国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

web application firewall簡稱WAF，翻譯過來是web應用防火墻，主要用于攔截針對WEB應用的攻擊。素包子談一下自己對WAF的想法，歡迎拍磚和補充完善。

1、必要性

實際應用：增強對WEB APP安全現(xiàn)狀的感知能力，并能在一定程度上控制web app風險，彌補代碼一級安全防御在技術和實施方面的不足

體系完善：在SDL的implement階段控制web app風險，在有資金預算的情況下，是實施SDL不錯的切入點之一。拿著WAF的報告，可以讓老板看到外部威脅及防御效果，以推動SDL的前進。

法規(guī)遵循：PCI對WAF有明確要求；亦可命中其他法規(guī)的要求，例如SOX的保障資金相關數(shù)據(jù)的真實可靠。

2、缺陷和潛在問題

實施一個安全措施規(guī)避風險的同時有時會引入其他問題，這是我們在實施項目前需要高度注意的。下面列舉一些

引入單點故障：

不管怎么部署，只要能攔截，都是一個單點，要么雙機，要么具備軟硬bypass功能。

誤報：

這東西和任何安全產品一樣，一旦有大量的誤報，而沒有解決的辦法，那就進入了惡性循環(huán)。解決誤報是非常關鍵的。通過規(guī)范化內部編碼習慣、白名單和灰名單的機制可以有效的抑制誤報。例如一個IP出現(xiàn)一次攻擊行為的時候把它放到灰名單里，多次出現(xiàn)攻擊行為后才攔截和告警。當然了，廠商想了很多的方法規(guī)避誤報，最后還是要通過實際應用測試才能判斷是否有效。

漏報：

WAF肯定是可以被繞過的，對于基本編碼的解碼做到之后，剩下的就是使用者與黑客的經(jīng)驗較量了，當然了，如果廠商具備足夠的繞過經(jīng)驗并將防御措施實施到產品之中傳遞給用戶就最好了。

性能：

互聯(lián)網(wǎng)公司不用WAF的原因之一就是性能問題。大家都懂的，不贅述了。

3、產品

軟件：

有免費的modsecurity，iisscan

有古老的EEYE WEB SECURITY

有新秀zeus web application firewall

硬件：

國內：看這里 html">http://www.youxia.org/2010/03/china-waf.html

國外：看這里 http://baoz.net/web-application-firewall-list/

4、選型關鍵點

部署靈活，最好能橋接。

支持軟硬件bypass，否則這個簍子捅了要遭殃。

支持黑白名單和灰名單模式。細化到域名和URL，源IP的黑白灰名單。

能有TOP 10報表。

陸續(xù)再完善。

大家如果有什么滿足我需求的WAF，麻煩推薦一下，謝謝。

順手拖網(wǎng)路游俠的圖過來http://www.youxia.org/2009/04/WEB-Security-Analyst-YouXia.html