战五渣 四大云WAF实战测试险遇团灭
发布时间:2022-06-04 11:09:23 所属栏目:安全 来源:互联网
导读:许多企业将Web应用程序防火墙(WAF)默认为保护Web应用程序时的优秀实践或合规性要求。WAF是一种特定的防火墙,旨在识别和阻止Web应用程序流量的攻击。期望防火墙将阻止命令注入攻击、跨站点脚本攻击、协议违规以及其他针对Web应用程序的常见攻击。 云WAF在提
|
许多企业将Web应用程序防火墙(WAF)默认为保护Web应用程序时的优秀实践或合规性要求。WAF是一种特定的防火墙,旨在识别和阻止Web应用程序流量的攻击。期望防火墙将阻止命令注入攻击、跨站点脚本攻击、协议违规以及其他针对Web应用程序的常见攻击。 云WAF在提供防护功能的同时,还同时具有CDN的功能,在进行防护的同时还可以提高网站访问的速率,CDN通过跨运营商的多线智能解析调度将静态资源动态负载到全国的云节点,用户访问某个资源时会被引导至最近的云端节点从而提高访问速度。 但是,目前国际市场上一些有代表性的云WAF产品(本文主要讨论云计算服务商提供的云WAF),到底“能不能打”? 在Gartner的调研报告下面,很多企业安全人员的留言对云WAF也是褒贬不一,一位软件工程师认为AWS Web Application Firewall是“最可靠的软件”。但另一位专家称云WAF有“需要进一步解决的问题”。至于Azure,评论似乎更加复杂。一位架构师认为,“仍准备了专用WAF设备作为备份”,尽管许多人认为它“易于实施和使用”。 由于目前市场上很少有第三方机构对云计算服务商的云WAF产品进行实战检测,因此客户对云WAF性能和功能的认知,有时候可能只是一种对云安全的“蜜汁自信”。云WAF是否可以很好地阻止常见的Web应用程序攻击? 近日,网络安全团队Fraktal针对AWS WAF (Amazon)、AWS WAF (Fortinet)、AZURE WAF (CRS 3.1)、BARRACUDA(梭子鱼)WAF-as-a-service四款常见的云服务商的云WAF产品(服务)做了一个实战测试,结果有些令人吃惊。测试内容如下: 测试设置 我们在AWS和Azure中搭建了测试环境,以测试云WAF。我们的设置包括以下内容: 攻击者的主机在特定的目标Web主机上执行数千个脚本化的测试用例。我们将有效负载注入了发往目标主机的HTTP GET和POST请求。 在云容器平台上,目标Web主机运行容器化自定义Web服务器——AWS Elastic Container Service ECS或Azure容器实例ACI。该Web服务器对所有传入HTTP请求反馈HTTP响应代码“200 OK”。 目标Web主机前置一个具备WAF功能的云负载平衡器——AWS Elastic Load Balancer ELB或Azure Web Application Gateway。 从Azure Marketplace配置的梭子鱼WAF即服务(WaaS),将流量定向到Azure ACI上的目标Web主机。 测试团队为AWS和Azure内部解决方案挑选了云托管版本的商业WAF产品进行对比测试。四款产品采用的规则/服务如下: Azure应用程序网关WAF,使用来自开放式Web应用程序安全项目(OWASP)的CRS 3.1规则 使用梭子鱼托管规则从Azure市场配置的梭子鱼WAF即服务(WaaS) 使用Amazon托管规则的AWS WAF 使用Fortinet托管规则的AWS WAF 在Azure云中,总体测试体系结构如下所示,在AWS云上的测试环境采用了完全相同的设置。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号