应用安全

近十年来，WAF 已经逐渐发展成熟，被软件行业接受并成为无数企业保护应用的不二选择。很多大型企业甚至相继亲自设计或通过并购涉足其中，在这个硕大的市场里逐鹿竞争，同时也推动了应用层防火墙的技术演进。 与传统防火墙工作在传输层或网络层不同， WAF 工作在应用层，基于对 Web 应用业务和逻辑的理解，WAF 对各类请求进行内容检测和验证，可以做到实时阻断非法的请求，从而对各类网站应用进行有效保护。 然而道高一尺，魔高一丈。现代黑客的技术水平也在日新月异，零日攻击早已不是新鲜事，WAF 做为把守应用安全的重要一关难逃此劫。从原理上讲，WAF 实施的还是基于协议理解＋内容正则匹配的工作方式，当企业应用代码更新时，亦要及时更新规则集，避免误报造成业务中断；在另一方面，企业需要有个跟踪安全动态的方案，以期当形形色色新的攻击方式出现时，可以第一时间更新规则集，否则就有可能被黑客钻了空子造成损失。因此，误报和漏报是悬在应用 WAF 保护的企业头顶的两把利刃，尤其以后者为甚。 要解决这两个问题，简而言之：前者需要增加研发投入，将 WAF 规则集更新纳入正常的研发流程管理起来；后者的基本思路则是吃透 WAF，知己知彼，百战不殆。想了解怎样防先要知道对手可能怎样攻。在此，我想尝试着列举一下企业可以在哪些方面下功夫使 WAF 变得更加靠谱，减少漏报。这其中包括个人的经验，也包括一些网友分享的经验，以飨读者