介绍
客户经常询问“当我已经拥有下一代防火墙(NGFW)时,为什么需要Web应用程序防火墙(WAF)?”。本博文的目的是解释两种解决方案之间的区别,重点关注Web应用程序防火墙可以提供的附加值。
什么是Web应用程序?
在解释实际差异之前,了解Web应用程序的确切含义非常重要。Web应用程序是一种应用程序,存储在远程服务器上,并通过浏览器界面通过Internet提供。在网络的早期,网站由静态页面组成,这严重限制了与用户的交互。在1990年代,当修改Web服务器以允许与服务器端自定义脚本进行通信时,此限制被删除。这允许普通用户第一次与应用程序交互。这种交互性使组织能够构建解决方案,如电子商务,基于Web的电子邮件,网上银行,博客,网络论坛以及支持业务活动的自定义平台。所有这些Web应用程序都使用HTTP(S)作为Web浏览器和Web服务器之间连接的协议。
如今,Web应用程序变得越来越复杂,依赖于HTML5,Java,JavaScript,PHP,Ruby,Python和/或ASP.NET等语言和脚本来实现丰富的界面应用,广泛的框架和复杂的第三方库。一方面,这些Web应用程序是连接到后端数据库的重要业务驱动工具。这些数据库可以是公司数据,持卡人数据或其他敏感的业务相关信息的存储库,因此应该是高度安全的。另一方面,Web应用程序是黑客非常有趣的目标,因为它们是开放的,可以通过互联网轻松访问。从安全角度来看,这是一个真正的挑战!
什么是下一代防火墙(NGFW)?
传统防火墙仅限于包过滤,网络和端口地址转换(NAT)和VPN等功能。它根据端口,协议和IP地址做出决策。如今,以这种不灵活和不透明的方式实施安全策略已经不再实际可靠。需要一种新的方法,NGFW通过在安全策略中添加更多上下文来提供这种方法。基于上下文的系统旨在以智能方式使用位置,身份,时间等信息,以便做出更有效的安全决策。
下一代防火墙还通过添加URL过滤,防病毒/反恶意软件,入侵防御系统(IPS)等功能,将自己与传统防火墙区分开来。NGFW不是使用几种不同的点解决方案,而是大大简化并提高了在日益复杂的计算世界中实施安全策略的有效性。
什么是Web应用程序防火墙(WAF)?
Web应用程序防火墙通过HTTP(S)保护Web服务器和托管Web应用程序免受应用程序层中的攻击,并防止网络层中的非体积攻击。WAF旨在保护您的部分网络流量,特别是面向面向Web应用的公共互联网。WAF还可以通过为这些弱点提供虚拟补丁来弥补潜在的不安全编码实践。WAF具有高度可定制性,并且可根据客户Web应用程序的特定设计进行定制。大多数情况下,WAF在应用交付控制器(ADC)上串联安装。
开放Web应用程序安全项目(OWASP)排名前10位,CWE / SANS排名前25位最危险软件错误,Web应用程序安全联盟(WASC)威胁分类v2.0和交叉引用视图提供了详细记录的Web概述应用威胁景观。所有这些潜在威胁证明了对专用Web应用程序防火墙技术的需求。
F5 WAF的附加价值是多少?
Web应用程序的定制特性以及依赖于流量模式匹配的保护所产生的误报或性能损失可能成为一个真正的问题。默认情况下,NGFW或入侵防御系统(IPS)供应商会禁用大多数Web应用程序保护签名,以缓解这些问题。但是,NGFW和IPS供应商仅提供一组基本签名,并且没有配备WAF的更高级功能。
F5 Networks WAF拥有专用引擎,可通过Web协议和语言的知识执行流量解码和规范化。结合更高级的SSL / TLS解密/卸载功能,WAF提高了广泛的Web攻击特征库的有效性。
在Web攻击特征码数据库之上,F5 Networks提供URL,参数,Cookie和表单保护功能,以便对用户对Web应用程序的输入进行深入细致的控制。策略学习引擎支持的WAF安全策略的实现。此策略学习引擎侦听来自客户端的HTTP(S)请求和Web应用程序的答案。通过这种方式,可以创建URL,参数和Web攻击签名的映射,以强制执行或列入白名单。
此外,F5 WAF通过使用URL加密,网页代码注入,cookie签名和自定义错误页面等技术修改Web应用程序发送的响应来保护您的Web应用程序,以防止跨站点请求伪造。
作为最后的差异化因素,F5 WAF跟踪用户会话以检测可能破坏Web应用程序正常业务流的恶意活动,并且还具有先进的反僵尸和反DDoS检测引擎。可选地,F5 Networks WAF还可以提供高级认证服务,如单点登录,多因素身份验证(MFA)和/或Web应用程序的预身份验证。
SecureLink集成方法
SecureLink作为欧洲领先的网络安全集成商,推荐以串行方式实现F5网络WAF和Palo Alto Networks NGFW的最佳组合。我们的专家对两家供应商的产品和技术都非常熟练,并且我们拥有满意客户的良好记录。
结论
Palo Alto Networks下一代防火墙旨在安全地启用应用程序并保护您的网络免受高级网络攻击。NGFW专注于在访问互联网和内部应用程序时保护内部客户端。F5 Web应用程序防火墙的重点是保护内部(自定义)Web应用程序免受应用程序层内的外部威胁。
SecureLink是一个高度专业化的安全集成商,我们的最佳实践是在互联网接入街道上以串行方式实施F5 Networks WAF和Palo Alto Networks NGFW技术。这种最佳实践方法提供了两种技术中的最佳方法,F5 Networks提供SSL / TLS卸载和Web应用程序保护功能,Palo Alto Networks充当您的Web应用程序的IPS和防病毒解决方案。
我们总结一下,WAF保护Web应用程序和NGFW保护网络。依赖面向Web的应用程序的企业可以从WAF中获益匪浅。对于这些客户,在大多数情况下建议实施这两种解决方案。