WEB应用防火墙之前世今生——展望

安全
众多政府对外服务网站、IDC托管服务器、电子交易网站等Web应用系统长期以来一直被Web应用攻击所困扰,随之而来的是名誉受损、客户投诉、法律纠纷、商业损失等一系列问题。

混沌中的等待

众多政府对外服务网站、IDC托管服务器、电子交易网站等Web应用系统长期以来一直被Web应用攻击所困扰,随之而来的是名誉受损、客户投诉、法律纠纷、商业损失等一系列问题。部署专业的针对Web应用交互数据进行检测并提供防御的产品成为一种很有必要的选择。然而,迄今为止,前面提到的这种产品,也就是Web应用防火墙(WEB应用防火墙)在国内的成长之路并不平坦。

由于国内相关机构尚未WEB应用防火墙产品做出明确的定义,而又不能用传统防火墙的技术标准来对WEB应用防火墙进行检测,所以相关厂商在将WEB应用防火墙送检时只能将其称为"Web应用策略控制器"、"Web应用防护设备",或者"Web应用安全网关"。

梭子鱼公司中国总经理何平说:"标准的缺失使得WEB应用防火墙产品之间没有可比性,也降低了市场进入的门槛。现在市场上存在着大量的伪WEB应用防火墙产品,加上不少用户对WEB应用防火墙的认识不够清晰,这两个因素直接导致WEB应用防火墙产品陷入了价格战。"目前,国内的WEB应用防火墙市场还处于一个混沌期,要想拿出一个比较成型的标准,还需要一两年的时间。何平表示,随着国内用户需求的逐渐清晰和细化,WEB应用防火墙产品的事实标准将逐渐形成。

在国外,WEB应用防火墙的评价标准正在逐步完善中。WASC(Web Application Security Consortium,Web应用安全协会)是一家非赢利的国际性专家社团,该组织推出了WAFEC(Web Application Firewall Evaluation Criteria,WEB应用防火墙评价标准),目的是研究出一套WEB应用防火墙的评价标准,同时研究出一套测试方法,使得有经验的工程师可以使用WAFEC中提到的知识,独立地对WEB应用防火墙产品的优劣进行测试和评价。WAFEC现在被越来越多的厂家和用户用来评测WEB应用防火墙,该评价标准主要包括以下几个方面:部署模式、HTTP协议支持、检测技术、防御技术、审计、报告、管理、性能、XML、主动学习、认证等。

有了这个标准,用户就可以去准确地比较和评价WEB应用防火墙产品。据何平介绍,梭子鱼的WEB应用防火墙产品完全符合WAFEC的评估标准。同时,梭子鱼也在密切跟踪WASC的研究成果,时刻保持产品的技术领先性。

 

【编辑推荐】

  1. WEB应用防火墙之前世今生——误读
  2. WEB应用防火墙之前世今生——概况
责任编辑:佚名 来源: 51CTO.com
相关推荐

2010-11-25 15:35:02

2010-11-09 12:23:02

2010-11-16 16:43:17

2011-08-12 16:06:01

2011-03-25 11:18:51

2013-02-21 10:25:57

2010-10-25 12:07:51

2010-05-24 17:49:56

2011-03-25 11:06:46

2011-05-10 09:17:01

2011-02-17 18:30:25

2011-02-15 18:38:49

2010-07-07 20:06:53

2010-07-12 11:33:52

2021-06-25 18:35:30

Web应用防火墙

2010-07-12 11:41:55

2011-09-15 17:03:44

2010-12-21 18:04:26

2010-08-30 10:18:24

2009-04-28 09:12:35

Web应用防火墙梭子鱼
点赞
收藏

51CTO技术栈公众号