Полезен ли брандмауэр веб-приложений?

Question

Полезен ли брандмауэр веб-приложений?

Недавно мой брат предложил мне использовать mod_security. Я провел исследование, что это такое на самом деле и что оно делает, но мне очень неловко решать, использовать его или нет. Вот что, по-моему, мешает мне не использовать его.

Немного повлияет на производительность моего сайта. Чем больше правил, тем медленнее это будет.
Он не полностью фильтрует все атаки (это понятно, потому что никакое программное обеспечение не может действительно защитить все).
Иногда это может заблокировать невинных пользователей.
Добавить другое программное обеспечение означает добавить еще одну ответственность за его поддержку.

Теперь реальный вопрос:

Если mod_security не может отфильтровать все, и вам все еще нужно убедиться, что ваше веб-приложение защищено, почему бы не написать надлежащим образом безопасное веб-приложение, не запустив брандмауэр веб-приложений?
Поскольку это наше веб-приложение, мы знаем лучше, чем любое стороннее программное обеспечение, что ожидается от пользователей. Наличие стороннего программного обеспечения для обнаружения атаки и последующей проверки правильности ввода в нашем веб-приложении - это как двойная проверка (хотя это хорошо, но затраты на производительность также будут в два раза выше).

1

security web firewall mod-security web-application-firewall

Источник

user1332934 13 июл '13 в 02:29

1 ответ

Решение

Другие вопросы по тегам security web firewall mod-security web-application-firewall

user18936 13 июл '13 в 12:18 2013-07-13 12:18 · Accepted Answer · 2013-07-13 12:18

В описываемом вами сценарии, когда у вас есть пользовательское приложение, написанное разработчиками, которые заботятся о безопасности, я согласен, что WAF предлагают низкую ценность в качестве системы предотвращения вторжений.

Идея о том, что WAF эффективны в автоматическом предоставлении неизвестных веб-приложений, является наихудшим вариантом отраслевого маркетинга. Они обеспечивают чрезвычайно низкую производительность (*), если не кропотливо настроены под приложение; если у вас нет отдельной группы безопасности, у которой есть ресурсы для этого, обычно лучше потратить ресурсы на безопасную разработку.

(*: как в защите, предоставляемой против времени и обычая, потерянного из-за ложных срабатываний; основные правила mod_security для IMO особенно хлопотны.)

WAFs, с другой стороны, полезны:

как временные обходные пути, позволяющие защищать устаревшие и сторонние приложения с известными известными уязвимостями до тех пор, пока они не будут исправлены или заменены;
сконфигурирован как системы обнаружения вторжений, генерируя предупреждения, а не блокируя, где у вас есть оперативные ресурсы для отслеживания и потенциальной блокировки источников атак.