介紹

客戶經(jīng)常詢問“當(dāng)我已經(jīng)擁有下一代防火墻（NGFW）時，為什么需要Web應(yīng)用程序防火墻（WAF）？”。本博文的目的是解釋兩種解決方案之間的區(qū)別，重點關(guān)注Web應(yīng)用程序防火墻可以提供的附加值。

什么是Web應(yīng)用程序？

在解釋實際差異之前，了解Web應(yīng)用程序的確切含義非常重要。 Web應(yīng)用程序是一種應(yīng)用程序，存儲在遠程服務(wù)器上，并通過瀏覽器界面通過Internet提供。在網(wǎng)絡(luò)的早期，網(wǎng)站由靜態(tài)頁面組成，這嚴重限制了與用戶的交互。在1990年代，當(dāng)修改Web服務(wù)器以允許與服務(wù)器端自定義腳本進行通信時，此限制被刪除。這允許普通用戶第一次與應(yīng)用程序交互。這種交互性使組織能夠構(gòu)建解決方案，如電子商務(wù)，基于Web的電子郵件，網(wǎng)上銀行，博客，網(wǎng)絡(luò)論壇以及支持業(yè)務(wù)活動的自定義平臺。所有這些Web應(yīng)用程序都使用HTTP（S）作為Web瀏覽器和Web服務(wù)器之間連接的協(xié)議。

如今，Web應(yīng)用程序變得越來越復(fù)雜，依賴于HTML5，Java，JavaScript，PHP，Ruby，Python和/或ASP.NET等語言和腳本來實現(xiàn)豐富的界面應(yīng)用，廣泛的框架和復(fù)雜的第三方庫。一方面，這些Web應(yīng)用程序是連接到后端數(shù)據(jù)庫的重要業(yè)務(wù)驅(qū)動工具。這些數(shù)據(jù)庫可以是公司數(shù)據(jù)，持卡人數(shù)據(jù)或其他敏感的業(yè)務(wù)相關(guān)信息的存儲庫，因此應(yīng)該是高度安全的。另一方面，Web應(yīng)用程序是黑客非常有趣的目標(biāo)，因為它們是開放的，可以通過互聯(lián)網(wǎng)輕松訪問。從安全角度來看，這是一個真正的挑戰(zhàn)！

什么是下一代防火墻（NGFW）？

傳統(tǒng)防火墻僅限于包過濾，網(wǎng)絡(luò)和端口地址轉(zhuǎn)換（NAT）和VPN等功能。它根據(jù)端口，協(xié)議和IP地址做出決策。如今，以這種不靈活和不透明的方式實施安全策略已經(jīng)不再實際可靠。需要一種新的方法，NGFW通過在安全策略中添加更多上下文來提供這種方法?；谏舷挛牡南到y(tǒng)旨在以智能方式使用位置，身份，時間等信息，以便做出更有效的安全決策。

下一代防火墻還通過添加URL過濾，防病毒/反惡意軟件，入侵防御系統(tǒng)（IPS）等功能，將自己與傳統(tǒng)防火墻區(qū)分開來。 NGFW不是使用幾種不同的點解決方案，而是大大簡化并提高了在日益復(fù)雜的計算世界中實施安全策略的有效性。

什么是Web應(yīng)用程序防火墻（WAF）？

Web應(yīng)用程序防火墻通過HTTP（S）保護Web服務(wù)器和托管Web應(yīng)用程序免受應(yīng)用程序?qū)又械墓?#xff0c;并防止網(wǎng)絡(luò)層中的非體積攻擊。 WAF旨在保護您的部分網(wǎng)絡(luò)流量，特別是面向面向Web應(yīng)用的公共互聯(lián)網(wǎng)。 WAF還可以通過為這些弱點提供虛擬補丁來彌補潛在的不安全編碼實踐。 WAF具有高度可定制性，并且可根據(jù)客戶Web應(yīng)用程序的特定設(shè)計進行定制。大多數(shù)情況下，WAF在應(yīng)用交付控制器（ADC）上串聯(lián)安裝。

開放Web應(yīng)用程序安全項目（OWASP）排名前10位，CWE / SANS排名前25位最危險軟件錯誤，Web應(yīng)用程序安全聯(lián)盟（WASC）威脅分類v2.0和交叉引用視圖提供了詳細記錄的Web概述應(yīng)用威脅景觀。所有這些潛在威脅證明了對專用Web應(yīng)用程序防火墻技術(shù)的需求。

F5 WAF的附加價值是多少？

Web應(yīng)用程序的定制特性以及依賴于流量模式匹配的保護所產(chǎn)生的誤報或性能損失可能成為一個真正的問題。默認情況下，NGFW或入侵防御系統(tǒng)（IPS）供應(yīng)商會禁用大多數(shù)Web應(yīng)用程序保護簽名，以緩解這些問題。但是，NGFW和IPS供應(yīng)商僅提供一組基本簽名，并且沒有配備WAF的更高級功能。

F5 Networks WAF擁有專用引擎，可通過Web協(xié)議和語言的知識執(zhí)行流量解碼和規(guī)范化。結(jié)合更高級的SSL / TLS解密/卸載功能，WAF提高了廣泛的Web攻擊特征庫的有效性。

在Web攻擊特征碼數(shù)據(jù)庫之上，F5 Networks提供URL，參數(shù)，Cookie和表單保護功能，以便對用戶對Web應(yīng)用程序的輸入進行深入細致的控制。策略學(xué)習(xí)引擎支持的WAF安全策略的實現(xiàn)。此策略學(xué)習(xí)引擎?zhèn)陕爜碜钥蛻舳说腍TTP（S）請求和Web應(yīng)用程序的答案。通過這種方式，可以創(chuàng)建URL，參數(shù)和Web攻擊簽名的映射，以強制執(zhí)行或列入白名單。

此外，F5 WAF通過使用URL加密，網(wǎng)頁代碼注入，cookie簽名和自定義錯誤頁面等技術(shù)修改Web應(yīng)用程序發(fā)送的響應(yīng)來保護您的Web應(yīng)用程序，以防止跨站點請求偽造。

作為最后的差異化因素，F5 WAF跟蹤用戶會話以檢測可能破壞Web應(yīng)用程序正常業(yè)務(wù)流的惡意活動，并且還具有先進的反僵尸和反DDoS檢測引擎?？蛇x地，F5 Networks WAF還可以提供高級認證服務(wù)，如單點登錄，多因素身份驗證（MFA）和/或Web應(yīng)用程序的預(yù)身份驗證。

SecureLink集成方法

SecureLink作為歐洲領(lǐng)先的網(wǎng)絡(luò)安全集成商，推薦以串行方式實現(xiàn)F5網(wǎng)絡(luò)WAF和Palo Alto Networks NGFW的最佳組合。我們的專家對兩家供應(yīng)商的產(chǎn)品和技術(shù)都非常熟練，并且我們擁有滿意客戶的良好記錄。

結(jié)論

Palo Alto Networks下一代防火墻旨在安全地啟用應(yīng)用程序并保護您的網(wǎng)絡(luò)免受高級網(wǎng)絡(luò)攻擊。 NGFW專注于在訪問互聯(lián)網(wǎng)和內(nèi)部應(yīng)用程序時保護內(nèi)部客戶端。 F5 Web應(yīng)用程序防火墻的重點是保護內(nèi)部（自定義）Web應(yīng)用程序免受應(yīng)用程序?qū)觾?nèi)的外部威脅。

SecureLink是一個高度專業(yè)化的安全集成商，我們的最佳實踐是在互聯(lián)網(wǎng)接入街道上以串行方式實施F5 Networks WAF和Palo Alto Networks NGFW技術(shù)。這種最佳實踐方法提供了兩種技術(shù)中的最佳方法，F5 Networks提供SSL / TLS卸載和Web應(yīng)用程序保護功能，Palo Alto Networks充當(dāng)您的Web應(yīng)用程序的IPS和防病毒解決方案。

我們總結(jié)一下，WAF保護Web應(yīng)用程序和NGFW保護網(wǎng)絡(luò)。依賴面向Web的應(yīng)用程序的企業(yè)可以從WAF中獲益匪淺。對于這些客戶，在大多數(shù)情況下建議實施這兩種解決方案。