如何打造一款优秀的waf产品(5)

已于 2022-04-23 15:34:38 修改
阅读量259 收藏
点赞数
分类专栏: 应用安全 文章标签: 安全 云安全 web安全
于 2020-03-15 12:34:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/104876646
版权

管理接口

是否为管理使用一个独立的网络接口从而提供一个独立管理通道

是否支持双因素认 证?都是哪些因素?

7.5.4 后台控制API

WAF是 否提供了后台控制的API使得后台受保护的程序可以利用其操纵WAF进行某些操作(如:终止用户会话, 阻断某个IP或限制登录尝试等)?

WAF 自身安全

WAF如何保证自身安全,使用了什么操作系统定期的打补丁,补丁升级是否是自动,WAF机器具有HIDS。

性能

在网络层这一层去衡量WAF的性能更是一个难题,有关内容参考NSS 的相关文章:http://www.nss.co.uk/WebApp/Ed1/WebApp%AD_Performance_Testing.htm)。

下面的两个部分是对WAF作为普通网络设备的性能评价指标,并未涉及其保护机制的性能评价,我们将在以后扩展这一部分。

HTTP层性能

1. 最大新建连接速率。

2. 最大吞吐量(eg:访问一个 32KB大小的页面)。

3. 最大请求速率(with Keep-Alives enabled)。

4. 最大并发连接数。

5. 请求延迟(Request latency)。

上面的性能指标均是假定在零丢包的情况下测得的最大值。

8.2 打开SSL的HTTP层性能

这是在后台应用没有使用SSL的情况下,单纯测试如果WAF代替后台进行SSL传输时的性能 值:

1. 最大新建SSL连接速率。

2. 最大新建SSL会话速率。

3. 在指定加密算法下最大SSL流量吞吐量(eg:访问一个 32KB大小的页面)

4. 最大请求速率(with Keep-Alives enabled).

5. 最大并发连接数。

6. 请求延迟(Request latency)。

上面的性能指标是假定在零丢包的情况下测得的最大值。

负载下的性能

系统的管理能力在较大的攻击流量下不受影响。

XML

这一部分仅涉及一些基本的XML相关问题。我们将在以后的版本中展开 对XML的更深入的讨论.

1. WAF保护基于XML的 Web Services。

2. 支持指定WS-I Basic conformance (http://www.ws-i.org)。

3. WAF对使用WASDL定义 Web Services 函数调用进行限制。

a. WAF可以阻止由管理员指定禁止访问的Web Services函数调用。

b. WAF检查Web Services函数调用时输入的参数数值或类型。

4. WAF对WebServices和RPC通讯数据进行验证。

5. WAF对XML文档内容有效性进行验证。

未完待续。。。

下一篇:如何打造一款优秀的waf产品(6)_晓镁的博客-CSDN博客

securitysun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
吞吐量与带宽的概念
计算机小白努力学习
04-28 6244
吞吐吞吐量(throughput)表示在单位时间内通过某个网络(或信道、接口)的数据量。 吞吐量更经常地用于对现实世界中的网络的一种测量,以便知道实际上到底有多少数据量能够通过网络。 吞吐量受网络的带宽或网络的额定速率的限制。 带宽 “带宽”(bandwidth)本来是指信号具有的频带宽度,单位是赫(或千赫、兆赫、吉赫等)。 现在“带宽”是数字信道所能传送的“最高数据率”的同义...
选购WAF,这几条建议很重要
SSL加密技术
07-09 652
Web应用防火墙(简称“WAF”)是很多互联网企业及网站Web防御体系的重要一环,承担了抵御常见Web攻击的任务,如同大厦的保安一样默默工作,构成Web业务安全的第一道防线。 WAF源于传统的网络防火墙,弥补了传统网络防火墙的天生短板。早在2002年,IDC就曾在报告中指出,“网络防火墙对应用层的安全起不到作用,因为为了确保通信,网络防火墙内的一些端口必须处于开放状态”。WAF工作在应用层,对Web应用防护具有先天的技术优势,其功能定位于应用层尤其是Web业务应用的内容检查和安全防御,解决针对应用的复杂攻
防火墙(firewall)详细介绍
最新发布
Ye的博客
08-09 1万+
防火墙介绍、包过滤防火墙、代理防火墙、状态检测防火墙、ASIC架构防火墙、UTM防火墙、web应用防火墙
【总结】浅析Waf优缺点之硬件Waf、软件Waf、云Waf
Enweitech Software Works
12-26 1万+
一、什么是WafWaf的全拼为:Web Application Firewall,顾名思义Waf一款专针对Web应用攻击的防护产品。当Web应用越来越丰富的同时,大部分交互都转移到了Web上,与此同时Web也成为了主要的攻击目标,此时Waf就成为了安全防护中的第一道防线,Waf安全中的重要性不言而喻。 二、Waf形态分类 目前市面上的Waf的形态可以简单分类为三种,分别为
waf度量标准
cnbird's blog
12-12 3040
1. 有多少真实的攻击被阻断(TP) 2. 有多少有效的请求允许通过(TN) 3. 有多少有效的流量被不恰当的阻断(FP) 4. 有多少攻击被允许通过(FN)   度量算法: tp/tp+fp(实际攻击阻断的请求百分比) tp/tp+fn(实际阻断攻击的百分比) tp+tn/tp+tn+fp+fn(选择是正确百分比) (WAF的选择和请求实际性之间的关联性)
SOC安全运营中心(一) OSSIM安装
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
11-19 842
SOC(Security Operation Center)是网络安全建设发展到现阶段后,典型的建设任务,在此阶段,网络安全的重点已经转移到开始面向业务持续性保障。    网络安全的发展随着网络建设经历了三个阶段:         1、是防火墙、防病毒与IDS(入侵检测系统)部署的初级阶段。         2、是随着网络扩大,各种业务从相互独立到共同运营,网络管理中出现的安全域的概念,利用隔离技...
2020年FreeBuf企业安全系列之国内WAF产品研究报告.pdf
04-19
WAF(Web Application Firewall,即Web应用防火墙),是通过执行一系列 针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 通常来说,WAF承担了抵御常见Web攻击的作用,是大多数互联网公司Web防御体系中...
WAF产品经理眼中比较理想的WAF.pdf
07-23
WAF】全称为Web应用防火墙,是专门用于保护Web应用程序的安全产品,它通过执行HTTP/HTTPS安全策略,防止SQL注入...产品经理需要继续推动技术创新,以满足日益复杂的网络安全需求,打造更加智能和全面的WAF解决方案。
打造互联网企业全能型WAF.pdf
08-07
需求在哪里? 为什么不能简单一点? 畅想高级玩法
WAF产品分析报告2022.docx
07-01
### 云WAF产品分析报告2022 #### 一、背景与目标 随着数字化转型的不断深入,云计算服务的应用越来越广泛。与此同时,对于云服务的安全需求也随之增长。传统意义上的安全解决方案,如硬件防火墙或虚拟机部署,已经...
硬件Waf、软件Waf、云Waf优缺分分析。
weixin_34202952的博客
03-16 5275
一、什么是WafWaf的全拼为:Web Application Firewall,顾名思义Waf一款专针对Web应用***的防护产品。当Web应用越来越丰富的同时,大部分交互都转移到了Web上,与此同时Web也成为了主要的***目标,此时Waf就成为了安全防护中的第一道防线,Waf安全中的重要性不言而喻。二、Waf形态分类目前市面上的Waf的形态可以简单分类为三种,分...
Web应用防火墙(WAF Web Application Firewall)评价标准【译文】
Praifire的博客
08-30 4152
转载网址:http://blog.chinaunix.net/uid-204498-id-117972.html Web应用防火墙(WAF  Web Application Firewall)评价标准 Version 1.0 (January 16, 2006) Copyright © 2005,2006 Web Application Security Consor
性能测试知多少---吞吐
虫师
02-21 1508
我们每天的生活中都在用水用电,我只会关心自己的水管是否有水,水压是否稳定,如果我们把水龙头拧到最大,还是一滴一滴的流水。那我们就要愤怒了,直接找房东问明情况。我们从来没想过去找自来水公司。我们每天都会上网,网速很慢,看个电影很卡,需要等很久才缓冲一个画面,我们打开网页很慢,IE状态条一直50%,那我们就要愤怒了,直接找电信、网通公司问明情况。   我想说以上的情况是正常的,如果你在优酷上看视频,
Fortinet公司升级WAF系列增强应用层防护
weixin_34192732的博客
09-01 420
Fortinet(NASDAQ:FTNT)近日推出两款E系列FortiWeb升级的Web应用防火墙产品,3000E和4000E,进阶了多项功能指标,同时具有业界最高的20Gbps吞吐量表现,旨在以更优异的安全表现提供更到位的企业信息泄漏防护、金融信息系统防诈骗以及服务器DDos攻击的防护。FortiWeb新品还可以与FortiSandbox沙盒防御解决方...
kubernetes编译环境
focus on security
07-03 285
为了满足我们的需求,需要对kubelet进行开发,开发之后需要编译成可执行二进制。 安装golang环境 首先安装golang环境,我们使用的是k8s-1.16.3版本,需安装golang1.12.1以上的版本,而高于golang1.13的版本不可用,所以选定的golang版本是1.12.7. wget -c https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz -P /opt/ cd /opt/ tar -C /usr/local -xzf g
防火墙技术指标---并发连接数/吞吐
查理王的博客
04-20 1万+
一. 防火墙的关键指标 - 并发连接数  并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。  并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到,从低端设备的500、1000...
HTTP 响应头Content-Security-Policy
focus on security
08-24 9275
HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)(XSS)。 如需更多信息,请查阅Content Security Policy (CSP)。 禁止修改的消息首部指的是不能在代码中通过编程的方式进行修改的HTTP协议消息首部。本文仅讨论相关的HTTP请求首部(关于禁止修改的响应首部,请参考Forbidd..
waf(web安全防火墙)主要功能点
focus on security
01-04 3534
注入攻击 SQL注入防护:阻止恶意SQL代码在网站服务器上执行。 命令注入防护:阻止攻击者利用网站漏洞直接执行系统命令。 XPATH注入防护:阻止攻击者构造恶意输入数据,形成XML文件实施注入。 LDAP注入防护:阻止攻击者将网站输入的参数引入LDAP查询实施注入。 SSI注入防护:阻止攻击者将SSI命令在服务端执行,主要发生在.shtml,.shtm,.stm文件。 缓冲区溢出防护:阻止请求中填入超过缓冲区容量的数据,防止恶意代码被执行。 HPP攻击防护:阻止攻击者利用HPP漏洞来发起注入...
国内有WAF产品的厂家有哪些
07-12
5. 网神:网神是国内领先的网络安全技术服务提供商,提供综合性网络安全解决方案,包括WAF、应用安全产品。 6. 腾讯云:腾讯云是腾讯集团旗下的云计算服务品牌,提供一系列云安全产品,其中包括WAF服务。 以上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值