Imperva WAF实现SSL Labs A+级安全防护

　　通过web服务器与客户端之间的相互认证并加密信息交互，是网络安全保护的一项基本功能。据最新数据显示，截止2017年上半年，已有超过一多半的网络流量获得了加密保护。

　　尽管如此，HTTPS安全性的等级仍参差不齐。流量加密强度是否足够?企业的HTTPS配置是否足够缜密?单凭SSL部署能够确保数据安全?种种有待解决的问题催生出大量网络安全诊断工具，对网络安全性进行评估定级与配置建议。部分工具可以提供基础信息并对增强HTTPS配置提供建议。另外一些则具有幕后优化功能，为企业的HTTPS配置提供更为深入的分析，包括SSL漏洞状态报告等。其中，SSL Labs by Qalys以其综合性和深入性脱颖而出，成为SSL部署行业标准的工具。

　　SSL Labs如何为web服务器进行安全性测试和评级?

　　SSL Labs根据其SSL服务器评级准则对企业用户的网站进行评级，从最高级A到最低级F，安全性依次降低。SSL Labs评级主要关注证书和配置两方面，在验证其有效性与受信性的同时，检查服务器配置，并将其分为三类：协议支持、密钥交换支持和加密算法支持。

　　协议支持：检查可用的SSL协议版本，即：下列五个版本中都支持哪些：SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1以及TLS 1.2;

　　密钥交换支持：检查密钥交换参数优势 ;

　　加密算法支持：检查所支持的加密算法套组，同时按优先服务器顺序从强到弱地列出加密算法。

　　SSL Labs将以上各分类进行评分，综合得出总分，并将其转换为对应的等级，最后检查无法通过数值评估来表现的其它服务器配置项，确定其是否有其它特征，如是否支持TLS_FALLBACK_SCSV、OCSP stapling或HSTS。根据补充检查调整确定最终评分等级。在最后的调整过程中，即使评分不降，也不可能拿到A+的分数。分数与等级的对应关系如下所示：

　　SSL Labs评分与等级转换表

　　SSL Labs何以成为网络安全性的权威评级标准?

　　SSL Labs诞生之初，包括Imperva安全研究院及其很多用户在内的安全研究机构都曾置疑SSL Labs的测试方法与有效性，但时至今日，SSL Labs已成为一种标配方案。这种形势上的转变，根本原因在于SSL Labs不仅提供SSL/TLS部署的安全性评分，而且包括了针对安全违规功能的检查。企业用户逐渐意识到，其网站等级以及SSL/TLS部署已为众人皆知。同时，越来越多的用户开始使用SSL Labs作为了解各自网站安全性的指导工具。如果评级差，则可能对网站信誉造成负面影响，如被潜在用户认为网站不安全，从而带来间接的财务损失。

　　例如，如果顾客在某电商网站购物，发现该网站的网站安全评级被SSL Labs评为F级，那么顾客对于在此网站上的购物安全就难以放心，可能斟酌再三而影响下单决策。简言之，在SSL Labs评价系统中拿到高分，不仅代表了网站安全性有了最强的保障，而且能够带来更高的客户信任度和更大的潜在收益。Imperva SecureSphere Web Application Firewall(WAF)正是可以通过简单而行之有效的部署方式，帮助企业获得SSL Labs评分A+，同时超越SSL部署的局限，在更高的程度上保障网络安全。

　　企业用户害怕拿到SSL Labs F评级

　　如何通过部署WAF获得SSL Labs A+评级?

　　只有部署WAF，才能帮助企业尽快实现SSL Labs A+评级。而部署WAF的步骤非常简单，不需要更改后台服务器，同时借助SSL配置管理工具，使SSL配置也得到了极大的简化。

　　以SecureSphere WAF新发布的13.0版产品为例。该产品配有默认配置模板，方便用户轻松配置，可直接帮助用户取得完美的SSL Labs A+评级。用户只需要部署反向代理模式即可，按照下面两个简单的步骤即可完成：

　　1) 查看缺省SSL设置

　　在“Main”工作页面下，选择Setup > Global Object。然后在Scope Selection条下，选择SSL Settings并选择“SSL Labs A+ RP Server Side SSL Settings”模板，然后查看配置，并确保可接受此类设置。

　　在Imperva SecureSphere WAF中，设置自定义SSL设置或使用缺省设置，实现SSL Labs A+评级。

　　2) 将设置应用到企业的各应用中

　　在Main工作页面下，选择Setup > Sites。在Sites Tree栏中，选择需要保护的各项服务。在Reverse Proxy标签下，选择反向代理规则(KRP 或 TRP)下的“SSL Labs A+ RP Server Side SSL Settings”，然后点击Save按钮。

　　默认实现A+级安全部署的前提，是需要安装有效的SSL证书及所有中级CA证书，并在Web服务器或SecureSphere上启用HSTS。

　　SecureSphere WAF 环境下的SSL Labs A+级部署

　　只要做到以上步骤，企业即可在Imperva的帮助下获得A+安全评级。

　　另外，SSL Labs根据技术发展趋势定期调整其评级标准与方法，而SecureSphere WAF也会持续监控与追踪SSL Labs的各类变化，随时调整与更新Imperva的产品目标，保证A+安全评级。

　　不止于A+级的安全保障

　　所有的安全专家都承认，仅仅依赖作为网络安全保护一个方面SSL部署是远远不够的。SSL/TLS仅用于确保安全连接，并不能保护应用免受任何类型的攻击。现在的攻击多种多样，如SQL injections和cross-site scripting等技术攻击或site scraping和account takeover等商业逻辑攻击。面对攻击方式的多样性，部署SSL之外，还需要更灵活、更有层次的保障。

　　部署Imperva SecureSphere Web Application Firewall在达成SSL Labs A+级防护的同时，还能解决多样化攻击的问题，能够保护企业用户部署在云或预置方案中Web应用的安全，同时还帮助防止因企业用户违规而造成的连带损失、成本或品牌损害，为企业提供不止于A+级的网络安全保护。