IIS에 가장 적합한 웹 응용 프로그램 방화벽은 무엇입니까?

그것은 매우 개방적인 질문입니다. 방화벽은 소프트웨어 또는 하드웨어일 수 있으며, 무료일 수도 있고 수만 달러일 수도 있습니다. "최고"에 관한 한 귀하의 필요와 예산에 따라 달라집니다.

물론, 결국 당신이 "최고"라고 말할 때 저는 이렇게 말합니다.시스코.

"웹 애플리케이션 방화벽"이라는 용어는 사람마다 다른 의미를 갖습니다. Cisco에서는 xml 대상 시스템을 의미하는 것 같습니다. 실제로 ASA 시리즈와 같은 보다 일반적인 목적의 방화벽이 필요할 수도 있습니다. 이러한 보안 문제는 다면적이며 저는 PCI-DSS 전문가가 아니기 때문에 귀하의 요청에 대한 미묘한 차이를 완전히 확신할 수 없습니다. 그러나 귀하가 필요로 하는 것은 무엇이든 Cisco가 갖고 있으며 최상급을 용서하신다면 아마도 매우 좋을 것입니다.

우선, 의심하는 분들이 지난 몇 년 동안 어디에 있었는지 잘 모르겠지만 PCI의 WAF에 대한 요구 사항은 요구 사항 6.6의 일부이며 지난 몇 년간 요구 사항에 대해 가장 많이 회자되었습니다. (링크를 게시하고 싶지만 초보이기 때문에 메시지당 하나의 링크만 게시할 수 있어 저장하고 있습니다. Google에 "6.6 PCI WAF"만 검색하면 수천 개의 결과가 표시됩니다).

"최고"가 무엇인지에 관해서 최고는 매우 상대적인 용어입니다. 귀하의 필요와 예산에 가장 적합한 것을 찾으십시오. 시작점을 원한다면 여기에 주요 플레이어에 대한 간략한 글이 있습니다. http://www.docstoc.com/docs/9687629/WAF

저는 많은 주요 하드웨어 및 소프트웨어 공급업체의 다양한 웹 응용 프로그램 방화벽을 테스트했습니다. 그 중 어느 것도 취약한 웹 애플리케이션의 문제를 수동으로 노출하는 능력에 눈에 띄는 영향을 미치지 않았습니다.

그들은 웜이나 경험이 없는 공격자가 시도할 수 있는 종류의 공격을 막는 데 꽤 능숙해졌지만, 결단력 있는 인간 공격자는 더 이상 IDS를 통과하지 않도록 공격 벡터를 언제든지 쉽게 조정할 수 있습니다. 이들은 모두 본질적으로 요청을 정규식과 일치시켜 일반적인 공격 패턴을 찾습니다. 하지만 돌아다니기가 너무 쉽습니다.

이와 같은 장치는 보안에 대한 추가 계층으로만 고려하십시오. 개발자가 취약성이 없는 코드를 작성하는 것을 막거나 관리자가 시스템과 소프트웨어를 정기적으로 업데이트하고 패치하는 것을 막는 방법을 고려하지 마십시오. 사람들이 SQL 주입이나 크로스 사이트 스크립팅 취약점을 발견하는 것을 막지 못할 것이라고 무료로 말씀드릴 수 있습니다.

나는 여러 가지 최고급 WAF를 시도했습니다. 일부에는 로드 밸런서가 내장되어 있습니다(F5, Zeus를 생각해 보세요). 다른 것들은 전용 독립형 WAF입니다. 알려진 취약한 웹 코드에 대해 실제로 AppScan을 실행하여 수많은 코드를 테스트했습니다. 제가 생각하는 최고의 성능은 Imperva의 SecureSphere WAF였습니다. 비용을 지불하게 되겠지만 원시 보안, 로깅 및 사용자 정의 가능성 측면에서는 현재 최고입니다. 가상 또는 물리적 어플라이언스를 얻을 수 있으며 각각 장점이 있습니다. 라이센스가 매우 엄격하고 가격이 비싸지만 로깅 기능과 서명 업데이트는 따라잡기 어렵습니다.

또한 AppScan과 WebInspect를 모두 사용하여 애플리케이션 자체를 코드 테스트합니다. 언급한 대로 WAF + 코드 검토를 수행하는 것이 가장 좋습니다. 두 방법 중 하나만으로는 100%를 얻을 수 없기 때문입니다. 이는 요즘 대부분의 공격이 성공하는 레이어 7이 아닌 레이어 3 트래픽을 주로 살펴보는 IDS/IPS 시스템과는 매우 다릅니다. 동일한 보호를 제공하지만 훨씬 적은 투자 비용으로 클라우드 기반 WAF 보호(서비스형 보안)도 있습니다.