服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 什么是最好的Web应用程序防火墙的IIS?
Intereting Posts
可以计划任务运行ac#console app或java命令? BIND redhat限制了回应 为什么使用基于混合的复制为MySQL RRAS(路由和远程访问)将进程优先级更改为“实时”? ASA高可用性故障切换链路configuration 好吧 – 我想我无法将旧站点redirect到新的IP地址 如何在Windows 2008中的两个不同的网卡上configuration不同的防火墙规则? Ubuntu:多个NIC,一个只用于局域网唤醒(Wake-On-LAN) Apache模块适用于SSL直通 parsing在Apache模式重写获取参数? 在无头的Solaris机器上运行Flash 我如何检查xen主机上的负载 NFS / DRBD / XFS性能问题 ping如何在一台机器上parsingipv4,但在另一台机器上parsingipv6? 我无法用NGiNX根函数打开一个静态文件

什么是最好的Web应用程序防火墙的IIS?

什么是IIS的最佳Web应用程序防火墙(WAF)? 是什么让它比别人更好? 它是如何有用的阻止攻击写不好的代码,否则被称为入侵防御系统(IPS)?

PCI-DSS需要WAF,所以如果我必须得到一个,那么它应该是最好的。

这是一个非常开放的问题。 防火墙可以是软件或硬件,免费或数万美元。 这实际上取决于您的需求和预算,尽可能“最好”。

当然,最后,当你说“最好”时,我会说: 思科 。

请注意,术语“Web应用程序防火墙”对不同的人也意味着不同的事情。 对思科来说,这似乎意味着一个以XML为目标的系统。 实际上你可能需要一个更通用的防火墙,就像ASA系列的东西。 这些安全问题是多方面的,我不是一个PCI-DSS专家,所以我不完全确定你的请求中的细微差别。 不过,我可以告诉你,无论你需要什么,思科都有,如果你能原谅这个最高级的话,它可能会摇摆不定。

我已经从许多主要的硬件和软件供应商testing了许多不同的Web应用程序防火墙。 他们中没有一个对我手动暴露易受攻击的Web应用程序中的问题的能力有任何显着的影响。

他们在阻止蠕虫或者不成熟的攻击者可能尝试的那种攻击方面做得非常好,但是一个坚定的人类攻击者总是可以轻易地调整自己的攻击向量,使其不再闯入IDS。 他们都基本上匹配正则expression式的请求,寻找常见的攻击模式。 但他们很容易解决。

只考虑像这样的设备作为你的安全性的附加层。 不要考虑让开发人员避免编写无漏洞的代码,或者让pipe理员保持系统和软件的定期更新和修补。 我可以免费告诉你,他们不会阻止你的SQL注入或跨站点脚本漏洞。

首先,我不确定过去几年你怀疑的位置,但是在PCI中要求WAF是6.6要求的一部分,这是过去几年中最受关注的要求。 (我会发布一个链接,但由于我是新的,我只能发布每条消息的链接,我保存它,只需谷歌“6.6 PCI WAF”,你将有一千个结果)。

至于哪一个是“最好的”,最好的是一个非常相对的术语。 尝试find最适合您的需求和预算。 如果你想要一个起点,这里有一个主要参与者的简短说明: http : //www.docstoc.com/docs/9687629/WAF

我与Cheekysoft合作,但是我也会定期使用Google最近发布的SkipFish来扫描我的Web应用程序与Nessus,Nikto以及(还没有尝试但听到好东西)的漏洞。 您也可以从“开放Web应用程序安全性项目(OWASP)Web应用程序防火墙指南”中自行做出明智的决定: http ://www.owasp.org/index.php/Category:OWASP_Best_Practices: _Use_of_Web_Application_Firewalls

我已经尝试了几个WAF的顶部。 有些内置负载平衡器(想想F5,宙斯)。 其他的是专用的,独立的WAF。 通过实际运行AppScan针对已知易受攻击的网页代码,testing了众多的网站。 performance最好的是Imperva的SecureSphere WAF。 你会付出代价的,但从原始安全性,日志logging和可定制性来说,这是目前最好的。 你可以得到它的虚拟或物理设备,每个都有自己的优势。 他们的授权非常严格,而且价格昂贵,但是他们的日志function和签名更新却很难被打败。

我们还使用AppScan和WebInspect对代码进行编码testing。 正如已经提到的,做WAF +代码审查是最好的,因为你无法单独使用任何一种方法获得100%。 这与IDS / IPS系统大不相同,主要看层3stream量,而不是现在大多数攻击成功的层7。 还有基于云的WAF保护(安全即服务),它们提供相同的保护,但投资less得多。

Larry Suto最近对WAF进行了分析,您可能会感兴趣。 我跟他没有任何关系,但Impervaperformance不错。 http://www.manvswebapp.com/wp-content/uploads/Analyzing_Effectiveness_of_Web_Application_Firewalls.pdf

对于一些平衡,Ofer Shezaf,谁在违反安全多年,一直是开源ModSecurity的贡献者有一些关于拉里的方法,即缺乏testingWAF的能力检测规避技巧http://www.xiom。 COM / 2011/11/17 / larry_suto_strikes_again

我也没有连接到Ofer Shezaf。

完全披露 – 我的公司是信息安全解决scheme提供商,我们select了Imperva的SecureSphere。 Imperva还提供了基于云的WAF,其function不如SecureSphere丰富,但部署速度更快,pipe理更容易。

对于IIS考虑微软威胁pipe理网关(是ISA服务器)。 它是面向IIS的,它是EAL4 +评级(另外两个是ASA / PIX和Checkpoint)的三个防火墙之一。 您可以将其安装在您自己的商品硬件上,也可以将其作为Celestix制造的设备购买。

在一天结束的时候,如果webknight是长期的合法的, 但是,诚实地说,他们的应用程序踢了大多数我曾经用过的付费应用程序。

我不支付一个伊斯皮亚扩展13 trizzilion美元,很多人似乎很高兴支付这个。

我们需要在networking伙伴身上集结,并帮助他更新他的软件,如果他需要的话。 太糟糕了,他不能在Codeplex上发布或者我们可以轻松帮助的地方。