欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

从零开讲企业怎么选WAF

来源:本站整理 作者:佚名 时间:2019-04-01 TAG: 我要投稿

温馨提示:全文约6600字,阅读需要10分钟。
内容涵盖:WAF使用的必要性、WAF的功能介绍、如何先购WAF、如何部署和使用WAF。
一、什么是WAF?

WAF,即:Web Application FireWall(Web应用防火墙)。可以通俗的理解为:用于保护网站,防黑客、防网络攻击的安全防护系统;是最有效、最直接的Web安全防护产品。
也可以这么模糊的认为:防护网站安全的产品,都可统称为WAF。
二、WAF的功能。
以能应对现代化攻击为目标,一款合格且优秀的WAF通常应具备以下功能:
(1)防止常见的各类网络攻击,如:SQL注入XSS跨站、CSRF、网页后门等;
(2)防止各类自动化攻击,如:暴力破解、撞库、批量注册、自动发贴等;
(3)阻止其它常见威胁,如:爬虫、0 DAY攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDOS、远程恶意包含、盗链、越权、扫描等。
三、需要使用WAF吗?
从两个方面,来探讨是否有需要、有必要使用WAF。
1.政策、法律层面
根据《中华人民共和国网络安全法》之规定,单位或个人建立、运营网站,则有义务保证网站运行正常。
如果被网站攻击、被入侵,散播出不良言论、带来不良影响、或网站以不良形像示人。那么可能会给国家、社会或他人,带来不良影响。如果发生此种情况,相关单位、责任人需承担相应的法律责任。
附安全法相关条文:
第六章  法律责任
第五十九条  网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
重点是第21、25、33、34、36、38条:
第二十一条  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
第二十五条  网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第三十三条  建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条  除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。
第三十六条  关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十八条  关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
再来看安全法中所提及的网络安全等级保护制度(俗称:等保,全称为:《信息安全技术网络安全等级保护基本要求》)中所具体对网站涉及到安全时设定的等级解释:

小总一下,根据安全法和等保结合判断:
根据第21条规定,网络运营者应当按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
如果出了网络安全事故,后果有三个:
a.不履行等保制度:责令改正+警告;
b.不改正/危害网络安全:10-100万元罚款;
c.主体负责人:1-10万元罚款。
根据第22条规定,网络产品、服务的提供者不得设置恶意程序,并应当为其产品、服务持续提供安全维护;网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规。
如果提供网络产品时违反以上规定(通常来说,如果网站被入侵,则直接可能产生这个非主观的结果),后果有四个:
a.危害网络安全:5-50万元罚款;
b.主体负责人:1-10万元罚款;
c.非法收集信息:违法所得1-10倍罚款;

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载