标签：WAF 第3页

Web 应用程序防火墙或 WAF 是必要的第一道防线和抵御网络攻击的保护屏障。它站在网络边缘监控流量，只允许合法用户和请求访问应用程序。鉴于攻击的复杂性和严重性不断提高，必须配备应用程序防火墙来保护应用程序免受各种已知和新出现的威胁。,,市场上有几种WAF，每种都有特定的优点和缺点。投资于正确的解决方案对于加强安全态势至关重要。在本文中，我们深入探讨了选择安全解决方案时的关键评估标准和注意事项。, 检测和保护能力,WAF 解决方案的功效主要取决于其智能检测和保护应用程序免受各种不良行为者和攻击的能力。如果它让恶意请求通过并到达应用程序，它的技术优势和支持功能将变得毫无价值。在选择 WAF 解决方案时，请确保它能够检测和阻止 OWASP Top 10 之外的所有常见威胁。,在当今支持 AI 的网络攻击中，恶意机器人的检测和保护至关重要。为此，该解决方案必须配备自动化、人工智能和自学习能力，以分析流量行为，并相应地自动允许标记、阻止或挑战请求。,此外，随着威胁形势的快速发展，WAF 必须配备全球威胁情报，以跟踪和更新其数据库中的新漏洞和威胁。这样，该解决方案就可以有效抵御新出现的威胁以及已知威胁。它还必须防止业务逻辑缺陷和零日漏洞。,随着物联网的出现，DDoS 攻击变得更加突出、复杂且成本更低。由于 DDoS 攻击类型多样且威力巨大，因此 DDoS 防护非常复杂。您需要一种能够针对所有类型的DDoS 攻击提供未计量、全面和托管保护的解决方案。,,在保护能力中，虚拟补丁是关键。该解决方案必须在识别后立即修补所有漏洞，然后攻击者才能识别它们。这样可以在开发人员修复漏洞时保护应用程序。,在移动部件和第三方软件和组件如此普遍的当今 IT 环境中，跟踪更新具有挑战性。遗留组件、未打补丁的软件和不安全的第三方组件都是容易被利用的漏洞。这使得虚拟补丁更加重要。,像 AppTrana 这样的 WAF 解决方案通过持续的风险检测和安全策略，为应用程序提供了全面、实时和始终在线的保护。此 WAF 解决方案可确保零误报。, 可扩展性和覆盖范围,Web 应用防火墙必须通过流量激增来扩展保护，以确保应用程序的 24×7 可用性。此外，它必须轻松随业务扩展并提供持续保护。它必须无缝地将保护扩展到整个 IT 环境，包括公共云、第三方组件、软件和应用程序中使用的服务。这一点至关重要，因为应用程序的安全性与第三方服务/软件供应商的安全性一样好。,应用程序防火墙必须能够保护任何类型的应用程序——无论是静态页面、简单博客、动态网站还是电子商务应用程序。它必须支持 API 安全性和无服务器应用程序的安全性。, 可定制性,WAF 在使用自动化和人工智能阻止已知攻击的同时，必须由安全专家管理。这对于确保调整和定制安全策略以保护业务逻辑缺陷和未知漏洞至关重要。AppTrana 等尖端解决方案可定制具有手术准确性的安全策略，以满足组织的独特需求。,, 部署,随着应用程序迁移到云端，Web 应用程序防火墙 必须可在云环境中部署和操作。Web 防火墙必须在任何已部署的环境中提供有效的保护——无论是公共、私有、混合还是多云。如果您管理多个站点/应用程序，请确保该解决方案提供多租户以使用单个解决方案保护所有应用程序/站点。, 合规与报告,大多数拥有 Web 应用程序的企业都遵守有关安全的法规和合规标准，例如 GDPR、PCI-DSS 等。选择一个应用程序防火墙解决方案，使您能够收集数据和洞察力，并轻松生成审计和监管所需的报告和文档。, 可观察性和可见性,WAF 解决方案必须提供对组织安全状况的全面和持续的可见性。它必须配备安全分析和全面、用户友好的仪表板，供 IT 安全团队和开发人员评估安全状态并采取纠正措施。这有助于最大限度地提高组织安全的效率和有效性。, 管理服务,由于许多原因，无论是常规的还是基于云的，企业的 WAF 都可能失败。为了避免失败，建议使用托管 WAF。托管 WAF 具有许多优势，例如专业知识和技能、网络安全的优先级、敏捷性以及确保严格安全的专用时间。托管 WAF 也定期更新，能够识别最新威胁并阻止它们。,, 成本和支持服务,选择具有透明且可预测的定价模式的应用防火墙供应商。检查是否有隐藏费用。询问管理费用。确保您的供应商提供 24×7 支持以解决问题。, 底线,在全面分析之后部署正确的 WAF 解决方案，可以确保您的应用程序全天候可用。选择像 AppTrana这样的 WAF，它是全面、智能和托管安全解决方案的一部分，以加强您的安全状况并最大限度地降低风险。, ,Web 应用程序防火墙或 WAF 是必要的第一道防线和抵御网络攻击的保护屏障。它站在网络边缘监控流量，只允许合法用户和请求访问应用程序。鉴于攻击的复杂性和严重性不断提高，必须配备应用程序防火墙来保护应用程序免受各种已知和新出现的威胁。,在当今支持 AI 的网络攻击中，恶意机器人的检测和保护至关重要。为此，该解决方案必须配备自动化、人工智能和自学习能力，以分析流量行为，并相应地自动允许标记、阻止或挑战请求。,

在开展电子商务业务时，首先要考虑并采取措施保障您网站的安全。忽视这一点可能会导致严重的问题。被盗的业务数据最多可能会导致您失去客户的信任，但最严重的后果可能是赔偿要求。Web 应用程序防火墙 (WAF) 是安全措施的重要组成部分。因此，了解 WAF 的工作原理、它所保护的对象、其实施方法以及可能的最佳 WAF 解决方案（Amazon Web Services Web 应用程序防火墙）是很有用的。,, WAF 是什么意思，WAF 是如何工作的,必须回答最基本的问题：WAF 是 Web Application Firewall 的缩写。WAF 保护 Web 应用免受应用层攻击和恶意 HTTPS 流量。,WAF的三个一般任务是：,WAF基于一组定义的严格的安全策略来分类哪些流量是安全的和恶意的，旨在防止未经授权的数据离开应用程序。您是否使用 Magento 作为电子商务平台？请查看我们的清单和有关如何保护 Magento 站点的提示。, 为什么需要 WAF？,但为什么要使用 WAF？原因很明显：在没有 WAF 的情况下运行电子商务网站是在邀请黑客或诈骗者攻击您。对应用程序的攻击是黑客访问您的敏感业务数据的最简单方法。使用 WAF 时，您可以有效地阻止这些攻击，并确保没有人可以破坏您的系统。,WAF 专门用于分析应用层的 HTTPS 请求，并针对 Open Web Application Security Project 著名的 10 大安全风险 (OWASP) 进行防护。OWASP 是一个非营利性在线社区，发布并定期更新“ OWASP Top 10 ”，该报告包含全球安全专家看到的 10 个最严重的风险。,* WAF 提出了一些最常见的风险，以保护您免受：,对于重视安全的电商来说，WAF 是必不可少的。, 如何安装 WAF？三种实现方式,实现 Web 应用程序防火墙的三种不同方式：,即使没有适合每个电子商务商店的标准解决方案，由于其众多优势，我们强烈建议使用基于云的 Web 应用程序防火墙。除了WAF，云还为您带来了广泛的优势。电子商务托管也有许多云优势。请了解我们的托管计划和高性能 Magento 托管。 我们希望帮助您为您的电子商务业务找到完美的托管计划。,, AWS WAF 如何工作？有关 Amazon Web Services Web 应用程序防火墙和 AWS WAF 定价的实用信息,一种流行的 Web 应用程序防火墙解决方案来自 Amazon Web Services (AWS)。AWS WAF 是一种让您监控和控制转发到的 HTTP 或 HTTPS 请求的方法：,创建保护一组 AWS 资源的 Web 访问控制列表 (ACL) 后，您可以通过添加单独的规则或可重复使用的规则组来定义其保护策略。Amazon Web Services Web Application Firewall 为您提供了许多配置选项并确保了高安全标准。然而，为了保护，只有最好的就足够了。,我们在 AWS WAF 之上的托管 Web 应用程序防火墙即服务可保护您的 Magento 商店免受常见的 Web 攻击。这就是为什么我们的MGT WAF – Web 应用程序防火墙是排名第一的安全解决方案。MGT WAF与附加到 ALB的 Application Load...

如今，随着每个人都生活在网上，在线渠道的网络流量正在激增。但是，如果您深入研究流量，您会发现大部分流量并非来自合法用户。只有不到一半的流量是真正的人类，其余的是机器人，包括好机器人和坏机器人。,,在早期，机器人仅用于垃圾邮件或小型抓取尝试。如今，机器人操作员正在大规模利用自动化来执行恶意活动。此类活动包括接管用户帐户、滥用 API、执行 DDoS 攻击、抓取独特的定价信息、竞争性数据挖掘、网络抓取、数字欺诈、金融数据收集、交易欺诈、暴力登录等等。,尽管影响严重，但组织是否采用了有效的机器人管理方法？答案是不。许多企业仍在尝试使用传统解决方案来阻止机器人程序，从而将安全置于风险之中。那么，为什么传统的 WAF缓解爬虫程序会失败呢？让我们来看看 WAF 在 bot 管理中失败的原因以及高级 WAF 保护的好处。,要了解高级 WAF 对机器人检测和缓解的重要性，让我们探讨企业为阻止机器人攻击而采取的常见安全措施以及它们为何无效。,尽管下一代防火墙 (NGFW) 声称可以感知应用程序，但它们仍然依赖于基本的 bot 缓解功能，例如阻止 IP、用户生成重复请求或对浏览器进行指纹识别。他们检查了有效载荷的前几个字节，因此，使用现代技术的下一代机器人仍未被发现。,,WAF 技术经历了几项改进，但它依赖于基于过滤器的方法来检测已证明不足以阻止机器人和其他自动威胁的恶意负载。,此外，管理具有操作复杂性的 WAF 策略已导致一些公司使 Web 应用程序不受保护。在某些情况下，由于目标企业无法足够快地修补漏洞，因此利用了一个已知漏洞。,结合这些挑战，机器人的轻松可用性和自动化技术的创新使得机器人检测和缓解变得更加困难。,为了部署有效的爬虫程序管理和保护，组织需要 Web 应用程序防火墙技术，该技术可以自动发展和微调自身以检测最复杂的爬虫程序并提供持续的安全性。好消息是，像 AppTrana 这样的高级 WAF 采用了有效的措施来检测和阻止不断发展的僵尸网络。,在高级 WAF 保护的情况下，WAF 技术与行为分析相结合，可检测恶意机器人活动，无需人工干预即可更轻松地发现机器人流量。,Advanced WAF 的 Bot 检测包括以下组件：,通过主动机器人防御，高级 WAF 可以跟踪 IP 地址以外的攻击者，检测用户的性质并将合法机器人与恶意机器人区分开来。它还消除了与 CAPTCHA 挑战相关的 UX（用户体验）的影响。,,除了阻止攻击的开箱即用的完全托管的 WAF 功能外，公司还可以创建自己的自定义策略和规则来阻止他们正在接收或担心可能会收到的机器人攻击。,例如，如果在短时间内从同一 IP 发出重复请求，则可以制定规则来阻止访问网站上的密码重置请求。,使用威胁情报数据库，其中包含所有近期攻击的详细信息、相关的 IP 地址、位置，无论这些攻击是机器还是人为产生的。这个数据库一直在更新。如果从任何可疑 IP 地址发出任何请求，该地址将被自动阻止。,Web 应用程序全天候成为目标，黑客正在寻找新的方法来破坏网站并造成混乱。加入 Indusface 完全托管的基于云的 WAF、AppTrana，您不仅可以降低僵尸网络的风险，还可以通过阻止恶意机器人流量来最大限度地减少基础设施的处理负载。,,AppTrana采用 WAF 技术、爬虫程序缓解和 CDN 编译，可通过提供准确且完全托管的基于云的保护来进一步保护您的应用程序完整性，确保为客户提供安全的在线体验，而不会影响速度。, ,如今，随着每个人都生活在网上，在线渠道的网络流量正在激增。但是，如果您深入研究流量，您会发现大部分流量并非来自合法用户。只有不到一半的流量是真正的人类，其余的是机器人，包括好机器人和坏机器人。,尽管下一代防火墙 (NGFW) 声称可以感知应用程序，但它们仍然依赖于基本的 bot 缓解功能，例如阻止 IP、用户生成重复请求或对浏览器进行指纹识别。他们检查了有效载荷的前几个字节，因此，使用现代技术的下一代机器人仍未被发现。,

对于大多数企业来说，建立积极的客户认知的一种方法是展示您对数据隐私和保护的承诺。开发和维护一个安全的 IT 环境，让客户在付款或共享个人信息时不必担心数据泄露，可以帮助您赢得并保持人们的信任。它还可以改善您的网站和网络的性能，这对于提供积极的客户体验至关重要。,,为了确保您的网络安全，您必须建立一个具有多层保护的完整网络安全框架。您的 Web 应用程序（已成为更复杂攻击的目标）可以受益于对数据盗窃的额外防御。我们帮助数百家企业对其技术做出明智的选择。在这里，我们将介绍您的 Web 应用程序的两个安全选项，它们是：,WAF 通过在可疑活动到达您的服务器之前对其进行监控和阻止来保护您的网站免受不同类型的威胁。它旨在成为您防止对 Web 应用程序的攻击的第一道防线。,当用户尝试访问您的网站时，会向您的服务器发送请求。在请求到达服务器之前，WAF 会对其进行检查以确定用户是否通过了您的预定策略。策略是确定活动或流量是否恶意的规则。,将 WAF 视为聚会上的安全人员。如果客人没有携带邀请函并且没有穿着符合着装要求的衣服，保安将不得不拒绝他进入。同样，WAF 会阻止可疑或未通过设置策略的请求，并允许符合规则的请求。,, 1. 提高网站的速度,与其他反向代理一样，WAF 具有缓存机制，有助于卸载服务器并减少用户响应时间。, 2. 防止网络攻击,WAF 提供以下保护：, 1. 没有提供足够的保护,WAF 在过滤容易识别的威胁方面非常出色，但在检测不具备典型网络攻击（如零日攻击）属性的漏洞方面并不可靠。Ponemon Institute进行的一项调查显示，只有 9% 的 WAF 用户从未经历过任何数据泄露。, 2. 昂贵和高维护,WAF 不仅难以设置，而且维护和支持成本也很高。Web 应用程序、功能和整个安全基础架构的变化也意味着 WAF 的更新。聘请托管支持可能更有利于监督您的网络并在威胁造成损害之前识别它们。,,WAP 允许您向不在您的域下的最终用户及其设备提供对服务器上应用程序的访问，而不会损害后端服务器。,发布是指使外部用户可以访问公司应用程序的过程。,“如果您有任何本地 Web 服务，并且您正试图使其远程可用，则立即响应是打开防火墙以允许流量。但是，出于安全原因，您不希望任何人在任何特定时间都可以访问那扇门。因此，另一种选择是使用 WAP。这使您的防火墙之门对全世界关闭，并且仅对 Microsoft 服务开放。” 科勒提到。,当您通过 WAP 发布应用程序时，用户可以随时随地从他们的个人笔记本电脑或智能手机访问您公司的应用程序。即使用户在非托管设备上，WAP 也能提供对外部威胁的保护。,它与 Active Directory 联合身份验证服务 (AD FS) 一起部署以进行身份​​验证和授权。AD FS 保护您的企业应用程序免受未经授权和未经身份验证的用户的攻击。, 1.具有多种认证协议,WAP 允许您获得 AD FS 身份验证的好处，其中包括：,, 2.保护您免受 DDoS 攻击,WAP甚至在DDoS 攻击到达后端服务器之前就阻止了它们。, 3.确保网络隔离,WAP 允许外部用户访问公司应用程序，而无需提供对后端服务器的直接访问。, 1. 安全硬件要求,要运行 WAP，您需要一台满足 Windows Server 2012 R2 硬件要求的计算机。, 2. 设置 AD FS 服务器,WAP 要求您设置 AD FS 服务器，但它应该安装在单独的服务器中。AD FS 也存在安全风险，必须正确安装以避免出现问题。,“ WAP 的运作方式可能与 WAF 类似，但并不相同。WAF 有更多的设置和复杂的键，而 WAP 基本上是一种开关服务，如果你想通过 Microsoft 代理一次性加载你的服务，你可以使用它。” Kohler 解释说。,如果您的企业遵循高安全标准并处理敏感的客户数据，如社会安全号码和信用卡信息，强烈建议使用 WAF。其中包括零售商、银行和医疗保健提供者。另一方面，如果您希望将已发布的企业应用程序的访问权限授予外部用户并同时隔离您的 AD FS 服务器，那么部署 WAP 是您的组织的理想选择。WAP 最适合旨在防止直接访问其 AD FS 服务器的企业。, ,对于大多数企业来说，建立积极的客户认知的一种方法是展示您对数据隐私和保护的承诺。开发和维护一个安全的 IT 环境，让客户在付款或共享个人信息时不必担心数据泄露，可以帮助您赢得并保持人们的信任。它还可以改善您的网站和网络的性能，这对于提供积极的客户体验至关重要。,将 WAF 视为聚会上的安全人员。如果客人没有携带邀请函并且没有穿着符合着装要求的衣服，保安将不得不拒绝他进入。同样，WAF 会阻止可疑或未通过设置策略的请求，并允许符合规则的请求。,

您想在 Web 应用程序防火墙（云 WAF）中寻找的一切。您是否知道即使是最严重的漏洞也可能需要长达 5 个月的时间才能修复？Web 应用程序安全统计报告指出，大多数公司平均在 146 天内修复关键漏洞。,,黑客会等待您的开发人员修补代码吗？即使他们手头有时间，您不希望将时间花在更关键的业务功能上吗？这就是您需要 有效且经济高效的云 WAF 的原因。,根据开放 Web 应用程序安全项目 (OWASP)，WAF 将一组规则应用于 HTTP 会话以阻止常见攻击。这意味着Web 应用程序防火墙(WAF) 旨在修补应用程序的弱点。它可以阻止利用跨站点伪造、跨站点脚本 (XSS)、文件包含和 SQL 注入的攻击，而无需在应用程序中进行开发/代码更改。,听起来很容易，对吧？然而，由于有数十家 WAF 供应商且缺乏相关的技术指南，公司常常难以找到合适的产品。我们的安全分析师和行业专家专门为比较不同 WAF 产品的公司编写了本指南。以下是应在清单顶部的功能。,（使用混合部署模型）2008 年，亚利桑那州立大学发表了一篇关于云计算未来的革命性文章。他们将 SaaS 模型与电力进行了比较。当您插入烤面包机时，您不必考虑电子从源（煤/核/水力发电站）行进多远来为您的家供电。您知道那里有电，您可以每月支付使用费。您可能永远不会想知道建立这样一个发电厂的成本是多少。,Web 应用程序防火墙（以及整个 SaaS 行业）也以类似的方式发展。早些时候，当您不得不投资于本地 WAF 时，只有价值数百万美元的组织才能负担得起。,,随着在线业务的蓬勃发展，安全问题和要求也在增长。并非每家在线公司都愿意在安装的设备上花费如此大的资金，而这些设备也需要软件升级。它缓慢、昂贵且不必要。如今，WAF是指数级增长的在线企业的首选，这些企业希望易于部署和降低每月成本。,此外，支持混合部署模型也很重要， 以使您能够过渡到云（如果需要），这不可能在一夜之间发生。您根本不能在迁移到云期间延迟安全选择，如果本地部署不支持免费迁移到云，您也不能对本地部署进行投资。,采用云 WAF 的主要障碍之一是担心额外的跃点可能会影响网站的性能和响应时间。这是一个有效的担忧，但可以根据云 WF 可以启用的某些功能轻松缓解。大多数云 WAF 提供商应该提供一个选项来启用 CDN 以及 WAF 服务，而无需额外费用。这可以确保您实际上可以提高网站性能和安全性，因为大多数网站（甚至是动态网站）都有超过 75% 的静态内容可以从用户浏览的最近边缘自动提供。还要检查云 WAF 基础设施是否托管和构建在现有的公共云架构（如 AWS 或 Azure）上，确保在所有这些部署模型中都有一个集中式控制台，用于管理和查看提供给客户的应用程序安全性。,,分布式拒绝服务 ( DDoS ) 攻击使在线服务不可用。此类攻击利用大量僵尸/受损/被黑客入侵的系统或其他网络资源。根据定义，每个网站都容易受到 DDoS 攻击。,DDoS 攻击的成本高达每小时 100,000 美元，如果您计划比较 Web 应用程序防火墙，最好有某种DDoS 保护以免受这些攻击。现代的智能 WAF 持续监控您的流量，以防止第 3、4 和 7 层攻击。他们的全球威胁数据库将攻击历史和威胁情报提供给您的 WAF 以进行保护。,（基于具有快速、托管保护的应用程序风险）假设您的应用程序中有一个专有漏洞（OWASP 称之为业务逻辑缺陷），并且您希望 WAF 覆盖它。那会有多困难？,有几个 Web 应用程序防火墙供应商会根据每个请求收取创建自定义规则的费用。如果您有一个需要多个规则的复杂网站，那将是令人沮丧和昂贵的。此外，请确保供应商提供的保证将检查误报。测试并将它们置于阻止模式的责任不应仅由客户承担，还应由提供这些规则和安全策略更新的供应商承担。寻找以服务水平协议(SLA)为后盾的零误报保证来支持其自定义规则服务的供应商。,,理想情况下，Web 应用程序防火墙应允许您从门户网站请求自定义规则，而无需为此大惊小怪或为每个请求收费。确保在付款前比较不同 WAF 供应商的此功能。,在不了解您的应用程序漏洞的情况下启用 WAF 策略可能会使您的应用程序处于高风险之中。重要的是，WAF 提供集成产品以包括应用程序的安全测试和集成产品以立即防范这些风险，以及请求自定义规则的选项。此外，WAF 必须附带可以从第一天开始以 BLOCK 模式部署的默认策略，以便可以立即阻止大多数常见攻击。,安全情报是一项无与伦比的资产。它可以帮助您构建更强大的 Web 应用程序来保护请求，保护关键数据。WAF 日志对于构建中央安全情报存储库至关重要。基本的 Web 应用程序防火墙充当机器人，根据预先编写的规则阻止请求，而智能 WAF 则赋予您决策权。,这是不费吹灰之力的。您不会想在没有试用的情况下购买关键工具，例如 Web 应用程序防火墙。毕竟，您只会在入职后评估潜在的好处和/或产品兼容性问题。,确保您比较的云 WAF 具有全功能试用选项，没有“退款”或“我们需要一张卡进行身份验证”的先决条件。您不希望为 3 种不同的订阅输入信用卡以进行试用并最终被收取费用。,理想情况下，一个全功能的 WAF 试用版应该包括它必须为测试提供的所有内容，但您也可以满足以下条件：, 总结,无论您是初创公司、小型企业还是蓬勃发展的巨头，Web 应用程序防火墙已成为现代在线业务的必需品。无论您公司的修补能力如何，您都无法承受客户数据、金融交易和资产可用性方面的风险。此外，WAF 必须通过允许混合部署模型来促进客户采用云的旅程，但具有集中式窗格的云优势，可以查看所有 Web 应用程序的安全状况，而与防火墙的部署位置无关, ,您想在 Web 应用程序防火墙（云 WAF）中寻找的一切。您是否知道即使是最严重的漏洞也可能需要长达 5 个月的时间才能修复？Web 应用程序安全统计报告指出，大多数公司平均在 146 天内修复关键漏洞。,（使用混合部署模型）2008 年，亚利桑那州立大学发表了一篇关于云计算未来的革命性文章。他们将 SaaS 模型与电力进行了比较。当您插入烤面包机时，您不必考虑电子从源（煤/核/水力发电站）行进多远来为您的家供电。您知道那里有电，您可以每月支付使用费。您可能永远不会想知道建立这样一个发电厂的成本是多少。,

随着越来越多的组织及其数百万客户/用户/客户上线，网络安全已成为组织主动保护其网络、系统和 Web 应用程序的关键和不可或缺的一部分。,,网络犯罪分子和黑客不断寻找 Web 应用程序中的弱点/错误配置，他们可以利用这些弱点/错误配置来访问网站，甚至对托管服务器进行某种程度的控制，以实现数据盗窃、身份盗窃、分发恶意内容、注入污损、垃圾邮件内容、传播仇恨信息等。这些弱点和错误配置就是所谓的网络漏洞。这些网站漏洞被网络犯罪分子通过漏洞扫描器、机器人等自动化手段和其他专门工具（可以从网络平台定位常见和公开的漏洞）检测和利用。,恰当的例子——仅在美国，去年就有超过 20 亿条记录（个人和机密信息、政府记录等）遭到入侵。美国网络犯罪分子的最大目标是小型企业，其中超过 50% 遭受网络攻击，其次是医疗保健行业。还有几起针对美国军方和联邦机构、警察部门和教育机构的数据泄露事件。在美国，数据泄露的平均成本（客户和声誉损失、泄露后响应、检测和升级成本等）估计为 735 万美元。,下面列出了 2018 年一些最关键和最具利用性的 Web 漏洞：,, 如何保护网站漏洞？,我们都同意，需要在黑客和网络犯罪分子发现这些网络漏洞之前识别和保护这些漏洞。保护 Web 漏洞的最有效和最具成本效益的方法是通过Web 应用程序防火墙(WAF) 以及积极主动的心态和整体网络安全策略。这将使组织能够专注于其关键业务功能。, Web 应用程序防火墙如何工作？,Web 应用程序防火墙 (WAF) 充当 Web 应用程序与包括合法和恶意请求的流量之间的屏障。如果 Web 应用程序中出现安全漏洞，WAF 会在不更改代码的情况下打补丁并充当第一道防线，自动阻止攻击者、恶意请求和不良流量，包括机器人、自动扫描仪、垃圾邮件或攻击 IP 地址，基于攻击的用户输入等通过这些漏洞访问Web应用程序。通过这样做，它为开发人员提供了缓冲时间来进行必要的代码更改，而不是立即修复由 WAF 保护的安全漏洞。, 使用 WAF 的好处,, 如何选择合适的WAF？,以下是一些重要的考虑因素，可指导您做出正确的 WAF 的关键选择。,AppTrana是一种 WAF，可为 Web 应用程序提供全面、全天候、定制的安全性。它是由专家根据 Web 应用程序的现有风险敞口构建的，并在安全规则中具有外科手术般的准确性，以修补应用程序漏洞并确保零误报。使用 AppTrana 的另一个重要好处是，它可以持续监控和分析流量行为/攻击模式，并通过机器学习整合学习成果，以加强未来的网络安全战略和政策。通过这种方式，组织可以有效地保护其 Web 应用程序、资源和声誉，并切实保护其客户/用户的数据、财务和其他资产。, ,随着越来越多的组织及其数百万客户/用户/客户上线，网络安全已成为组织主动保护其网络、系统和 Web 应用程序的关键和不可或缺的一部分。,,

在几年的时间里，我们正在经历快速的技术进步，这些进步正在彻底改变世界的运作方式。从这些进步中受益的不仅仅是企业，甚至网络犯罪分子和犯罪集团也利用这些进步在此过程中获得了财务和其他收益。,,网站、Web 应用程序和服务器是当今企业的关键部分，在网络攻击者的攻击名单中名列前茅，他们找到了新的巧妙方法来组织攻击。Web 应用程序面临的最常见的攻击是SQL 注入、跨站点脚本 (XSS)、CSRF 和 DDoS 攻击。,因此，非常需要 Web 应用程序安全措施和策略来对抗这些攻击，而 Web 应用程序防火墙 ( WAF ) 已在此类策略中占据不可或缺的位置。,可以通过两种重要方式保护 Web 应用程序免受漏洞、网络风险和攻击。,您可能知道，WAF 或 Web 应用程序防火墙是应用程序和互联网流量之间的第一道防线。它监控和过滤互联网流量以阻止不良流量和恶意请求。WAF 是识别应用程序中的漏洞并在恶意行为者发现它们之前保护它们的最佳且具有成本效益的方法之一。,,它们有效地检测到其他安全措施（如网络扫描仪）遗漏的漏洞。当它是像 AppTrana 一样提供的托管 WAF 时，它允许自定义规则，防止业务逻辑缺陷，确保零误报，并保护您的应用程序免受零日威胁和DDoS 攻击。,WAF 防火墙保护 Web 应用程序免受恶意攻击和漏洞。另一方面，传统防火墙提供针对网络威胁的保护。标准防火墙和 Web 应用程序防火墙不仅在它们扩展的保护类型上有所不同，而且在总体功能上也有所不同。,WAF 被部署为硬件设备、软件，或者通过云部署，并使用一组称为策略的特定规则进行操作。这些策略告诉WAF防火墙要查找哪些漏洞/漏洞/流量行为，在检测到漏洞时如何处理等等。换句话说，这些策略使 WAF 能够保护 Web 应用程序和服务器免受攻击。,,因此，基于这些策略，Web 应用程序防火墙将继续扫描 Web 应用程序以及它收到的 GET 和 POST 请求，以识别和过滤恶意活动和请求。需要注意的重要一点是，WAF 不仅分析标头，还分析所有数据包的内容以阻止非法请求，智能 WAF 防火墙甚至挑战请求以使参与者证明他们是人类而不是机器人。,当发现应用程序本身存在漏洞时，WAF 会立即对其进行修补，以自动阻止攻击者和恶意行为者（机器人、攻击 IP 地址、基于攻击的输入等）发现这些漏洞。这样，开发人员可以获得缓冲时间来修复应用程序中的漏洞/漏洞。,Web 应用防火墙通常根据三种基本安全模型进行配置。这些模型是：,安全模型的选择完全取决于上下文、风险概况以及 Web 应用程序和服务器的需求。现实情况是，应用程序是许多企业的核心，并且在不断变化，没有单一的模式能够奏效。,,一个有效的防火墙应该结合,Web 应用程序防火墙在智能和可管理时最有效，例如 AppTrana 提供的防火墙。借助全球威胁数据库和 ML 功能，智能 WAF可以持续监控 Web 流量，并将学习内容包括在保护 Web 应用程序中。当它们被管理时，WAF 可以确保零误报，并且可以以外科手术的准确性进行定制，以结合自定义业务规则，防止业务逻辑漏洞。,托管 WAF 将包括经过认证的安全专业人员的专业知识，他们进行渗透测试和安全审计，以防止零日威胁并保持最高的 Web 应用程序安全标准。 托管 WAF 确保学习是准确和相关的，并专注于减轻特定于应用程序的风险。它将在 24×7 安全专家的支持下内置学习，以便采取行动。因此，应用程序所有者可以专注于其功能的敏捷性，并利用专家的服务确保安全。, ,在几年的时间里，我们正在经历快速的技术进步，这些进步正在彻底改变世界的运作方式。从这些进步中受益的不仅仅是企业，甚至网络犯罪分子和犯罪集团也利用这些进步在此过程中获得了财务和其他收益。,您可能知道，WAF 或 Web 应用程序防火墙是应用程序和互联网流量之间的第一道防线。它监控和过滤互联网流量以阻止不良流量和恶意请求。WAF 是识别应用程序中的漏洞并在恶意行为者发现它们之前保护它们的最佳且具有成本效益的方法之一。,

Web 应用程序防火墙(WAF) 是 Web 应用程序/网站/网络服务器与 Internet 流量之间的第一道防线。互联网流量包括好的和恶意的流量和请求。因此，使用 WAF 有助于保护 Web 应用程序/网站/Web 服务器免受不良流量和恶意行为者试图策划的不同类型的网络攻击。,,WAF 是Web 应用程序安全和网络安全策略中 至关重要且不可或缺的一部分，因为它能够识别并立即修补应用程序和服务器中的漏洞，立即阻止所有恶意行为者发现这些漏洞和漏洞，从而为开发人员提供修复的缓冲时间他们。,WAF 旨在阻止的 8 种网络攻击类型, 1. DDoS攻击,DDoS 攻击 试图用虚假流量压倒目标 Web 应用程序/网站/服务器，耗尽网络带宽，并使其对合法用户不可用。DDoS 攻击以几种不同的方式发生，包括放大、泛洪、基于协议和反射。一些常见但危险的 DDoS 攻击类型包括 DNS 放大、死亡 Ping、Smurf 攻击、HTTP 洪水、SYN 洪水等。,WAF 通过应用程序的日常扫描、全天候监控、全球威胁情报和机器学习来识别伪装机器人、恶意请求等并阻止它们，从而阻止这些攻击。借助 AppTrana 等托管 WAF，由经过认证的安全专业人员进行的定期渗透测试和安全审计有助于阻止 DDoS 攻击。, 2. SQL注入攻击,在这些攻击中，犯罪者以请求或查询的形式在 Web 应用程序的用户输入字段（如提交表单、联系表单等）中注入恶意 SQL 代码。这样做，他们可以访问应用程序的后端数据库，然后潜入其中提取客户或企业本身的敏感和机密信息，获得未经授权的管理访问，修改或删除数据等，甚至完全控制 Web 应用程序。SQL 注入攻击主要是由于用户输入字段和提交表单没有受到保护以防止输入代码和其他未经清理的输入。,, 3. 跨站脚本（XSS）攻击,XSS 攻击 针对易受攻击的 Web 应用程序/网站的用户，以访问和控制他们的浏览器。在这里，攻击者利用应用程序中的漏洞和漏洞注入恶意脚本/代码，这些脚本/代码在毫无戒心的用户加载应用程序/网站时执行。在反射型 XSS 攻击中，恶意代码只有在用户单击链接时才会执行，而在存储型 XSS 攻击中，恶意负载会存储在 Web 浏览器中，并在用户每次访问网站/应用程序时执行（无论他们查看/下载/点击链接没关系）。XSS 攻击使用户的个人和机密信息受到威胁，并经常导致身份盗用、会话劫持等。这些攻击的发生要么是因为用户输入字段，如评论部分、用户帖子、反馈等。, 4. 零日攻击,零日攻击 是指组织仅在攻击发生时才知道硬件/软件中存在漏洞的攻击。这些都是出乎意料的，因此对企业来说非常有害，因为他们没有快速修复或补丁来保护他们的应用程序。另一方面，网络攻击者可能以前一直在窥探应用程序，并在发现漏洞后立即利用这些漏洞。,配备机器学习功能（如 AppTrana）的托管智能 WAF 不仅可以阻止错误请求和分析攻击模式，还可以将用户列入白名单、挑战请求，并基于学习持续管理策略和规则。, 5. 业务逻辑攻击,业务逻辑是 UI 与数据库和软件系统之间连接和传递信息的关键元素，使用户能够有效地使用 Web 应用程序/网站。当业务逻辑中存在差距、错误或重叠时，它会产生漏洞，网络攻击者通常会利用这些漏洞来获取金钱和其他优势。攻击者不会使用格式错误的请求和恶意负载来编排业务逻辑攻击。他们使用合法值和合法请求来利用应用程序中的环境漏洞。业务逻辑机器人通常用于这些攻击。,,托管 WAF 最适合应对这些攻击，因为它们将机器的可扩展性、速度和准确性与了解业务的认证安全专业人员的专业知识、智能和创造性思维能力相结合。, 6. 中间人攻击,当犯罪者将自己置于应用程序和合法用户之间，通过冒充两方之一来提取密码、登录凭据、信用卡详细信息等机密详细信息时，就会发生这些攻击。攻击可以通过简单的方式进行策划，例如在不受密码保护的公共场所提供免费的恶意热点。当受害者连接到这些热点时，他们会将其在线数据交换的完全可见性提供给攻击者。DNS缓存中毒，IP欺骗，ARP欺骗等复杂手段用于拦截连接，HTTPS欺骗，SSL劫持，SSL野兽等用于解密双向SSL流量而不提醒用户或应用程序。, 7. 恶意软件,恶意软件攻击是通过利用应用程序漏洞或通过网络钓鱼等社会工程方法将木马、勒索软件、间谍软件、rootkit 等恶意软件注入网站/Web 应用程序/服务器而精心策划的。通过这样做，攻击者可以访问机密信息、应用程序的敏感部分、系统配置更改等。, 8. 污损,在所有网络攻击中最简单的污损攻击中，犯罪者更改网站内容并用自己的内容替换以反映政治意识形态/议程，用有争议的信息或图像震惊用户等等。在污损修复之前，Web 应用程序可能对用户不可用。,如前所述，托管、智能并配备全球威胁情报和 ML 能力的 Web 应用程序防火墙可以有效且高效地应对这 8 种网络攻击中的每一种。AppTrana提供了一种这样的 WAF，它允许自定义规则、防止业务逻辑缺陷、确保零误报并保持最高的 Web 安全标准。, ,Web 应用程序防火墙(WAF) 是 Web 应用程序/网站/网络服务器与 Internet 流量之间的第一道防线。互联网流量包括好的和恶意的流量和请求。因此，使用 WAF 有助于保护 Web 应用程序/网站/Web 服务器免受不良流量和恶意行为者试图策划的不同类型的网络攻击。,DDoS 攻击 试图用虚假流量压倒目标 Web 应用程序/网站/服务器，耗尽网络带宽，并使其对合法用户不可用。DDoS 攻击以几种不同的方式发生，包括放大、泛洪、基于协议和反射。一些常见但危险的 DDoS 攻击类型包括 DNS 放大、死亡 Ping、Smurf 攻击、HTTP 洪水、SYN 洪水等。,

随着网络犯罪和网络攻击成为企业及其最终客户面临的最大风险，稳健、动态和全面的网络安全战略和措施已成为各种类型和规模的企业的当务之急。WAF 或Web 应用程序防火墙是并且必须是任何综合 Web 安全解决方案的重要组成部分。它是保护网站/Web 应用程序免受不良行为者和恶意请求的第一道防线。,,话虽如此，重要的是要注意，并非所有WAF 提供商都有效且主动地保护您的网站/Web 应用程序免受各种原因的攻击。以下是您的 WAF 必须具备的强大功能列表，但您的 WAF 提供商可能缺少这些功能。, 1. 智能、全面、可管理的 WAF,通常，Web 扫描工具和过时的防火墙被多个 WAF 提供商伪装成 Web 应用程序防火墙。这些工具仅扫描您的网站/Web 应用程序，并不能帮助您修复发现的漏洞或有效阻止攻击。,Web App Firewall 必须是全面的，以确保从应用程序、服务器、第三方资源等中检测到所有已知漏洞，并立即修补直到被开发人员修复并过滤掉所有恶意/非法请求。,WAF 必须是智能的，配备 AI、ML 和全球威胁情报数据库，以便从业务本身的过去攻击历史和全球攻击中学习。它不断地寻找新的区域来寻找漏洞。智能 WAF 可以区分机器人和人工流量，并决定是否允许、阻止、标记或质疑请求。,必须对其进行管理（将自动化的力量与经过认证的安全专家的专业知识和技能相结合）以主动和一致地构建自定义措施和策略，以跟上外部和内部变化的步伐，并保持对威胁的强大防御。,, 2. 具有手术精度的定制,没有两家企业是相同的，因此，它们的安全风险、风险偏好、安全需求等也是独一无二的。通用且一刀切的网络安全方法对业务不利。包括 WAF 规则在内的安全措施必须针对业务的独特需求进行精确定制，并且必须不断调整以适应应用程序本身的动态和新出现的威胁。, 3. 业务逻辑漏洞评估、渗透测试和安全审计,自动扫描程序加快了识别所有已知漏洞的过程。然而，他们错过了可能看似合法但具有破坏性的业务逻辑漏洞。同样，自动化和 WAF 可能会遗漏未知漏洞、错误配置和安全漏洞。为了识别这些并减轻与之相关的风险，经过认证的安全专家必须进行业务逻辑漏洞评估、渗透测试和安全审计，以加强网站的安全策略和安全态势。因此，WAF 必须是端到端安全解决方案的一部分。, 4. 灵活无忧的部署,Web App Firewall 必须易于部署、灵活且易于部署，从而实现零停机时间。Cloud WAF 就是这样一个解决方案。, 5. 零误报,托管 WAF 可确保零误报，以确保开发人员和其他资源的有限且宝贵的带宽不会被不构成或尚未构成威胁的事物侵蚀。WAF 还有助于防止使用以前未知漏洞的攻击；通过在这些攻击造成任何损害之前阻止这些攻击，开发人员不太可能遭受误报，从而导致浪费大量时间和资源来对抗并非真正的攻击。,, 6. 网站/网络应用程序的全天候可用性,托管 WAF 必须能够确保您的网站/Web 应用程序全天候可供最终用户使用，且停机时间或崩溃为零。从本质上讲，WAF 必须为您的 Web 应用程序提供主动、即时、多层和定制的保护，以抵御各种DDoS 攻击。增强的网络安全不得干扰网站的速度、敏捷性或性能，反之亦然。最好的安全解决方案为此提供CDN 服务。, 7. 风险态势和业务影响的 24×7 可见性,WAF 必须有一个全面且信息丰富的仪表板，该仪表板提供安全洞察力以及对您的风险状况和业务影响的 24×7 实时可见性。这样，您不仅可以了解存在哪些漏洞，还可以了解它们的来源和原因、被阻止请求的来源等，从而使您和您的安全团队能够采取主动措施来加强安全性。, ,随着网络犯罪和网络攻击成为企业及其最终客户面临的最大风险，稳健、动态和全面的网络安全战略和措施已成为各种类型和规模的企业的当务之急。WAF 或Web 应用程序防火墙是并且必须是任何综合 Web 安全解决方案的重要组成部分。它是保护网站/Web 应用程序免受不良行为者和恶意请求的第一道防线。,Web App Firewall 必须是全面的，以确保从应用程序、服务器、第三方资源等中检测到所有已知漏洞，并立即修补直到被开发人员修复并过滤掉所有恶意/非法请求。,

Web 应用程序防火墙 (WAF) 就像一个力场，只允许合法请求和良好流量访问您的网站/Web 应用程序，过滤并阻止不良请求和僵尸网络。几种WAF 替代品充斥着市场，但并非所有 WAF 都是平等的，而且它们绝对不能提供相同级别的安全性。在本文中，我们为您提供了一组 8 个问题，您必须在做出决定之前询问 WAF 提供商。,,您必须向 WAF 提供商提出的 8 个问题, 1. WAF 保护什么？,始终选择全面的 Web 应用程序防火墙，以保护您的 Web 应用程序免受所有已知漏洞的影响。它必须能够检测来自应用程序、服务器、第三方资源等的已知漏洞并修补漏洞，直到开发人员修复。, 2. 使用了哪些检测技术？,Web 应用程序防火墙分析流量以仅允许合法用户访问应用程序，同时过滤掉不良/恶意请求以阻止攻击/威胁。为此，最好的 Web 应用防火墙将包括一系列检测技术，例如签名匹配、行为分析、规范化等。,此外，在选择 Web 应用程序防火墙时，比较误报率与负率的证明、第三方测试结果、检测/阻止的零日威胁以及潜在供应商的频率和误报管理策略。, 3. 它是如何保护的？,根据对以下问题的回答和您的 Web 应用程序的独特需求，评估 Web 应用程序防火墙如何保护 Web 应用程序。,, 4. 它允许定制吗？,没有两个企业或 Web 应用程序是相同的——它们的威胁和漏洞、风险、风险偏好、安全需求等因各自独特的环境而异。因此，WAF 策略/规则需要以外科手术般的准确性进行定制，以提高安全性，并持续不断地进行调整，以跟上应用程序本身的活力和新出现的威胁。,选择一个托管的 WAF，它提供实时洞察和安全分析、24×7 的风险状况可见性和业务影响，就像来自 AppTrana 的那样 – 它结合了自动化的力量与经过认证的安全专家的智能和创造性思维技能，他们定制- 基于对您的业务及其独特需求的深刻理解，以外科手术般的准确性构建您的 WAF，并根据 WAF 提供的安全分析、实时洞察力和可见性调整策略。, 5. 它是否配备了 Accurate learning 以根据新的威胁向量和应用程序的风险态势，根据生产中应用程序的当前风险级别不断更新其策略？,选择配备 AI、ML 和全球威胁情报数据库的智能 WAF，使其能够从企业自身过去的攻击历史和全球范围内的攻击中学习，不断寻找新的区域来寻找漏洞并区分机器人和人类流量通过使用其学习来允许、阻止、标记或质疑请求。, 6. 是否可扩展？,您的业​​务一定会增长，您的客户也会增加，或者您的 Web 应用程序将获得更大的流量，或者您的应用程序本身可能会增长，或者由于促销/活动可能会出现突然的流量高峰。无论哪种情况，WAF都必须能够保护您的应用程序，而与流量无关。因此，流量峰值的可扩展性、多租户和带宽成本是重要的考虑因素。这些将影响 Web 应用程序的速度、性能和可用性。,, 7. 记录和报告如何工作？,评估安全性和流量日志审计跟踪和报告的深度、易于访问性和全面性。此外，检查报告是否可定制、是否可以按需生成并按计划生成、报告格式、可视化和演示的用户友好性以及分发方法。这些因素会影响安全事件调查的有效性和质量。, 8. 是否易于部署？,您最不希望的事情是在部署 Web 应用程序防火墙时应用程序变得不可用或崩溃。Cloud WAF易于部署、灵活且无忧，在入职期间可实现零停机和崩溃。,选择 Web 应用防火墙时要问的另外两个问题是：,选择合适的 WAF 来加强 Web 安全并为企业节省数百万美元。, ,Web 应用程序防火墙 (WAF) 就像一个力场，只允许合法请求和良好流量访问您的网站/Web 应用程序，过滤并阻止不良请求和僵尸网络。几种WAF 替代品充斥着市场，但并非所有 WAF 都是平等的，而且它们绝对不能提供相同级别的安全性。在本文中，我们为您提供了一组 8 个问题，您必须在做出决定之前询问 WAF 提供商。, 2. 使用了哪些检测技术？,