在一个每天都会出现新的网络攻击并出现的世界中，我们必须不断寻找和建立新的安全控制和保护机制。目前发现的最常见的网络安全威胁通常涉及数据泄露并且发生在应用程序级别，这就是许多NGFW和IPS / IDS系统无法抵御此类攻击的原因。此外，大多数通信 - 尤其是那些集成在Web应用程序中的通信 - 最近都被加密，这给这些设备带来了额外的问题。 Web应用程序防火墙，即WAF产品专为Web应用程序设计 - 它们在应用程序级别分析每个HTTP请求，并提供SSL / TLS流量的完全解密。

想更多地了解Web应用程序防火墙？观看视频（https://veracompadria.com/en/f5-networks-web-Application-firewall-video/）！

WAF产品对于建立有效的多层保护至关重要。 Web应用程序防火墙背后的技术在过去几年中并没有真正改变。 WAF系统检查符合RFC文档的请求，并应用不同的攻击签名比较来确定请求是否有效。添加了新功能以通过WAF应用程序实现用户会话和行为监控，旨在防止潜在的暴力攻击和会话劫持。还添加了基于IP信誉的过滤和源，以阻止已知的攻击源，如僵尸网络，匿名者和类似威胁。大多数WAF产品仍然使用相对被动的技术和机制来检查客户端的能力有限或没有。

将WAF设备定位在网络通信应用环境中

经常弹出的一个问题是放置这种设备的位置？当然，有多个解决方案。用户和目标应用程序之间的通信路径通常具有可以设置WAF设备的多个点。但是，这并不意味着这些要点中的每一个都同样有利。理想情况下，WAF将在用于在任何给定环境中执行负载分配和流量优化的系统后面实施。这使其能够优化使用，性能和可靠性，同时为数据中心应用程序提供保护 - 特别是如果此类应用程序是公开可用的。

现代网络世界中的威胁景观

当今IT系统面临的大多数威胁都是自动化的，攻击者使用自动应用程序扫描来搜索新的漏洞。分布式拒绝服务（DDoS）攻击是完全自动化的，可以产生超过1Tbps的大量基于洪水的攻击。自动攻击很难被发现，因为它们通常被设计为模仿完全合法的流量。 CAPTCHA和类似技术用于检测此类攻击;但是，这些验证方法已被证明是不够的，并且经常会损害合法用户的体验。

还出现了全新的威胁，例如凭证填充。凭据填充是一种特殊类型的攻击，在先前的攻击期间被盗的数百万用户名和密码组合被用于获取对用户帐户的未授权访问。根据最近的威胁报告，窃取帐户凭据的利用是2017年最常见的攻击类型。凭证填充攻击非常难以检测，因为恶意流量不仅看起来合法，而且通常执行速度非常慢，以避免被检测为蛮力攻击。

恶意软件始终存在于所有在线环境中，用于利用浏览器漏洞和屏幕另一侧的目标用户。有许多方法可以分发和传播恶意软件 - 从电子邮件附件到社交网络和广告上共享的恶意链接。受恶意软件感染的计算机用于执行DDoS攻击，身份盗用和收集数据。除非客户机由经验丰富的IT团队监督，否则可用的检测和缓解方法是有限的。

最后，还有DDoS攻击。它们不仅仅是体积本质的。许多也是计算 - 用于消耗CPU和内存等资源 - 并且会降低应用程序或数据库服务器的性能。检测DDoS攻击可能相对困难，因为大多数此类攻击似乎是有效流量，通常与标准传入数据检查一致。

简而言之，这些攻击可以被忽视并绕过几乎所有传统的WAF解决方案，因为它们看似完全合法。由于越来越多的受损设备变得更加多样化，IP信誉数据库和供稿的功能也有所瘫痪：调制解调器，物联网设备......毫无疑问，我们需要更先进的WAF设备和技术来保护自己来自这些新兴威胁。

F5应用程序安全管理器 - ASM

F5 ASM（应用程序安全管理器）是经过认证的Web应用程序防火墙（WAF），可通过网络应用程序层提供全面，主动的保护，免受一般和有针对性的攻击。与大多数其他Web应用程序防火墙一样，ASM使用一种积极的安全模型，在该模型下，在明确允许之前禁止所有流量。这种逻辑意味着ASM只允许有效，非恶意和授权的请求，并自动保护关键Web应用程序免受适当的攻击。 Application Security Manager可保护您的系统免受各种应用程序，基础架构和网络攻击，如跨站点脚本，SQL注入攻击，cookie /会话中毒，参数篡改，强制浏览，DOS攻击等等...... BIG-IP ASM保护应用程序基于全面的安全策略，无论它们位于传统，虚拟还是私有云环境中。 ASM评估威胁并防止其执行，提供可见性和高度灵活性，这有助于确保Web应用程序的平稳，可靠和安全性能。

图中显示了Web应用程序暴露于攻击的百分比，OWASP将其列为十大最常见的Web应用程序风险。 用户可以实施ASM来保护他们的系统免受所有此类风险的影响，并且还可以利用集成的安全规则和攻击模式来保护整个类别的HTTP和HTTPS威胁。 ASM是唯一的Web应用程序防火墙，它可以监视和记住它所保护的应用程序的正常行为，并可以防止所有偏离正常应用程序行为的攻击。

先进的WAF技术 - F5高级WAF

F5最近在其产品组合中添加了一款名为“Advanced WAF”的产品，再次证实了为什么F5是WAF技术的市场领导者。 高级WAF提供了检测和缓解当今在线世界中存在的高级攻击所需的所有机制。

此安全解决方案的各种功能包括：

1. 主动Bot防御 - 利用指纹识别技术和挑战/响应技术与行为分析相结合，实现会话级威胁检测并阻止自动威胁。这是一种比依靠IP信誉数据库防止僵尸网络攻击更加先进和高效的解决方案。
2. 第7层行为DoS检测和缓解 - F5高级WAF能够动态分析流量并为异常流量模式创建签名，在DDoS攻击到达您的应用程序之前阻止它们。
3. DataSafe - 通过动态，动态和实时加密页面内容提供凭据保护，以防止恶意软件引起的浏览器中的攻击。 DataSafe还对用户即时和实时输入浏览器的数据进行加密。
4. Anti-Bot Mobile SDK - 使用移动应用程序时不存在浏览器，这意味着PBD保护会失去效率。 Anti-Bot Mobile SDK可以帮助防止即使在移动设备上发生僵尸网络攻击。

最后的想法…

在我们使用大量应用程序和软件解决方案进行大多数私人和业务通信的时候，我们应该将注意力集中在保护它们上。在过去一年中，42％的网络攻击目标企业指向外部资源，两种最广泛使用的攻击方法针对Web应用程序和各种软件漏洞。恶意来源不断攻击应用程序，这就是安全专业人员正在寻找WAF设备来保护Web应用程序免受大多数复杂攻击（包括零日攻击）以及确保所有形状和格式的应用程序安全的原因。 F5 Advanced WAF是一个专用安全平台，提供当今市场上最先进的应用程序安全功能。

原文：https://veracompadria.com/en/waf-what-where-how-and-why/

本文：https://pub.intelligentx.net/waf-what-where-how-and-why

讨论：请加入知识星球或者小红圈【首席架构师圈】