首页 > 信息安全 > 正文

WEB应用防火墙前世今生:看WAF的未来发展

2010-12-08 20:17:00  来源:赛迪网

摘要:众多政府对外服务网站、IDC托管服务器、电子交易网站等Web应用系统长期以来一直被Web应用攻击所困扰,随之而来的是名誉受损、客户投诉、法律纠纷、商业损失等一系列问题。
关键词: WEB应用 防火墙

  众多政府对外服务网站、IDC托管服务器、电子交易网站等Web应用系统长期以来一直被Web应用攻击所困扰,随之而来的是名誉受损、客户投诉、法律纠纷、商业损失等一系列问题。部署专业的针对Web应用交互数据进行检测并提供防御的产品成为一种很有必要的选择。然而,迄今为止,前面提到的这种产品,也就是Web应用防火墙(WEB应用防火墙)在国内的成长之路并不平坦。

  由于国内相关机构尚未WEB应用防火墙产品做出明确的定义,而又不能用传统防火墙的技术标准来对WEB应用防火墙进行检测,所以相关厂商在将WEB应用防火墙送检时只能将其称为“Web应用策略控制器”、“Web应用防护设备”,或者“Web应用安全网关”。

  梭子鱼公司中国总经理何平说:“标准的缺失使得WEB应用防火墙产品之间没有可比性,也降低了市场进入的门槛。现在市场上存在着大量的伪WEB应用防火墙产品,加上不少用户对WEB应用防火墙的认识不够清晰,这两个因素直接导致WEB应用防火墙产品陷入了价格战。”目前,国内的WEB应用防火墙市场还处于一个混沌期,要想拿出一个比较成型的标准,还需要一两年的时间。何平表示,随着国内用户需求的逐渐清晰和细化,WEB应用防火墙产品的事实标准将逐渐形成。

  在国外,WEB应用防火墙的评价标准正在逐步完善中。WASC(Web Application Security Consortium,Web应用安全协会)是一家非赢利的国际性专家社团,该组织推出了WAFEC(Web Application Firewall Evaluation Criteria,WEB应用防火墙评价标准),目的是研究出一套WEB应用防火墙的评价标准,同时研究出一套测试方法,使得有经验的工程师可以使用WAFEC中提到的知识,独立地对WEB应用防火墙产品的优劣进行测试和评价。WAFEC现在被越来越多的厂家和用户用来评测WEB应用防火墙,该评价标准主要包括以下几个方面:部署模式、HTTP协议支持、检测技术、防御技术、审计、报告、管理、性能、XML、主动学习、认证等。

  有了这个标准,用户就可以去准确地比较和评价WEB应用防火墙产品。据何平介绍,梭子鱼的WEB应用防火墙产品完全符合WAFEC的评估标准。同时,梭子鱼也在密切跟踪WASC的研究成果,时刻保持产品的技术领先性。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lyfzlj

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。