ImpervaWAF实现SSLLabsA+级安全防护

原标题：ImpervaWAF实现SSLLabsA+级安全防护通过web服务器与客户端之间的相

原标题：ImpervaWAF实现SSLLabsA+级安全防护

通过web服务器与客户端之间的相互认证并加密信息交互，是网络安全保护的一项基本功能。据最新数据显示，截止2017年上半年，已有超过一多半的网络流量获得了加密保护。

尽管如此，HTTPS安全性的等级仍参差不齐。流量加密强度是否足够？企业的HTTPS配置是否足够缜密？单凭SSL部署能够确保数据安全？种种有待解决的问题催生出大量网络安全诊断工具，对网络安全性进行评估定级与配置建议。部分工具可以提供基础信息并对增强HTTPS配置提供建议。另外一些则具有幕后优化功能，为企业的HTTPS配置提供更为深入的分析，包括SSL漏洞状态报告等。其中，SSLLabsbyQalys以其综合性和深入性脱颖而出，成为SSL部署行业标准的工具。

SSLLabs如何为web服务器进行安全性测试和评级？

SSLLabs根据其SSL服务器评级准则对企业用户的网站进行评级，从最高级A到最低级F，安全性依次降低。SSLLabs评级主要关注证书和配置两方面，在验证其有效性与受信性的同时，检查服务器配置，并将其分为三类：协议支持、密钥交换支持和加密算法支持。

协议支持：检查可用的SSL协议版本，即：下列五个版本中都支持哪些：SSL2.0、SSL3.0、TLS1.0、TLS1.1以及TLS1.2；

密钥交换支持：检查密钥交换参数优势；

加密算法支持：检查所支持的加密算法套组，同时按优先服务器顺序从强到弱地列出加密算法。

SSLLabs将以上各分类进行评分，综合得出总分，并将其转换为对应的等级，最后检查无法通过数值评估来表现的其它服务器配置项，确定其是否有其它特征，如是否支持TLS_FALLBACK_SCSV、OCSPstapling或HSTS。根据补充检查调整确定最终评分等级。在最后的调整过程中，即使评分不降，也不可能拿到A+的分数。分数与等级的对应关系如下所示：

SSLLabs评分与等级转换表

SSLLabs何以成为网络安全性的权威评级标准？

SSLLabs诞生之初，包括Imperva安全研究院及其很多用户在内的安全研究机构都曾置疑SSLLabs的测试方法与有效性，但时至今日，SSLLabs已成为一种标配方案。这种形势上的转变，根本原因在于SSLLabs不仅提供SSL/TLS部署的安全性评分，而且包括了针对安全违规功能的检查。企业用户逐渐意识到，其网站等级以及SSL/TLS部署已为众人皆知。同时，越来越多的用户开始使用SSLLabs作为了解各自网站安全性的指导工具。如果评级差，则可能对网站信誉造成负面影响，如被潜在用户认为网站不安全，从而带来间接的财务损失。

例如，如果顾客在某电商网站购物，发现该网站的网站安全评级被SSLLabs评为F级，那么顾客对于在此网站上的购物安全就难以放心，可能斟酌再三而影响下单决策。简言之，在SSLLabs评价系统中拿到高分，不仅代表了网站安全性有了最强的保障，而且能够带来更高的客户信任度和更大的潜在收益。ImpervaSecureSphereWebApplicationFirewall(WAF)正是可以通过简单而行之有效的部署方式，帮助企业获得SSLLabs评分A+，同时超越SSL部署的局限，在更高的程度上保障网络安全。

企业用户害怕拿到SSLLabsF评级

如何通过部署WAF获得SSLLabsA+评级？

只有部署WAF，才能帮助企业尽快实现SSLLabsA+评级。而部署WAF的步骤非常简单，不需要更改后台服务器，同时借助SSL配置管理工具，使SSL配置也得到了极大的简化。

以SecureSphereWAF新发布的13.0版产品为例。该产品配有默认配置模板，方便用户轻松配置，可直接帮助用户取得完美的SSLLabsA+评级。用户只需要部署反向代理模式即可，按照下面两个简单的步骤即可完成：

1)查看缺省SSL设置

在“Main”工作页面下，选择Setup>GlobalObject。然后在ScopeSelection条下，选择SSLSettings并选择“SSLLabsA+RPServerSideSSLSettings”模板，然后查看配置，并确保可接受此类设置。

在ImpervaSecureSphereWAF中，设置自定义SSL设置或使用缺省设置，实现SSLLabsA+评级。

2)将设置应用到企业的各应用中

在Main工作页面下，选择Setup>Sites。在SitesTree栏中，选择需要保护的各项服务。在ReverseProxy标签下，选择反向代理规则（KRP或TRP）下的“SSLLabsA+RPServerSideSSLSettings”，然后点击Save按钮。

默认实现A+级安全部署的前提，是需要安装有效的SSL证书及所有中级CA证书，并在Web服务器或SecureSphere上启用HSTS。

SecureSphereWAF环境下的SSLLabsA+级部署

只要做到以上步骤，企业即可在Imperva的帮助下获得A+安全评级。

另外，SSLLabs根据技术发展趋势定期调整其评级标准与方法，而SecureSphereWAF也会持续监控与追踪SSLLabs的各类变化，随时调整与更新Imperva的产品目标，保证A+安全评级。

不止于A+级的安全保障

所有的安全专家都承认，仅仅依赖作为网络安全保护一个方面SSL部署是远远不够的。SSL/TLS仅用于确保安全连接，并不能保护应用免受任何类型的攻击。现在的攻击多种多样，如SQLinjections和cross-sitescripting等技术攻击或sitescraping和accounttakeover等商业逻辑攻击。面对攻击方式的多样性，部署SSL之外，还需要更灵活、更有层次的保障。

部署ImpervaSecureSphereWebApplicationFirewall在达成SSLLabsA+级防护的同时，还能解决多样化攻击的问题，能够保护企业用户部署在云或预置方案中Web应用的安全，同时还帮助防止因企业用户违规而造成的连带损失、成本或品牌损害，为企业提供不止于A+级的网络安全保护。