Web應用防火牆是否有用？

Question

最近，我的兄弟建議我使用mod_security。我做了一個研究，究竟它是什麼，它做了什麼，但是我決定是否應該使用它，我感到非常不安。這是我腦海中的那些讓我不使用它的東西。

• 稍微影響我的網站性能。規則越多，它就會越慢。
• 它並沒有完全過濾所有的攻擊（這是可以理解的，因爲任何軟件都不可能真正保護所有東西）。
• 有時，它可以阻止無辜的用戶。
• 添加另一個軟件意味着添加另一個責任來維護它。

現在真正的問題是：

• 如果mod_security的無法過濾一切，你仍然需要做 確保您的網絡應用程序是安全的，爲什麼不正確撰寫 安全的Web應用程序不運行任何Web應用程序 防火牆？

• 由於它是我們的網絡應用程序，因此我們比任何第三方軟件都更瞭解用戶期望的輸入。使用第三方軟件來檢測攻擊，然後在我們的Web應用程序中編寫輸入驗證就像是雙重檢查（儘管它很好，但性能成本也會增加一倍）。

Answer 1

在你描述的情況，在那裏你必須誰關心安全性的開發人員編寫自定義應用程序，我同意了WAFS可以提供​​多少價值值作爲入侵防禦系統。

WAFs自動提供未知網絡應用的想法是最糟糕的行業營銷。如果不經過精心配置以適應應用，它們會提供極差的性能（*）;除非你有一個獨立的安全團隊擁有這樣的資源，否則將資源用於安全開發通常會更好。

（*：爲保護提供對時間和定製由於誤報丟失; mod_security的核心規則是IMO特別麻煩）

Web應用防火牆是，在另一方面，有用：

• 作爲臨時解決方案，允許您保護具有特定已知漏洞的傳統應用程序和第三方應用程序，直到可以修復或替換它們;

• 被配置爲入侵檢測系統，引發警報而不是阻止，其中有操作資源可以跟進並可能阻止攻擊源。