WAF 或 Web 應(yīng)用程序防火墻是一種重要的安全工具/產(chǎn)品，可讓您主動(dòng)保護(hù)您的網(wǎng)站/Web 應(yīng)用程序免受惡意攻擊，并保持對(duì)不良行為者/流量的強(qiáng)大防御。Web App Firewalls 可防御已知威脅，例如SQL 注入、DDoS 攻擊、跨站點(diǎn)偽造、跨站點(diǎn)腳本 (XSS)、文件包含和點(diǎn)擊劫持等。

在當(dāng)今的現(xiàn)代 IT 環(huán)境中構(gòu)建和部署 WAF，具有多個(gè)移動(dòng)部件和第三方組件的日益復(fù)雜的應(yīng)用程序是一個(gè)關(guān)鍵而艱難的過(guò)程。這是幫助您瀏覽此過(guò)程的指南。

WAF 是如何工作的？

Web應(yīng)用防火墻是應(yīng)用前面的透明反向代理，保證所有流量都通過(guò)它，并分別將過(guò)濾后的流量發(fā)送給應(yīng)用，隱藏應(yīng)用服務(wù)的IP地址。它本質(zhì)上是在所有請(qǐng)求到達(dá)您的 Web 服務(wù)器/應(yīng)用程序之前根據(jù)規(guī)則（稱為策略）監(jiān)視和解析所有請(qǐng)求。這些策略使 Web App Firewall 能夠確保惡意請(qǐng)求和負(fù)載不會(huì)降級(jí)、破壞或?qū)⒛膽?yīng)用程序暴露給 DDoS 或其他威脅，或?qū)е聰?shù)據(jù)泄露。如果發(fā)現(xiàn)漏洞或錯(cuò)誤配置，這些策略會(huì)告訴防火墻需要做什么。

基礎(chǔ)工作：了解應(yīng)用程序/網(wǎng)站以及 WAF 上下文與它的關(guān)系

規(guī)劃是構(gòu)建防火墻的關(guān)鍵第一步。了解和分析與應(yīng)用程序相關(guān)的工程問(wèn)題、您的獨(dú)特上下文以及 Web 應(yīng)用程序安全性的特殊需求。請(qǐng)記住，鑒于當(dāng)今世界的復(fù)雜性和活力不斷增加，傳統(tǒng)/傳統(tǒng)的 Web 安全方法和萬(wàn)能的開(kāi)源 Web App Firewall 無(wú)法勝任。因此，了解您的目標(biāo)是什么、WAF 在您的安全解決方案中的位置以及相應(yīng)地定制安全性至關(guān)重要。

根據(jù)您的需求、環(huán)境和預(yù)算限制，您必須決定如何部署您的防火墻—??—作為硬件、軟件或云 WAF。這些部署模式中的每一種都有其獨(dú)特的優(yōu)點(diǎn)和缺點(diǎn)。然而，云 WAF 因其成本效益、易于部署、可擴(kuò)展性和敏捷性而受到組織和安全專家的廣泛青睞。

另一個(gè)重要的決定是您是想自己構(gòu)建 WAF 還是將其加載到 AppTrana 提供的全面智能解決方案上。無(wú)論哪種情況，您都必須完成以下步驟。

選擇正確的安全模型

Web App Firewall 遵循 3 種安全模型 –

黑名單/負(fù)面模型允許所有流量，同時(shí)監(jiān)控和防止/阻止所有已知威脅和惡意請(qǐng)求。它要求 WAF 不斷地從事行為學(xué)習(xí)，否則，該模型將變得無(wú)效。

白名單/正模型，其中所有預(yù)期的預(yù)先批準(zhǔn)的請(qǐng)求/流量都被阻止。它可能導(dǎo)致高誤報(bào)（合法請(qǐng)求被拒絕），這是有害的，因此，定期和持續(xù)的調(diào)整和配置對(duì)于該模型的有效性是必不可少的。

混合安全模型結(jié)合了正面和負(fù)面模型，以最大限度地減少兩者的缺點(diǎn)并提高 Web 應(yīng)用程序的安全性。

您必須為您的環(huán)境和需求選擇正確的模型。WAF 提供的模型只是部署的起點(diǎn)，并且考慮到 Web 應(yīng)用程序的動(dòng)態(tài)特性，混合安全模型是/應(yīng)該是任何嚴(yán)肅的事務(wù)性 Web 應(yīng)用程序的起點(diǎn)，并且在部署后如何配置它是當(dāng)您開(kāi)始獲得來(lái)自 WAF 的真正價(jià)值。

創(chuàng)建和配置 WAF 策略

在下一步中，您需要制定所有必要的策略，首先從基本策略開(kāi)始——分析流量、了解 OWASP 的模式和 MO 以及其他已知漏洞、發(fā)現(xiàn)漏洞的操作等。如果您正在加入服務(wù)， Web App Firewall 將已有默認(rèn)策略。

制定基本策略后，您必須配置和調(diào)整這些策略，并根據(jù)您在規(guī)劃階段確定的上下文和需求創(chuàng)建自定義策略。例如，如果您不在特定國(guó)家或大洲提供服務(wù)，您可以阻止這些地區(qū)訪問(wèn)您的應(yīng)用程序/網(wǎng)站。同樣，業(yè)務(wù)邏輯/策略更改可能會(huì)產(chǎn)生缺陷。因此，需要不斷調(diào)整 WAF 策略。

您還必須在 WAF 中啟用日志記錄和安全分析，以便安全專家可以密切監(jiān)控和管理安全。這是至關(guān)重要的，因?yàn)榇嬖跈C(jī)器無(wú)法注意到的缺陷，只有人類專家才能發(fā)現(xiàn)和糾正。

最重要的是嘗試保持 WAF 策略的更新，以防御現(xiàn)有的應(yīng)用程序安全風(fēng)險(xiǎn)，您可能會(huì)通過(guò) Web 應(yīng)用程序安全評(píng)估發(fā)現(xiàn)這些風(fēng)險(xiǎn)，并以這些策略和攻擊為基礎(chǔ)，作為在您的 WAF 上創(chuàng)建未來(lái)特定于應(yīng)用程序的更新的基礎(chǔ)。

用 AI-ML 讓 WAF 變得智能

通過(guò)根據(jù)您在應(yīng)用程序中從安全測(cè)試提要中發(fā)現(xiàn)的現(xiàn)有風(fēng)險(xiǎn)以及對(duì)您網(wǎng)站上發(fā)生的攻擊的了解不斷嘗試 WAF 策略更新，您可以使Web App Firewall更加有效。它將不斷從過(guò)去的攻擊歷史和全球威脅情報(bào)中學(xué)習(xí)，并將其映射到您現(xiàn)有的應(yīng)用程序安全風(fēng)險(xiǎn)中，這將使您能夠更準(zhǔn)確地降低風(fēng)險(xiǎn)。AppTrana 的 WAF，通過(guò)集成應(yīng)用程序安全風(fēng)險(xiǎn)評(píng)估和管理自定義規(guī)則/更新到您的 WAF 策略，提供特定于應(yīng)用程序上下文的更新。

讓自己了解安全方面的最新信息

您的 Web 應(yīng)用程序防火墻僅與您選擇的規(guī)則和模型一樣有效。了解安全方面的最新動(dòng)態(tài)和最佳實(shí)踐將使您能夠更好地調(diào)整您的 WAF 和您的安全解決方案。