什么是 Web 应用程序防火墙 (WAF),您需要吗?

已发表: 2022-09-22

您可能会遇到 Web 应用程序防火墙 (WAF) 的概念,而不会想太多。 毕竟,很容易假设它是您不需要的东西,或者它已经是您的托管包的一部分。 然而,还有更多的事情要做。

事实上,准确理解 WAF 是什么很重要,这样您就可以决定它是否适合您。

今天,我们将解释 Web 应用程序防火墙的所有细节。 我们将提供一个定义,解释它们的好处,可用的不同类型,以及如果您决定购买一种,如何选择一种。

什么是 Web 应用程序防火墙 (WAF),它有什么作用?

什么是 Web 应用程序防火墙
图片来源:Ricardo Gomez Angel/Unsplash

Web 应用程序防火墙 (WAF) 是一种安全系统,用于过滤和监控网站或 Web 应用程序的传入流量。 其目的是阻止恶意流量,例如黑客和机器人,同时允许合法流量通过。

换句话说,WAF 就像您网站的安全卫士。 它会检查每个访问者的身份,以确保他们是他们所说的人,并且他们没有试图做任何恶意的事情。

WAF 可以是基于硬件或软件的。 它们通常部署为您的网站和 Internet 之间的附加层,因此它们可以在流量到达您的站点之前拦截和检查流量。

防火墙作为防御 ddos​​ 攻击示意图
来源:Cloudflare

大多数 WAF 使用一组指令(也称为规则集)来确定它们允许通过或阻止哪些流量。 这些规则通常由 WAF 供应商根据常见的攻击模式创建。 一些 WAF 还允许您创建自定义规则。

Web 应用程序防火墙和网络防火墙有什么区别?

WAF 与网络防火墙的不同之处在于,它旨在专门保护 Web 应用程序。 另一方面,网络防火墙旨在保护整个网络,并且可以基于硬件或软件。

虽然这两种类型的防火墙都可以过滤流量,但 WAF 更全面,因为它还可以监控和检查 Web 流量中的恶意活动。 它还可以阻止特定类型的攻击,例如 SQL 注入和跨站点脚本 (XSS)。

使用 WAF 的好处

考虑到关键定义和区别,您可能想知道使用 Web 应用程序防火墙有什么好处。 实际上有五个主要好处值得注意:

  • 提高安全性:通过阻止恶意流量,WAF 可以帮助提高您的网站或 Web 应用程序的安全性。
  • 降低攻击风险:通过阻止已知的攻击模式,WAF 有助于降低成功黑客攻击的风险。
  • 提高合规性:根据您所在的行业,您可能需要遵守某些安全标准,例如 PCI DSS。 WAF 可以帮助您满足这些标准。
  • 减少误报:许多 WAF 包含有助于减少误报的功能,例如速率限制和 IP 信誉检查。 这意味着您不太可能阻止合法流量。
  • 安心:知道您的网站或 Web 应用程序有另一层保护可以让您安心。 这基本上是一件少担心的事情。

当然,Web 应用程序防火墙的世界不仅仅是几个关键特性和优势。 还有几种类型需要注意。

Web 应用程序防火墙的类型

在做出任何购买决定之前,您需要熟悉三种主要类型的 Web 应用程序防火墙。

1.基于网络的WAF

基于网络的 WAF 被部署为您的网站和 Internet 之间的附加层。 它在通过该层时检查流量。

基于网络的 WAF 通常是基于硬件的,这意味着它们需要物理设备。 但是,有一些基于软件的解决方案可用。

2. 基于云的 WAF

基于云的 WAF 是一种驻留在云中的 Web 应用程序防火墙。 它检查通过云提供商网络的流量。

基于云的 WAF 通常由提供商管理。 这意味着它们通常比其他类型更容易设置和管理。

3. 基于主机的 WAFS

基于主机的 WAF 与您的网站或 Web 应用程序位于同一台服务器上。 它检查通过服务器的流量。

基于主机的 WAF 通常是基于软件的,这意味着您可以将它们添加到任何类型的服务器。 但是,与此处提到的其他两种类型相比,它们可能需要更多的配置和管理。

以上就是 WAF 的三种主要类型,但它们是如何运作的呢? 这就是我们接下来要讨论的。

WAF 运营模式

waf 操作模式
图片来源:Michal Jakubowski/Unsplash

正如有三种主要类型的 WAF 一样,它们实际上也以三种不同的方式工作。 这些通常被称为它们的操作模型:

  1. 积极安全模型,也称为允许列表模型,仅允许已被规则集明确授予访问权限的流量。 这种类型的 WAF 限制性更强,但可以更有效地阻止恶意流量。
  2. 负面安全模型,也称为阻止列表模型,允许所有流量,但规则集明确阻止的流量除外。 这种类型的 WAF 限制较少,但不太可能阻止合法流量。
  3. 混合安全模型是正面和负面安全模型的组合。 它允许已明确允许的流量,并阻止已明确阻止的流量,无论设置系统的人规定的程度如何。

所以希望你现在对 WAF 是什么以及它是如何工作的有一个很好的理解。 但在你决定是否要投资之前,我们需要谈谈预算。

Web 应用程序防火墙的典型成本

Web 应用程序防火墙通常有两种定价类型。

部署成本

部署成本包括硬件成本(如果您使用基于硬件的 WAF)以及安装和配置成本。 这些费用可能因您选择的 WAF 类型而异。

订阅费

大多数 WAF 供应商收取年费或月费。 这些费用通常包括维护、支持和更新的费用。 一些 WAF 还提供更多功能,但需额外付费。

您如何知道是否需要 WAF?

如果您仍然不确定是否需要 Web 应用程序防火墙,请问自己以下问题:

  • 您是否将敏感数据存储在您的网站或 Web 应用程序中? 如果是这样,您可能需要 WAF 来帮助保护这些数据。
  • 你们处理付款吗? 如果是,您可能需要 WAF 来帮助遵守 PCI DSS。
  • 您是否需要遵守任何安全标准? 可能需要 WAF 来满足他们的要求。
  • 最后,您是否担心您的网站或 Web 应用程序的安全性? 如果您担心当前的安全工作还不够,WAF 可以提供帮助。

如果您对这些问题中的任何一个回答“是”,那么 WAF 可能是您业务的不错选择。

如何选择合适的 WAF

选择 Web 应用程序防火墙时,您应该考虑以下几点:

  • 部署模型:首先,您需要确定哪种类型的 WAF 适合您。 您想要基于网络的 WAF、基于云的 WAF 还是基于主机的 WAF?
  • 安全模型:接下来,您需要决定您喜欢哪种安全模型。 您想要积极的安全模型、消极的安全模型还是混合安全模型?
  • 定价:最后,您需要考虑成本。 WAF 的价格可能会有很大差异,因此选择适合您预算的很重要。

没有一个 WAF 适合所有人。 选择 WAF 的最佳方式是评估您的需求,然后将不同 Web 应用程序防火墙的功能和成本与这些需求进行比较。

2022 年最受欢迎的 WAF 提供商

考虑到上述内容,我们现在可以讨论一些市场上最受欢迎的 WAF 提供商。 在做出决定之前,请务必权衡每个功能和定价。

1.AWS WAF

亚马逊 AWS Web 应用程序防火墙

AWS WAF 是一种基于云的 Web 应用程序防火墙,可提供积极的安全模型。 它可以作为独立服务提供,也可以作为 AWS Shield Standard 包的一部分提供。 显着特点包括:

  • 与 Amazon CloudFront 集成,使其易于部署和管理。
  • 提供涵盖常见 Web 攻击的全面规则集。
  • 提供两个版本:标准版和高级版。 标准包含在 AWS Shield Standard 中,而 Advanced 则需要额外付费。

AWS WAF 的标准版起价为每条规则每月 5 美元,高级版起价为每条规则每月 10 美元。

2. Azure Web 应用程序防火墙

天蓝色 Web 应用程序防火墙

Azure WAF 是一种基于云的 Web 应用程序防火墙,可提供积极的安全模型。 它可以作为独立服务提供,也可以作为 Azure 应用程序网关包的一部分提供。 Azure WAF 的起价为每网关小时 0.44 美元。

3. Imperva WAF

imperva 网络应用防火墙

Imperva WAF 是一种基于云的 Web 应用程序防火墙,可提供积极的安全模型。 它可以作为独立服务提供,也可以作为 Imperva Incapsula 软件包的一部分提供。 对于 Imperva App Protect Pro 计划,Imperva WAF 的起价为每个站点每月 59 美元。

4. Cloudflare WAF

cloudflare 网络应用防火墙

Cloudflare WAF 是一种基于云的 Web 应用程序防火墙,提供混合安全模型。 它作为 Cloudflare Business 计划的一部分提供,起价为每月 200 美元。

这些只是目前市场上最流行的 Web 应用程序防火墙中的一部分。 在制定服务计划之前,一定要研究好潜在的服务提供商。

实施和最佳实践

一旦您选择了 Web 应用程序防火墙,您就需要实施它。 当然,实现 WAF 的过程可能会因您使用的类型而异。

互联网图

如果您使用的是基于网络的 WAF,则需要将其部署在您的网络上。 如果您使用的是基于云的 WAF,则需要向供应商注册一个帐户,然后配置您的网站或 Web 应用程序以使用 WAF。 这通常通过将您的域指向提供商的服务器来实现。 该过程将因供应商而异,但通常非常简单。

如果您使用基于主机的 WAF,则需要在服务器上安装和配置它。 为此,您需要有权访问 Web 服务器的代码和配置。 这通常可以通过 cPanel 或其他一些管理套件访问。 如果您没有这个,您将需要与您的开发团队或托管服务提供商合作以正确安装和配置它。

您需要记住以下几点:

  • 花点时间正确配置您的 WAF:不要只是打开它并希望获得最好的结果。
  • 测试、测试、测试:配置 WAF 后,对其进行测试以确保其按预期工作。 您可以通过手动测试您的网站或 Web 应用程序或使用 WebInspect 之类的工具来执行此操作。
  • 密切关注您的日志:您的 WAF 将生成日志,可以让您深入了解您的网站或 Web 应用程序上发生的事情。
  • 监控您的网站或 Web 应用程序的更改:如果您发现某些看起来不正确的内容,请进行调查。

注意:如果您购买了更全面的计划,则可能会为您完成其中一些实施步骤。

Web 应用程序防火墙最佳实践

一旦您选择了 Web 应用程序防火墙并进行了设置,从长远来看,有一些最佳实践需要牢记,包括:

  • 定期更新:确保您的 WAF 使用最新的安全补丁和更新。 否则,它可能无法保护您的网站或 Web 应用程序。
  • 监控您的 WAF 日志:定期监控您的 WAF 日志。 这样,您可以发现任何潜在的攻击或安全问题。
  • 持续测试:定期审核 WAF 以确保其正常工作。 您可以使用 WebInspect 或 Burp Suite 之类的工具来执行定期测试。

最后的想法:发现 Web 应用程序防火墙及其在您的业务中的作用

今天,我们已经介绍了很多关于 Web 应用程序防火墙 (WAF) 的内容。 我们已经确定 WAF 是一种有助于保护网站和 Web 应用程序免受攻击的安全软件。 它们可以以多种方式部署,包括本地、云端或基于主机的解决方案。

很明显,在选择 WAF 时,考虑您的需求和预算也很重要。 在从最流行的选项中进行选择之后,正确实施并遵循最佳实践无异于。

但是你怎么看? 您是否使用 Web 应用程序防火墙? 您目前是否在权衡您的选择? 在下面的评论中解决它。