Web Application Firewall部署与安全开发生命周期

包子分享一下Web Application Firewall及安全开发生命周期（SDL）在企业内部推进的相关想法，还请各位拍砖。

素包子认为WAF的部署位置有3个：反向代理，WEB服务模块和开发过程。它们各有优劣，但并不绝对，安全团队的从属、能力、特长及企业类型有可能会把下文的优点变成缺点，反之亦然。

1、在所有的主机前端部署，工作形式为反向代理。如果没记错，绿盟的WAF是这么部署的，如果有误，还请斧正。

优点：

A:灵活,快速；

B:对现有业务影响较小；

C:策略调节方便，管理成本非常低

D:效果明显；

E:对资源要求较低，不需要动到代码，沟通成本较低，如果安全团队不是挂在开发下面，这是一个好路子。

缺点：

A:可能引入单点故障；

B:如果网站的PV非常猛，性能可能是个问题。

C:来自业务部门的压力可能会较大；由于影响面很大，阻力较大。

D:产品较为封闭，产品给企业带来的防御能力大部分依赖于厂商对该产品的重视程度、开发人员的负责程度及开发人员的安全对抗能力。

这类WAF不一定适合百度、迅雷、腾讯、阿里巴巴及四大门户这些大型的网站；但对中小企业来说，是非常不错的东西。

如果团队有钱，那么可以考虑从WAF切入SDL；如果团队有黑盒牛人，那就从PENTEST切入好了；如果有钱又有牛人，那随便搞。

2、在每个主机的WEB SERVER上部署，例如mod security，hardend php的suhosin。

优点：

A:分布式的部署方式在一定程度上缓解了反向代理的单点故障及性能问题；

B:由于影响面较小，前期部署较为容易，阻力较小。

缺点：

A:分布所带来的集中管理是个问题（策略、日志）；

B:需要进行一定的二次开发，对企业安全团队的安全对抗及编码能力要求较高；

C:沟通成本较高；需要量化对性能的影响。

D:管理成本较高；

安全团队能力较强的大中型企业，可以考虑循序渐进的使用这种方式保护关键应用。

3、在开发过程中部署，例如PHPIDS。

优点：

A:能在应用架构一级解决安全问题，简单，深入；

B:对性能影响较小。

C:秘密 ：）

缺点：

A:安全团队如果不是挂在开发下面，介入开发过程非常困难，执行力有限，沟通成本非常高；

B:由于分布的更细，对集中管理的要求更高；策略的设计及更新是个难点

C:安全团队需要具备一定的二次开发能力及安全对抗能力。

综上所述，由于大部分优秀的安全人才都被腾讯、阿里和盛大给收了，从控制项目风险的角度来看，安全团队技术和人员资源相对较少的企业可以优先考虑第一种方式；如果咱有信心，并且安全团队挂在开发旗下，可以优先考虑第三种方式。第三种方式和第一种方式其实是互为补充的