- 性能指标
- 吞吐量
- 定义:单位时间内 WAF 处理的请求数量,通常以每秒请求数(RPS – Requests Per Second)来衡量。这反映了 WAF 在高负载下的处理能力。
- 重要性:确保 WAF 能够处理业务高峰时期的流量,避免成为性能瓶颈。例如,对于一个大型电商网站在促销活动期间,吞吐量指标能帮助判断 WAF 是否能够应对激增的用户请求。
- 监控方法:通过 WAF 自身的监控工具或者结合网络流量分析工具,统计在一定时间间隔内处理的请求数量,然后计算出每秒的平均值。
- 延迟
- 定义:从客户端请求到达 WAF 到 WAF 处理完该请求并将结果返回给客户端所花费的时间,包括处理时间和传输时间。
- 重要性:直接影响用户体验,延迟过高会导致网页加载缓慢或者服务响应迟钝。比如,对于金融交易系统,低延迟的 WAF 至关重要,以确保交易的及时性。
- 监控方法:在 WAF 系统中设置时间戳,记录请求到达和响应离开的时间,两者之差即为延迟时间。通过收集大量样本数据,可以得到平均延迟、最大延迟等统计信息。
- 资源利用率
- 定义:WAF 设备(如果是硬件 WAF)或服务器(如果是软件 WAF)的 CPU、内存、磁盘 I/O 和网络带宽的使用情况。
- 重要性:帮助提前发现资源瓶颈,合理规划和分配资源。例如,当 CPU 利用率持续过高时,可能需要升级硬件或者优化 WAF 规则以减轻负载。
- 监控方法:利用操作系统自带的性能监控工具(如 Linux 的 top、Windows 的性能监视器)或者云服务提供商提供的资源监控功能,定期收集 CPU 使用率、内存占用量、磁盘读写速度和网络接口流量等数据。
- 吞吐量
- 安全指标
- 攻击检测率
- 定义:WAF 成功检测到的攻击次数与实际发生的攻击次数的比率。
- 重要性:反映 WAF 的安全防护有效性。高检测率意味着 WAF 能够有效地识别和阻止大多数攻击,保护网络和应用安全。
- 监控方法:通过对比 WAF 记录的攻击事件数量和其他安全工具(如入侵检测系统、蜜罐系统)或者外部安全情报提供的攻击线索来估算实际发生的攻击次数,进而计算检测率。
- 误报率
- 定义:WAF 错误地将正常请求判断为攻击请求的次数与总请求次数的比率。
- 重要性:误报可能会导致正常业务受到影响,增加运维成本。例如,过多的误报会使管理员花费大量时间来排查和处理虚假警报。
- 监控方法:人工审核被 WAF 拦截的请求,确定其中属于正常请求的数量,然后与总拦截次数相比计算误报率。
- 漏报率
- 定义:实际发生的攻击中,WAF 未检测到的攻击次数与实际攻击次数的比率。
- 重要性:漏报意味着存在安全漏洞,可能会使恶意攻击成功入侵系统,造成严重后果。
- 监控方法:结合外部安全情报和内部安全审计,发现 WAF 未检测到的攻击,进而计算漏报率。
- 攻击检测率
- 规则相关指标
- 规则匹配率
- 定义:请求触发 WAF 规则的次数与总请求次数的比率。
- 重要性:帮助了解哪些规则被频繁触发,对于优化规则和调整安全策略有重要意义。例如,如果某个规则匹配率过高,可能需要检查该规则是否过于严格或者是否存在频繁的异常请求针对该规则所防护的内容。
- 监控方法:在 WAF 的日志系统中记录规则触发的情况,统计每个规则被触发的次数,然后与总请求次数相除得到规则匹配率。
- 规则更新频率
- 定义:在一定时间内(如一个月)WAF 规则更新的次数。
- 重要性:随着网络安全威胁的不断变化,及时更新规则是保持 WAF 有效性的关键。高更新频率可能表明安全威胁变化快,需要加强对规则更新的管理。
- 监控方法:记录每次规则更新的时间,统计在给定时间段内的更新次数。
- 规则匹配率
- 可用性指标
- 系统可用性
- 定义:WAF 正常运行时间与总时间的比率,通常以百分比表示。
- 重要性:确保 WAF 能够持续提供安全防护服务,对于业务连续性至关重要。例如,对于关键业务应用,要求 WAF 具有高可用性,如 99.99% 以上的可用性。
- 监控方法:通过心跳检测、系统状态监控工具或者云服务提供商的可用性监控功能,记录 WAF 的故障时间和正常运行时间,计算可用性。
- 系统可用性