Web应用程序防火墙有用吗？

Question

最近，我哥哥建议我使用mod_security。我做了一项研究，它到底是什么，它是什么，但我感到非常不容易决定是否应该使用它。这是我心中阻止我不使用它的原因。

• 轻微影响我的网站表现。规则越多，获得的速度就越慢。
• 它没有完全过滤所有的攻击(这是可以理解的，因为任何软件都不可能真正保护一切)。
• 有时，它可以阻止无辜的用户。
• 添加另一个软件意味着增加另一个责任来维护它。

现在真正的问题是：

• 如果mod_security不能过滤所有内容，而且您仍然需要确保您的web应用程序是安全的，那么为什么不运行任何就不正确地编写一个安全的web应用程序呢？
• 由于它是我们的web应用程序，我们比任何第三方软件都更清楚用户的预期输入。有第三方软件来检测攻击，然后在我们的web应用程序中编写一个输入验证，这就像一次双重检查(虽然它很好，但是性能成本也会增加一倍)。

Answer 1

在您描述的场景中，您有一个由关心安全性的开发人员编写的自定义应用程序，我同意WAFs作为一个入侵预防系统具有重要的价值。

WAFs能够有效地自动提供未知的web应用程序，这是行业营销中最糟糕的一种。它们提供了非常糟糕的性能(*)，如果不是精心配置来适应应用程序的话；除非您有一个单独的安全团队来完成这个任务，否则通常最好将资源用于安全开发。

(*：就像对因假阳性而损失的时间和习惯所提供的保护一样，mod_security的核心规则特别麻烦。)

另一方面，WAFs是有用的：

• 作为临时的解决办法，允许您保护具有特定已知漏洞的遗留应用程序和第三方应用程序，直到它们可以修复或替换为止；
• 配置为入侵检测系统，提高警报而不是阻塞，在那里您有可跟踪的操作资源，并可能阻止攻击源。