Web应用防火墙采购须知（二）

除了检测，WAF如何响应攻击或异常也很关键。WAF提供多种响应选项，这些选项在配置界面应该容易变更。通常情况下，WAF会以某种方式与请求或会话进行交互（当发现攻击或异常时），例如终止与应用服务器的会话或阻止单个请求。每种方法都有优点和缺点，企业应了解哪些方法可行，这很重要。

 

WAF应该可配置为使用下列方法来阻止攻击：

 

阻止会话

 

阻止IP地址

 

阻止请求

 

注销用户

 

阻止用户

 

理想情况下，WAF应该在各种配置中支持这些方法，以响应对攻击或异常的检测。在某些情况下，WAF可能需要依赖其他设备（例如网络防火墙或路由器）来执行阻止操作。如果企业想要使用这个功能，企业应该确保所选择的WAF产品与现有网络设备兼容。

 

WAF如何进行日志记录？

 

WAF最重要的功能是抵御攻击，紧随其后的是日志记录并提醒管理员正在发生的情况。在某些情况下，企业可能怀疑出现攻击或者受感染用户，并想要看到详细信息。这正是WAF日志的重要性所在。对于如何进行这种日志记录，最简单的做法是经过检验而可靠的“哪里、何时、什么”方法。

 

首先，让我们讨论“什么”。WAF日志记录什么内容？应该尽可能地详细地记录。它应当追踪每个事务，包括会话、导航信息以及两者之间的所有信息。每个事务性日志条目的全部细节都应该详细记录，以减少调查事故的时间和精力。通过非常详细的日志记录，企业将能够解决因为WAF本身配置问题发生的问题。

 

接下来，让我们讨论“何时”。这是非常简单的，但重要的是看两个关键点。在最低限度应该有两组日志：第一组应该是访问或事务日志，包含所有通过WAF的活动；第二组是事件日志，当有事件触发WAF的检测或反应时会创建条目。虽然说，这两种日志都很重要，但事件日志更常使用，因为这些条目通常会指明异常行为，例如攻击或者疑似攻击。

 

最后，让我们来讨论“哪里”。日志存储在哪里或者它们如何发送到*日志记录服务是至关重要的。日志采用的格式和传输方式是按照企业使用的安全信息和事件管理（或SIEM）系统支持的格式和协议吗？日志会在设备保留一定时间吗？WAF会混淆任何敏感信息，例如请求中包含的社会安全号码或永久账号（例如信用卡号码）吗？这对遵守法规很重要，例如支付卡行业数据安全标准版本（或PCI DSS）。

 

除了存储，“哪里”还应该包含警报如何产生以及发送到企业。电子邮件警报、门户网站和SNMP都是常见方式，但如果有更多选项则更好。

 

如何管理和更新WAF？

 

WAF并不是配置好就可以置之不管，从长期使用来看，如何管理WAF很重要。如果WAF使用黑名单签名或规则，企业应该弄清楚如何对它们进行更新。企业还应该确保可以自定义这些规则和签名以为他们提供最大灵活性。

 

如果企业没有在使用PHP脚本语言，可能不需要这些黑名单签名或表示规则，而应该禁用它们。通常情况下，这些选项可以通过管理界面的WAF政策来配置。企业应确保这些政策完全可由用户配置，以确保保持对WAF运作的最大控制。

 

如果企业正试图进行定期供应商更新，这些更新如何提供给企业？很多供应商会提供手动更新文件，或者允许设备自动连接更新服务。同样需要关注的是底层操作系统更新，这取决于WAF运行的平台（例如Windows或Linux）。请确保无论WAF产品使用何种更新方法，最终都真正执行了更新。毕竟，不安全的设备保护企业的Web应用的话，结果只会适得其反。

 

结论

 

综上所述，在选择WAF产品或供应商之前，企业决策者应该对需要考虑的问题有着全面和详细的清单。确保提前准备这些问题，并在最后决定之前回答或解决所有问题。对于额外的资源，企业可以参阅Web应用安全联盟提供的WAF评估标准文件，该文件非常详尽。