WAF防火墙评估标准。wasc-wafec-v1.0_web应用防火墙评估标准

之前我自己将wasc-wafec-v1.0_web应用防火墙评估标准.pdf翻译成中文，并整理成excel方式在公司内部发了下，一直没有公开发出，一来是觉得翻译的还不够好，二来觉得有些地方自己也未领悟深透。今天偶然在网上发现有人也翻译了这个标准，并公布了出来，就直接转载过来，下面为转载内容。

前言
Web应用防火墙 (WAF) 代表了一种新的信息安全技术，用于保护Web站点（或者说Web应用程序），使其在受攻击的情况下表现出更强的抵抗力。 在抵御Web攻击方面，WAF 提供了防火墙和IDS等常规信息安全产品所不具备的能力。WAF不需要修改Web应用程序的源代码。随着目前针对Web应用的攻击手段越来越复杂化，为WAF制定一个规范的评价标准显得重要起来，有了这个标准，我们就可以去准确地比较和评价WAF产品。

本项目的目的是研究出一套WAF的评价标准，同时研究出一套测试方法，使得有经验的工程师可以使用本文中提到的知识独立的对WAF产品的优劣进行测试和评价。这里需要指出的是，由于WAF技术上的实现方式多种多样，对于WAF产品来说，并不要求其支持本文中提到的所有具体技术。

总之： 这篇文章的目的是要引起测试人员对WAF产品可能使用的一些技术的重视。我们列出的评价项目清单很长，你可以以其为基础，从中抽出部分项目对特定产品的进行测试。

评价项目如下：

1.      部署方式

2.      HTTP协议支持

3.      检测技术Detection Techniques

4.      防御技术Protection Techniques

5.      审计Logging

6.      报告Reporting

7.      管理Management

8.      性能Performance

9.      XML

在以后的版本里，我们准备新增和加以充实的条目还有：

·         主动学习（Compliance）,认证（ certifications）和协同工作（interoperability）

·         更深入的研究对性能 的评价(尤其是网络层性能)

·         更深入的研究对XML相关功能的评价指标

撰稿者
本文的诞生源自团队的努力。以下是为本文无私贡献了宝贵时间和经验的兄弟姐妹们：

·         Robert Auger (SPI Dynamics)

·         Ryan C. Barnett (EDS)

·         Charlie Cano (F5)

·         Anton Chuvakin (netForensics)

·         Matthieu Estrade (Bee Ware)

·         Sagar Golla (Secureprise)

·         Jeremiah Grossman (WhiteHat Security)

·         Achim Hoffmann (Individual)

·         Amit Klein (Individual)

·         Mark Kraynak (Imperva)

·         Vidyaranya Maddi (Cisco Systems)

·         Ofer Maor (Hacktics)

·         Cyrill Osterwalder (Seclutions AG)

·         Sylvain Maret (e-Xpert Solutions)

·         Gunnar Peterson (Arctec Group)

·         Pradeep Pillai (Cisco Systems)

·         Kurt R. Roemer (NetContinuum)

·         Kenneth Salchow (F5)

·         Rafael San Miguel (daVinci Consulting)

·         Greg Smith (Citrix Systems)

·         David Movshovitz (F5)

·         Ivan Ristic (Thinking Stone) [Project Leader]

·         Ory Segal (Watchfire)

·         Ofer Shezaf (Breach Security)

·         Andrew Stern (F5)

·         Bob Walder (NSS Group)

译者
李毅< http://blog.csdn.net/bill_lee_sh_cn>

本文译文地址< http://blog.csdn.net/bill_lee_sh_cn/archive/2009/08/27/4488641.aspx>

联系我们
Web应用防火墙评价标准项目对所有人开放，如果你想参与或是评论请联系Ivan Ristic  (<ivanr@webkreator.com>).

评价项目
第1部分 – 部署方式
这一部分描述了WAF在既定环境中的部署问题

1.1 运行模式
该WAF可以支持被动(旁路监听)和主动（串接等）模式吗？

请指出该WAF支持以下主动模式中哪种或哪几种？

1.      透明网桥模式. 是否支持 fail open?【译者注：“fail open”是指当该WAF宕机或停止工作时，网络流量仍然可以穿过它，只是不再被检查】

2.      路由模式.

3.      反向代理模式（Reverse Proxy）. 通过修改DNS将网络访问流量定向到WAF上。

4.      插件模式（Embedded）.这时 WAF作为一个插件被直接安装在Web服务器上。 支持哪几种Web服务器？请指出与Web服务器如何结合： 有的插件形式WAF插在Web服务器的通讯之前，所有的检查和过滤任务都是自己完成的，而有的则依赖Web服务器的功能去完成这些任务.(这两种方式各有自己的优缺点。)

1.2 SSL
SSL通常用来保护与Web应用交互的通讯数据。这种机制在达到保护通讯数据的同时也对防御保护系统 （如IDS、WAF等）的正常使用造成了困难。如果WAF无法得到被加密的原文，它就没有办法实施保护。

请描述该WAF如何得到被加密的原文数据：

1.      作为SSL的一端（Terminates SSL）. 需要重新规划网络结构使得由WAF来完成SSL操作。 WAF 自己对HTTP数据进行加密和解密，而WAF同Web服务器之间的通讯可以使明文或也使用SSL加密。

2.      被动SSL解密（Passively decrypts SSL）.在WAF上拷贝一份Web服务器的私钥从而使WAF 可以解密SSL通讯数据. 原始的SSL通讯数据可以不受影响的到达服务器。

3.      不受SSL影响. 这一般发生在作为Web服务器插件的WAF情况下, 该WAF的工作位置在SSL已经被Web服务器解密成明文之后。

客户端证书：

1.      在被动模式下支持客户端证书吗？

2.      在主动模式下支持客户端证书吗?

3.      In termination mode, can the content from client certificates be sent to the application using some alternative transport method (e.g. request headers).