Какой лучший брандмауэр веб-приложений (WAF) для IIS? Чем он лучше других? Насколько он полезен для блокировки атак на плохо написанный код, также известный как система предотвращения вторжений (IPS)?
Стандарт PCI-DSS требует наличия WAF, поэтому если мне нужно что-то получить, то это должен быть лучший вариант.
решение1
Это крайне открытый вопрос. Брандмауэр может быть программным или аппаратным, бесплатным или за десятки тысяч долларов. Это действительно зависит от ваших потребностей и бюджета, насколько это "лучше".
Конечно, в конце концов, когда вы говорите «лучший», я говорю:Циско.
Обратите внимание, что термин «брандмауэр веб-приложений» также означает разные вещи для разных людей. Для Cisco он, похоже, означает систему, ориентированную на XML. На самом деле вам может понадобиться более универсальный брандмауэр, например, что-то из серии ASA. Эти вопросы безопасности многогранны, и я не эксперт по PCI-DSS, поэтому не совсем уверен в нюансах вашего запроса. Однако я могу сказать вам, что все, что вам нужно, у Cisco есть, и это, вероятно, круто, если вы простите за превосходную степень.
решение2
Во-первых, я не знаю, где вы, скептики, были последние несколько лет, но требование WAF в PCI является частью требования 6.6, и это было самое обсуждаемое требование за последние несколько лет. (Я бы опубликовал ссылку, но поскольку я новичок, то могу размещать только одну ссылку в сообщении, и я ее сохраню. Просто загуглите «6.6 PCI WAF», и вы получите тысячу результатов).
Что касается "лучшего", лучший - это очень относительное понятие. Попробуйте найти тот, который лучше всего соответствует вашим потребностям и бюджету. Если вам нужна отправная точка, вот краткое описание основных игроков здесь: http://www.docstoc.com/docs/9687629/WAF
решение3
Я протестировал несколько различных брандмауэров веб-приложений от многих крупных поставщиков оборудования и программного обеспечения. Ни один из них не оказал существенного влияния на мою способность вручную выявлять проблемы в уязвимых веб-приложениях.
Они становятся довольно хороши в остановке атак, которые могут попытаться провести черви или неопытные злоумышленники, но решительный злоумышленник-человек всегда может легко изменить вектор своей атаки так, чтобы он больше не срабатывал на IDS. Все они по сути сопоставляют запросы с регулярными выражениями, ища общие шаблоны атак. Но их так легко обойти.
Рассматривайте такое устройство только как дополнительный уровень безопасности. Не рассматривайте его, чтобы избавить своих разработчиков от написания кода без уязвимостей или чтобы избавить администраторов от необходимости регулярно обновлять и патчить системы и программное обеспечение. Я могу сказать вам бесплатно, что они не остановят людей от доступа к вашим уязвимостям SQL-инъекции или межсайтового скриптинга.
решение4
Я пробовал несколько лучших WAF. Некоторые из них идут со встроенными балансировщиками нагрузки (например, F5, Zeus). Другие — это выделенные, автономные WAF. Протестировал множество из них, фактически запустив AppScan против известного уязвимого веб-кода. Для меня лучшим оказался SecureSphere WAF от Imperva. Вы заплатите за него бешеные деньги, но с точки зрения чистой безопасности, ведения журнала и настраиваемости он на данный момент лучший. Вы можете получить его виртуальным или физическим устройством, каждое из которых имеет свои преимущества. У них очень строгое лицензирование, и они дорогие, но их возможности ведения журнала и обновления сигнатур трудно превзойти.
Мы также тестируем код самих приложений с помощью AppScan и WebInspect. Как уже упоминалось, лучше всего использовать WAF + code review, поскольку вы не можете получить 100% с помощью любого из этих методов по отдельности. Это сильно отличается от систем IDS/IPS, которые в основном смотрят на трафик уровня 3, а не на уровень 7, где большинство атак в настоящее время успешно. Существуют также облачные защиты WAF (безопасность как услуга), которые предлагают ту же защиту, но за гораздо меньшие инвестиции.