入和跨站點(diǎn)腳本
• 深度警報(bào)監(jiān)控和有關(guān)安全威脅的詳細(xì)數(shù)據(jù)
• 預(yù)定義但可配置的規(guī)則

Fortinet FortiWeb

Fortinet 的 Web 應(yīng)用程序防火墻可用于多種部署：

• 硬件設(shè)備
• 虛擬機(jī)
• 公共云
• 集裝箱電器
• 軟件即服務(wù)

其虛擬機(jī)部署提供多種虛擬環(huán)境，包括 VMWare 和 Microsoft Hyper-V，并支持三大公有云提供商以及 Oracle。

Fortinet 的 SaaS WAF 是基于云的，可在應(yīng)用層保護(hù) Web 應(yīng)用免受常見(jiàn)攻擊和 OWASP 十大漏洞。SaaS 版本還使用來(lái)自 Fortinet 的 FortiGuard 實(shí)驗(yàn)室的服務(wù)，例如沙盒和為 Web 應(yīng)用程序流量提供 IP 信譽(yù)管理。IP 信譽(yù)管理服務(wù)從多個(gè)來(lái)源收集 IP 數(shù)據(jù)，阻止已知的惡意模式。它與 Fortinet 的反僵尸網(wǎng)絡(luò)安全配合使用并阻止惡意僵尸網(wǎng)絡(luò)源。

主要特征：

• 多種部署選項(xiàng)
• 基于云的 SaaS 防火墻，帶有額外的 FortiGuard 服務(wù)
• IP聲譽(yù)和反僵尸網(wǎng)絡(luò)安全服務(wù)
• 與 AWS、HPE、Nutanix 和 Oracle 等多種 IT 服務(wù)集成

果汁

Sucuri 的 Web 應(yīng)用防火墻屬于其 Web 安全平臺(tái)，其中還包括一個(gè)入侵防御系統(tǒng)。Sucuri 保護(hù)網(wǎng)站免受零日攻擊和三層不同的 DDoS 攻擊。它的安全軟件更新補(bǔ)丁和服務(wù)器規(guī)則，以防止黑客利用最近發(fā)現(xiàn)的弱點(diǎn)。

Sucuri 為網(wǎng)絡(luò)和系統(tǒng)管理員提供了 IP 地址的許可名單，因此它們不會(huì)被阻止攻擊者的技術(shù)阻止。用戶(hù)還可以選擇為某些網(wǎng)頁(yè)選擇額外的保護(hù)，例如驗(yàn)證碼或雙因素身份驗(yàn)證選項(xiàng)。Sucuri 支持對(duì)每個(gè)站點(diǎn)進(jìn)行單獨(dú)的應(yīng)用程序分析，根據(jù)適合應(yīng)用程序配置文件的內(nèi)容分析請(qǐng)求。

主要特征：

• 快速修補(bǔ)和服務(wù)器規(guī)則更新
• 應(yīng)用于網(wǎng)頁(yè)的附加保護(hù)
• 系統(tǒng)管理員的 IP 地址白名單
• 對(duì)提供大量攻擊的國(guó)家進(jìn)行地理封鎖

WEB 應(yīng)用程序防火墻的類(lèi)型有哪些？

三種主要的 Web 應(yīng)用程序防火墻類(lèi)型在成本和部署方面各不相同。

網(wǎng)絡(luò)設(shè)備WAF

網(wǎng)絡(luò)設(shè)備 WAF 是本地安裝的硬件，用于保護(hù)本地 Web 應(yīng)用程序托管。網(wǎng)絡(luò)設(shè)備防火墻可以由辦公室或本地?cái)?shù)據(jù)中心的管理員直接管理。它們的維護(hù)成本也很高，并且組織負(fù)責(zé)所有硬件維護(hù)。

云托管的 WAF

云托管的 Web 應(yīng)用程序防火墻可以是混合部署或純?cè)撇渴?。如果它們完全是云，則提供商負(fù)責(zé)管理硬件和網(wǎng)絡(luò)，從而減輕企業(yè)的任何管理負(fù)擔(dān)。云托管的 WAF 非常適合沒(méi)有空間或資源來(lái)安裝本地 WAF 的企業(yè)。

基于主機(jī)的WAF

基于主機(jī)的 Web 應(yīng)用程序防火墻作為軟件安裝在服務(wù)器或計(jì)算機(jī)上，并使用該 Web 服務(wù)器的資源來(lái)運(yùn)行。基于主機(jī)的 WAF 與其他防火墻不同，因?yàn)樗鼈儼惭b在設(shè)備上而不是網(wǎng)絡(luò)層。但是，某些攻擊不需要通過(guò)基于主機(jī)的防火墻，然后可能會(huì)穿過(guò)屏障。

為什么 WEB 應(yīng)用程序防火墻很重要？

Web 應(yīng)用程序防火墻專(zhuān)用于保護(hù)網(wǎng)站和 Web 服務(wù)器免受常規(guī)攻擊，這些攻擊可能會(huì)耗費(fèi)企業(yè)資金和敏感數(shù)據(jù)。Web 應(yīng)用程序防火墻阻止常見(jiàn)的基于 Web 的攻擊，這些攻擊可能導(dǎo)致數(shù)據(jù)被盜、站點(diǎn)停機(jī)和財(cái)務(wù)損失。

WAF 軟件還有：

• 增加保持站點(diǎn)和服務(wù)器正常運(yùn)行的可能性，因?yàn)榱髁炕陬A(yù)定義的策略和自動(dòng)更新的攻擊簽名受到限制。網(wǎng)站通常是企業(yè)收入的主要來(lái)源——所有在線購(gòu)買(mǎi)和帳戶(hù)會(huì)話都是通過(guò)該網(wǎng)站完成的。
• 捕獲運(yùn)行腳本中的問(wèn)題，這些腳本旨在看起來(lái)像無(wú)辜的互聯(lián)網(wǎng)流量
• 通過(guò)訪問(wèn)經(jīng)常更新的惡意代碼記錄并定期掃描流量以查找奇怪的簽名或其他異常情況來(lái)阻止惡意機(jī)器人攻擊

如何選擇 WAF 解決方案

如果您的企業(yè)正在考慮實(shí)施 Web 應(yīng)用程序防火墻，請(qǐng)考慮以下問(wèn)題：

• 防火墻是否經(jīng)常更新惡意簽名，將它們添加到已知可疑代碼的列表或數(shù)據(jù)庫(kù)中，并在短時(shí)間內(nèi)阻止新的？由于攻擊者有時(shí)會(huì)利用最近發(fā)現(xiàn)的漏洞，因此擁有能夠快速為這些攻擊做好準(zhǔn)備的 WAF 可以減少站點(diǎn)違規(guī)的數(shù)量。
• WAF 部署類(lèi)型是否適合您的業(yè)務(wù)？如果您需要密切配置防火墻的所有方面并擁有本地硬件，那么網(wǎng)絡(luò)設(shè)備防火墻可能是您組織的正確選擇。但是，如果您想花更少的錢(qián)并且沒(méi)有現(xiàn)場(chǎng)資源，那么基于云的防火墻將減輕您必須做的 IT 配置。
• 防火墻的集成是什么樣的？它是否適用于其他安全平臺(tái)？另一個(gè)考慮因素是您想一次實(shí)施多少個(gè)安全解決方案；供應(yīng)商是否提供多個(gè)協(xié)同工作的應(yīng)用程序安全解決方案？