Web应用防火墙规则

Question

对于网络层防火墙，我们有不同的冗余和一致性检查，比如规则隐藏，这会影响防火墙的性能。类似的检查是否可以适用于WAFs，我有一些问题？

1. 规则的顺序重要吗？
2. 处理规则有多不一致。
3. 如何从规则集中删除冗余
4. 静态应用层签名可以绕过规则吗？

Answer 1

我在一家安全公司(囊囊)工作，我们的产品特性之一是符合PCI的WAF。我想@symcbean已经给出了一个很好的答案，所以我只是在这里为讨论添加一些信息：

规则的顺序重要吗？

@symcbean说了这一切。

处理规则有多不一致。

如果你指的是几条(相关的)规则得出不同结论的场景，那么我建议它始终遵循“最严厉的判断”。

当然，这取决于你。你可以采取另一种更宽松的方法来防止更多的“假阳性”，但我认为，对大多数人来说，安全是一个更大的问题。此外，一个好的规则集将消除大多数“假阳性”和不一致将很少之间。对于SAAS，您应该有很多定制选项来覆盖默认的系统规则，但是默认设置仍然应该面向最大的安全性。

如何从规则集中删除冗余

如前所述，规则集中不应存在冗余。

静态应用层签名可以绕过规则吗？

是。例如，在In荚A中，我们使用了一个应用程序优化规则，它标识了常用的应用程序和平台，并相应地修改了行为。(即对WP、Joomla、流行扩展和插件等的优化)我不是在这里提倡对所有可能的场景进行优化(简单地说是无效的)，但是如果您考虑的是大规模营销，您至少应该涵盖更常见的平台/应用程序。

祝你好运

Answer 2

规则的顺序重要吗？

当然了。最重要的是表演。

即使您的防火墙只实现了接受/拒绝策略(例如，它可以决定将请求路由到其他地方)，那么决定如何处理它所需的时间将取决于它必须处理的规则的数量，以达成一个决定，以及解决这些问题所需的努力。因此，订购对性能有很大的影响。

此外，大多数此类防火墙都受益于模糊规则--单个规则(甚至会话中的单个web请求)可能无法携带足够的信息来确定是否应该处理请求--因此防火墙比第5层有状态防火墙保持更多的状态。

处理规则有多不一致。

不知道你这么说是什么意思。

如何从规则集中删除冗余

是故意的。

静态应用层签名可以绕过规则吗？

是的，如果您将规则配置为允许这样做。