WAF 或 Web 應(yīng)用程序防火墻是一種重要的安全工具/產(chǎn)品，可讓您主動保護您的網(wǎng)站/Web 應(yīng)用程序免受惡意攻擊，并保持對不良行為者/流量的強大防御。Web App Firewalls 可防御已知威脅，例如SQL 注入、DDoS 攻擊、跨站點偽造、跨站點腳本 (XSS)、文件包含和點擊劫持等。

在當(dāng)今的現(xiàn)代 IT 環(huán)境中構(gòu)建和部署 WAF，具有多個移動部件和第三方組件的日益復(fù)雜的應(yīng)用程序是一個關(guān)鍵而艱難的過程。這是幫助您瀏覽此過程的指南。

WAF 是如何工作的？

Web應(yīng)用防火墻是應(yīng)用前面的透明反向代理，保證所有流量都通過它，并分別將過濾后的流量發(fā)送給應(yīng)用，隱藏應(yīng)用服務(wù)的IP地址。它本質(zhì)上是在所有請求到達您的 Web 服務(wù)器/應(yīng)用程序之前根據(jù)規(guī)則（稱為策略）監(jiān)視和解析所有請求。這些策略使 Web App Firewall 能夠確保惡意請求和負(fù)載不會降級、破壞或?qū)⒛膽?yīng)用程序暴露給 DDoS 或其他威脅，或?qū)е聰?shù)據(jù)泄露。如果發(fā)現(xiàn)漏洞或錯誤配置，這些策略會告訴防火墻需要做什么。

基礎(chǔ)工作：了解應(yīng)用程序/網(wǎng)站以及 WAF 上下文與它的關(guān)系

規(guī)劃是構(gòu)建防火墻的關(guān)鍵第一步。了解和分析與應(yīng)用程序相關(guān)的工程問題、您的獨特上下文以及 Web 應(yīng)用程序安全性的特殊需求。請記住，鑒于當(dāng)今世界的復(fù)雜性和活力不斷增加，傳統(tǒng)/傳統(tǒng)的 Web 安全方法和萬能的開源 Web App Firewall 無法勝任。因此，了解您的目標(biāo)是什么、WAF 在您的安全解決方案中的位置以及相應(yīng)地定制安全性至關(guān)重要。

根據(jù)您的需求、環(huán)境和預(yù)算限制，您必須決定如何部署您的防火墻—??—作為硬件、軟件或云 WAF。這些部署模式中的每一種都有其獨特的優(yōu)點和缺點。然而，云 WAF 因其成本效益、易于部署、可擴展性和敏捷性而受到組織和安全專家的廣泛青睞。

另一個重要的決定是您是想自己構(gòu)建 WAF 還是將其加載到 AppTrana 提供的全面智能解決方案上。無論哪種情況，您都必須完成以下步驟。

選擇正確的安全模型

Web App Firewall 遵循 3 種安全模型 –

黑名單/負(fù)面模型允許所有流量，同時監(jiān)控和防止/阻止所有已知威脅和惡意請求。它要求 WAF 不斷地從事行為學(xué)習(xí)，否則，該模型將變得無效。

白名單/正模型，其中所有預(yù)期的預(yù)先批準(zhǔn)的請求/流量都被阻止。它可能導(dǎo)致高誤報（合法請求被拒絕），這是有害的，因此，定期和持續(xù)的調(diào)整和配置對于該模型的有效性是必不可少的。

混合安全模型結(jié)合了正面和負(fù)面模型，以最大限度地減少兩者的缺點并提高 Web 應(yīng)用程序的安全性。

您必須為您的環(huán)境和需求選擇正確的模型。WAF 提供的模型只是部署的起點，并且考慮到 Web 應(yīng)用程序的動態(tài)特性，混合安全模型是/應(yīng)該是任何嚴(yán)肅的事務(wù)性 Web 應(yīng)用程序的起點，并且在部署后如何配置它是當(dāng)您開始獲得來自 WAF 的真正價值。

創(chuàng)建和配置 WAF 策略

在下一步中，您需要制定所有必要的策略，首先從基本策略開始——分析流量、了解 OWASP 的模式和 MO 以及其他已知漏洞、發(fā)現(xiàn)漏洞的操作等。如果您正在加入服務(wù)， Web App Firewall 將已有默認(rèn)策略。

制定基本策略后，您必須配置和調(diào)整這些策略，并根據(jù)您在規(guī)劃階段確定的上下文和需求創(chuàng)建自定義策略。例如，如果您不在特定國家或大洲提供服務(wù)，您可以阻止這些地區(qū)訪問您的應(yīng)用程序/網(wǎng)站。同樣，業(yè)務(wù)邏輯/策略更改可能會產(chǎn)生缺陷。因此，需要不斷調(diào)整 WAF 策略。

您還必須在 WAF 中啟用日志記錄和安全分析，以便安全專家可以密切監(jiān)控和管理安全。這是至關(guān)重要的，因為存在機器無法注意到的缺陷，只有人類專家才能發(fā)現(xiàn)和糾正。

最重要的是嘗試保持 WAF 策略的更新，以防御現(xiàn)有的應(yīng)用程序安全風(fēng)險，您可能會通過 Web 應(yīng)用程序安全評估發(fā)現(xiàn)這些風(fēng)險，并以這些策略和攻擊為基礎(chǔ)，作為在您的 WAF 上創(chuàng)建未來特定于應(yīng)用程序的更新的基礎(chǔ)。

用 AI-ML 讓 WAF 變得智能

通過根據(jù)您在應(yīng)用程序中從安全測試提要中發(fā)現(xiàn)的現(xiàn)有風(fēng)險以及對您網(wǎng)站上發(fā)生的攻擊的了解不斷嘗試 WAF 策略更新，您可以使Web App Firewall更加有效。它將不斷從過去的攻擊歷史和全球威脅情報中學(xué)習(xí)，并將其映射到您現(xiàn)有的應(yīng)用程序安全風(fēng)險中，這將使您能夠更準(zhǔn)確地降低風(fēng)險。AppTrana 的 WAF，通過集成應(yīng)用程序安全風(fēng)險評估和管理自定義規(guī)則/更新到您的 WAF 策略，提供特定于應(yīng)用程序上下文的更新。

讓自己了解安全方面的最新信息

您的 Web 應(yīng)用程序防火墻僅與您選擇的規(guī)則和模型一樣有效。了解安全方面的最新動態(tài)和最佳實踐將使您能夠更好地調(diào)整您的 WAF 和您的安全解決方案。