在一個每天都會出現(xiàn)新的網(wǎng)絡(luò)攻擊并出現(xiàn)的世界中，我們必須不斷尋找和建立新的安全控制和保護機制。目前發(fā)現(xiàn)的最常見的網(wǎng)絡(luò)安全威脅通常涉及數(shù)據(jù)泄露并且發(fā)生在應(yīng)用程序級別，這就是許多NGFW和IPS / IDS系統(tǒng)無法抵御此類攻擊的原因。此外，大多數(shù)通信 - 尤其是那些集成在Web應(yīng)用程序中的通信 - 最近都被加密，這給這些設(shè)備帶來了額外的問題。 Web應(yīng)用程序防火墻，即WAF產(chǎn)品專為Web應(yīng)用程序設(shè)計 - 它們在應(yīng)用程序級別分析每個HTTP請求，并提供SSL / TLS流量的完全解密。

想更多地了解Web應(yīng)用程序防火墻？觀看視頻（https://veracompadria.com/en/f5-networks-web-Application-firewall-video/）！

WAF產(chǎn)品對于建立有效的多層保護至關(guān)重要。 Web應(yīng)用程序防火墻背后的技術(shù)在過去幾年中并沒有真正改變。 WAF系統(tǒng)檢查符合RFC文檔的請求，并應(yīng)用不同的攻擊簽名比較來確定請求是否有效。添加了新功能以通過WAF應(yīng)用程序?qū)崿F(xiàn)用戶會話和行為監(jiān)控，旨在防止?jié)撛诘谋┝艉蜁捊俪帧＿€添加了基于IP信譽的過濾和源，以阻止已知的攻擊源，如僵尸網(wǎng)絡(luò)，匿名者和類似威脅。大多數(shù)WAF產(chǎn)品仍然使用相對被動的技術(shù)和機制來檢查客戶端的能力有限或沒有。

將WAF設(shè)備定位在網(wǎng)絡(luò)通信應(yīng)用環(huán)境中

經(jīng)常彈出的一個問題是放置這種設(shè)備的位置？當(dāng)然，有多個解決方案。用戶和目標(biāo)應(yīng)用程序之間的通信路徑通常具有可以設(shè)置WAF設(shè)備的多個點。但是，這并不意味著這些要點中的每一個都同樣有利。理想情況下，WAF將在用于在任何給定環(huán)境中執(zhí)行負載分配和流量優(yōu)化的系統(tǒng)后面實施。這使其能夠優(yōu)化使用，性能和可靠性，同時為數(shù)據(jù)中心應(yīng)用程序提供保護 - 特別是如果此類應(yīng)用程序是公開可用的。

現(xiàn)代網(wǎng)絡(luò)世界中的威脅景觀

當(dāng)今IT系統(tǒng)面臨的大多數(shù)威脅都是自動化的，攻擊者使用自動應(yīng)用程序掃描來搜索新的漏洞。分布式拒絕服務(wù)（DDoS）攻擊是完全自動化的，可以產(chǎn)生超過1Tbps的大量基于洪水的攻擊。自動攻擊很難被發(fā)現(xiàn)，因為它們通常被設(shè)計為模仿完全合法的流量。 CAPTCHA和類似技術(shù)用于檢測此類攻擊;但是，這些驗證方法已被證明是不夠的，并且經(jīng)常會損害合法用戶的體驗。

還出現(xiàn)了全新的威脅，例如憑證填充。憑據(jù)填充是一種特殊類型的攻擊，在先前的攻擊期間被盜的數(shù)百萬用戶名和密碼組合被用于獲取對用戶帳戶的未授權(quán)訪問。根據(jù)最近的威脅報告，竊取帳戶憑據(jù)的利用是2017年最常見的攻擊類型。憑證填充攻擊非常難以檢測，因為惡意流量不僅看起來合法，而且通常執(zhí)行速度非常慢，以避免被檢測為蠻力攻擊。

惡意軟件始終存在于所有在線環(huán)境中，用于利用瀏覽器漏洞和屏幕另一側(cè)的目標(biāo)用戶。有許多方法可以分發(fā)和傳播惡意軟件 - 從電子郵件附件到社交網(wǎng)絡(luò)和廣告上共享的惡意鏈接。受惡意軟件感染的計算機用于執(zhí)行DDoS攻擊，身份盜用和收集數(shù)據(jù)。除非客戶機由經(jīng)驗豐富的IT團隊監(jiān)督，否則可用的檢測和緩解方法是有限的。

最后，還有DDoS攻擊。它們不僅僅是體積本質(zhì)的。許多也是計算 - 用于消耗CPU和內(nèi)存等資源 - 并且會降低應(yīng)用程序或數(shù)據(jù)庫服務(wù)器的性能。檢測DDoS攻擊可能相對困難，因為大多數(shù)此類攻擊似乎是有效流量，通常與標(biāo)準(zhǔn)傳入數(shù)據(jù)檢查一致。

簡而言之，這些攻擊可以被忽視并繞過幾乎所有傳統(tǒng)的WAF解決方案，因為它們看似完全合法。由于越來越多的受損設(shè)備變得更加多樣化，IP信譽數(shù)據(jù)庫和供稿的功能也有所癱瘓：調(diào)制解調(diào)器，物聯(lián)網(wǎng)設(shè)備......毫無疑問，我們需要更先進的WAF設(shè)備和技術(shù)來保護自己來自這些新興威脅。

F5應(yīng)用程序安全管理器 - ASM

F5 ASM（應(yīng)用程序安全管理器）是經(jīng)過認證的Web應(yīng)用程序防火墻（WAF），可通過網(wǎng)絡(luò)應(yīng)用程序?qū)犹峁┤妫鲃拥谋Ｗo，免受一般和有針對性的攻擊。與大多數(shù)其他Web應(yīng)用程序防火墻一樣，ASM使用一種積極的安全模型，在該模型下，在明確允許之前禁止所有流量。這種邏輯意味著ASM只允許有效，非惡意和授權(quán)的請求，并自動保護關(guān)鍵Web應(yīng)用程序免受適當(dāng)?shù)墓簟?Application Security Manager可保護您的系統(tǒng)免受各種應(yīng)用程序，基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)攻擊，如跨站點腳本，SQL注入攻擊，cookie /會話中毒，參數(shù)篡改，強制瀏覽，DOS攻擊等等...... BIG-IP ASM保護應(yīng)用程序基于全面的安全策略，無論它們位于傳統(tǒng)，虛擬還是私有云環(huán)境中。 ASM評估威脅并防止其執(zhí)行，提供可見性和高度靈活性，這有助于確保Web應(yīng)用程序的平穩(wěn)，可靠和安全性能。

圖中顯示了Web應(yīng)用程序暴露于攻擊的百分比，OWASP將其列為十大最常見的Web應(yīng)用程序風(fēng)險。 用戶可以實施ASM來保護他們的系統(tǒng)免受所有此類風(fēng)險的影響，并且還可以利用集成的安全規(guī)則和攻擊模式來保護整個類別的HTTP和HTTPS威脅。 ASM是唯一的Web應(yīng)用程序防火墻，它可以監(jiān)視和記住它所保護的應(yīng)用程序的正常行為，并可以防止所有偏離正常應(yīng)用程序行為的攻擊。

先進的WAF技術(shù) - F5高級WAF

F5最近在其產(chǎn)品組合中添加了一款名為“Advanced WAF”的產(chǎn)品，再次證實了為什么F5是WAF技術(shù)的市場領(lǐng)導(dǎo)者。 高級WAF提供了檢測和緩解當(dāng)今在線世界中存在的高級攻擊所需的所有機制。

此安全解決方案的各種功能包括：

1. 主動Bot防御 - 利用指紋識別技術(shù)和挑戰(zhàn)/響應(yīng)技術(shù)與行為分析相結(jié)合，實現(xiàn)會話級威脅檢測并阻止自動威脅。這是一種比依靠IP信譽數(shù)據(jù)庫防止僵尸網(wǎng)絡(luò)攻擊更加先進和高效的解決方案。
2. 第7層行為DoS檢測和緩解 - F5高級WAF能夠動態(tài)分析流量并為異常流量模式創(chuàng)建簽名，在DDoS攻擊到達您的應(yīng)用程序之前阻止它們。
3. DataSafe - 通過動態(tài)，動態(tài)和實時加密頁面內(nèi)容提供憑據(jù)保護，以防止惡意軟件引起的瀏覽器中的攻擊。 DataSafe還對用戶即時和實時輸入瀏覽器的數(shù)據(jù)進行加密。
4. Anti-Bot Mobile SDK - 使用移動應(yīng)用程序時不存在瀏覽器，這意味著PBD保護會失去效率。 Anti-Bot Mobile SDK可以幫助防止即使在移動設(shè)備上發(fā)生僵尸網(wǎng)絡(luò)攻擊。

最后的想法…

在我們使用大量應(yīng)用程序和軟件解決方案進行大多數(shù)私人和業(yè)務(wù)通信的時候，我們應(yīng)該將注意力集中在保護它們上。在過去一年中，42％的網(wǎng)絡(luò)攻擊目標(biāo)企業(yè)指向外部資源，兩種最廣泛使用的攻擊方法針對Web應(yīng)用程序和各種軟件漏洞。惡意來源不斷攻擊應(yīng)用程序，這就是安全專業(yè)人員正在尋找WAF設(shè)備來保護Web應(yīng)用程序免受大多數(shù)復(fù)雜攻擊（包括零日攻擊）以及確保所有形狀和格式的應(yīng)用程序安全的原因。 F5 Advanced WAF是一個專用安全平臺，提供當(dāng)今市場上最先進的應(yīng)用程序安全功能。

原文：https://veracompadria.com/en/waf-what-where-how-and-why/

本文：https://pub.intelligentx.net/waf-what-where-how-and-why

討論：請加入知識星球或者小紅圈【首席架構(gòu)師圈】