WEB應用防火墻之前世今生——展望 |
發(fā)布時間: 2012/9/15 15:13:32 |
混沌中的等待 眾多政府對外服務網站、IDC托管服務器、電子交易網站等Web應用系統(tǒng)長期以來一直被Web應用攻擊所困擾,隨之而來的是名譽受損、客戶投訴、法律糾紛、商業(yè)損失等一系列問題。部署專業(yè)的針對Web應用交互數(shù)據(jù)進行檢測并提供防御的產品成為一種很有必要的選擇。然而,迄今為止,前面提到的這種產品,也就是Web應用防火墻(WEB應用防火墻)在國內的成長之路并不平坦。 由于國內相關機構尚未WEB應用防火墻產品做出明確的定義,而又不能用傳統(tǒng)防火墻的技術標準來對WEB應用防火墻進行檢測,所以相關廠商在將WEB應用防火墻送檢時只能將其稱為"Web應用策略控制器"、"Web應用防護設備",或者"Web應用安全網關"。 梭子魚公司中國總經理何平說:"標準的缺失使得WEB應用防火墻產品之間沒有可比性,也降低了市場進入的門檻。現(xiàn)在市場上存在著大量的偽WEB應用防火墻產品,加上不少用戶對WEB應用防火墻的認識不夠清晰,這兩個因素直接導致WEB應用防火墻產品陷入了價格戰(zhàn)。"目前,國內的WEB應用防火墻市場還處于一個混沌期,要想拿出一個比較成型的標準,還需要一兩年的時間。何平表示,隨著國內用戶需求的逐漸清晰和細化,WEB應用防火墻產品的事實標準將逐漸形成。 在國外,WEB應用防火墻的評價標準正在逐步完善中。WASC(Web Application Security Consortium,Web應用安全協(xié)會)是一家非贏利的國際性專家社團,該組織推出了WAFEC(Web Application Firewall Evaluation Criteria,WEB應用防火墻評價標準),目的是研究出一套WEB應用防火墻的評價標準,同時研究出一套測試方法,使得有經驗的工程師可以使用WAFEC中提到的知識,獨立地對WEB應用防火墻產品的優(yōu)劣進行測試和評價。WAFEC現(xiàn)在被越來越多的廠家和用戶用來評測WEB應用防火墻,該評價標準主要包括以下幾個方面:部署模式、HTTP協(xié)議支持、檢測技術、防御技術、審計、報告、管理、性能、XML、主動學習、認證等。 有了這個標準,用戶就可以去準確地比較和評價WEB應用防火墻產品。據(jù)何平介紹,梭子魚的WEB應用防火墻產品完全符合WAFEC的評估標準。同時,梭子魚也在密切跟蹤WASC的研究成果,時刻保持產品的技術領先性。 本文出自:億恩科技【mszdt.com】 |