IIS に最適な Web アプリケーション ファイアウォールは何ですか?

これは非常にオープンエンドな質問です。ファイアウォールはソフトウェアまたはハードウェアで、無料または数万ドルの費用がかかります。「ベスト」かどうかは、ニーズと予算によって決まります。

もちろん、最後に「最高」と言うとき、私はこう言います。シスコ。

「Web アプリケーション ファイアウォール」という用語も、人によって意味が異なることに注意してください。Cisco では、これは XML をターゲットにしたシステムを意味するようです。実際には、ASA シリーズのような、より汎用的なファイアウォールが必要になる場合があります。セキュリティの問題は多面的であり、私は PCI-DSS の専門家ではないため、お客様の要求のニュアンスを完全に把握しているわけではありません。ただし、必要なものが何であれ、Cisco にはそれがあり、おそらく最高のものになるでしょう (最上級の表現を許していただければ)。

まず、ここ数年、あなた方懐疑論者がどこにいたのかはわかりませんが、PCI の WAF 要件は要件 6.6 の一部であり、ここ数年で最も話題になった要件です。(リンクを投稿したいのですが、私は初心者なので、メッセージごとに 1 つのリンクしか投稿できません。保存しておきます。Google で「6.6 PCI WAF」と検索すると、1,000 件の結果が表示されます)。

どれが「ベスト」かという質問ですが、ベストというのは非常に相対的な言葉です。自分のニーズと予算に最も合うものを見つけてください。出発点として、主要なプレーヤーの簡単な説明がここにあります。 http://www.docstoc.com/docs/9687629/WAF

私は、多くの主要なハードウェアおよびソフトウェア ベンダーのさまざまな Web アプリケーション ファイアウォールをテストしました。脆弱な Web アプリケーションの問題を手動で検出する能力に、目立った影響は及ぼしませんでした。

ワームや経験の浅い攻撃者が試みる攻撃を阻止する能力は向上していますが、意志の固い人間の攻撃者であれば、攻撃ベクトルを簡単に微調整して IDS を作動させないようにすることができます。基本的に、これらはすべてリクエストを正規表現と照合し、一般的な攻撃パターンを探します。しかし、回避するのは非常に簡単です。

このようなデバイスは、セキュリティの追加レイヤーとしてのみ検討してください。開発者が脆弱性のないコードを書く手間を省いたり、管理者がシステムとソフトウェアを定期的に更新してパッチを適用する手間を省いたりするために検討しないでください。SQL インジェクションやクロスサイト スクリプティングの脆弱性を突かれるのを阻止することはできないと断言できます。

私はトップクラスの WAF をいくつか試しました。ロード バランサーが組み込まれているもの (F5、Zeus など) もあれば、専用のスタンドアロン WAF もあります。既知の脆弱な Web コードに対して実際に AppScan を実行して、多数の WAF をテストしました。私にとって最高のパフォーマンスを発揮したのは、Imperva の SecureSphere WAF でした。高額ですが、セキュリティ、ログ記録、カスタマイズ性という点では、現時点では最高です。仮想アプライアンスまたは物理アプライアンスで入手でき、それぞれに利点があります。ライセンスは非常に厳しく、高価ですが、ログ記録機能とシグネチャ更新は他に類を見ません。

また、AppScan と WebInspect の両方を使用して、アプリケーション自体のコード テストも行っています。前述のように、どちらかの方法だけでは 100% を達成できないため、WAF + コード レビューを実行するのが最適です。これは、現在ほとんどの攻撃が成功しているレイヤー 7 ではなく、主にレイヤー 3 トラフィックを監視する IDS/IPS システムとは大きく異なります。クラウドベースの WAF 保護 (サービスとしてのセキュリティ) もあり、同じ保護を提供しますが、はるかに少ない投資で済みます。