Nie jest to może szczegółowy opis, ale na początek wystarczy. Dodajmy zatem inne problemy, które powinien potrafić zaadresować WAF. Skoro mowa o inspekcji ruchu webowego, to absolutną koniecznością jest "rozumienie" protokołów i sposobu funkcjonowania aplikacji webowych. Chodzi tutaj np. o umiejętność weryfikacji, czy obserwowane zachowanie danego protokołu jest zgodne z RFC (dość częstym zjawiskiem jest stosowanie na etapie budowy aplikacji rozmaitych dodatków, które zwiększają funkcjonalność, ale robią to poprzez obejście standardów).

Konieczna jest też dokładna weryfikacja elementów aplikacji oraz sposobów ich wykorzystania, np. stosowanie metod http, używanie określonych wersji plików cookie, budowy URL, przekazywanie parametrów, dostęp do struktury katalogowej. Do tego WAF często obudowany jest w bardziej lub mniej zaawansowaną inteligencję, pozwalającą na budowanie modeli interakcji pomiędzy tymi elementami i tworzenie wzorców zachowań:

• L4 - sygnatury na poziomie ruchu sieciowego.

• L5-L7 - walidacja protokołów, monitorowanie sesji.

• L7 - sygnatury aplikacyjne.

• Do tego korelacja i analiza behawioralna.

Jak wybrać WAF?

Zastanawiając się nad wyborem i wdrożeniem WAF, należy przyjrzeć się wielu elementom. Pod względem ogólnych wymagań funkcjonalnych warto skorzystać z pracy, którą wykonał już zespół specjalistów (zarówno niezależnych badaczy, jak i przedstawicieli producentów). Mowa o dokumencie WAFEC (Web Application Firewall Evaluation Criteria). Jest to kwestionariusz, który może posłużyć jako formularz ewaluacyjny. Jak piszą twórcy dokumentu, jego celem jest ułatwienie procesu odsiania funkcjonalności typu "fajnie mieć" od tych niezbędnych. Nie należy się zrażać wiekiem dokumentu (opublikowany w 2006 r., trwają prace nad wersją 2.0).

Czym różnią się rozwiązania pomiędzy sobą? Różnic jest wiele, od ogólnej koncepcji funkcjonowania, przez wydajność, tryby implementacji i mechanizmy ochronne, po integrację z rozwiązaniami firm trzecich.

Obserwując rynek, można zauważyć dwie grupy producentów - wywodzących się z bezpieczeństwa (np. Barracuda, Fortinet , Imperva, TrustWave,) i traktujących bezpieczeństwo jako dodatek (np. F5). Widać też pewną tendencję w traktowaniu WAF-ów jako elementu szerszej strategii kontroli dostawy aplikacji (ADC - Application Delivery Control), która koncentruje się wokół hurtowni/centrów danych i ma na celu optymalizację (po względem wydajności, dostępności i bezpieczeństwa) ich dostarczania. Taką strategię działania zauważa również Gartner. Wybór konkretnego rozwiązania WAF może zależeć od posiadanych już mechanizmów. Na przykład jeżeli mamy już BIG-IP (firmy f5), przychylniej spojrzymy na ASM-a. Jeśli mamy już rozwiązania Fortineta, uwadze nie umknie FortiWeb. Podobnie z rozwiązaniami bezpieczeństwa Barracudy. Jeżeli natomiast nie mamy nic, do czego można byłoby dołożyć WAF-a, to być może skierujemy się ku takim producentom jak Imperva.

Przejdźmy jednak do bardziej technicznych aspektów.