WAF采购要点大揭密

安全
现在,市场上存在着大量的真假Web应用防火墙产品,用户对它的认识也不够清晰,再加上业界缺乏Web应用防火墙的衡量标准,Web应用防火墙的好坏评判变得十分困难。

现在,市场上存在着大量的真假Web应用防火墙产品,用户对它的认识也不够清晰,再加上业界缺乏Web应用防火墙的衡量标准,Web应用防火墙的好坏评判变得十分困难。

其实,要想选到一款好的Web应用防火墙并不难,考察以下几个方面即可:

1.攻击拦截能力

WAF最主要的功能就是防范Web攻击,因此,攻击拦截能力至关重要。一款好的WAF产品,对于针对Web服务器的各种流行攻击都要具备强大的防御能力,还应该对数据泄密具备一定的监管能力,应该可以进行IP审计。而且,还应该可以及时、准确地发现异常的使用模式,并阻止目前未知的攻击方法。

以梭子鱼Web应用防火墙为例,它提供了强大的双向扫描机制,对于HTTP请求提供URL、表单参数、报头及Cookie等各种安全扫描,还提供强大的应用层DDoS防护以及强制浏览和跨站请求伪造攻击防护。

2.服务配套能力

安全是需要不断对抗的,安全产品提供者本身的技术实力也是非常关键。因此,产品毕竟只是一个工具,发生安全事件的时候厂商是否能够提供应急服务、第一时间解决问题这也是需要考虑的。最后一步还需要考虑产品的易用性,如果一个产品带来较高管理成本的话,这也是企业不太希望发生的。

以梭子鱼为例,梭子鱼的服务团队会7×24小时监控互联网的发展,不断更新遍布全球的产品的规则库,包括病毒库、攻击特征库等。而且,专业的技术团队、扎实的技术功底,使得梭子鱼的售后服务也很到位,可以7×24小时快速响应用户的问题和需求。主动防御功能,对流行功能能够做好最好的防御。安全则不然,会有一直不停对抗的过程,这样是需要特别关注的一点。产品是否能够及时更新是很重要的。

3.可扩展性

Web应用防火墙在后台连接的时候和Web服务器相关,但不能仅仅防护一台服务器。很多企业的Web服务器数量庞大,Web应用防火墙还应该可以对应用交付和负载均衡提供支持。

像梭子鱼Web应用防火墙,其简单高效的负载均衡功能就可以确保组织机构的网站近乎100%的持续运行能力,并大大缩短响应时间,提升其客户体验。

4.合规性

有些行业都要面临合规性需求,会要求组织机构提供相关的统计报表,WAF应该可以帮助组织机构轻松实现这方面的要求。像梭子鱼Web应用防火墙就是CPI推荐的解决方案,完全能够满足塞班斯法案的各项要求。

5.参考WAFEC标准

WASC(Web应用安全协会)是一家非赢利的国际性专家社团,该组织推出了WAFEC(Web应用防火墙评价标准),以便研究出一套合理的测试方法,对大家可以Web应用防火墙产品的优劣进行测试和评价。目前,WAFEC已经被越来越多的厂家和用户用来评测Web应用防火墙,该评价标准主要包括部署模式、HTTP协议支持、检测技术、防御技术、审计、报告、管理、性能、XML、主动学习、认证等方面,可以在一定程度上帮助我们准确地比较和评价Web应用防火墙产品。

像梭子鱼Web应用防火墙就完全符合WAFEC的评估标准,而且梭子鱼还在密切跟踪WASC的研究成果,时刻保持产品的技术领先性。

 

责任编辑:佟健 来源: 51CTO.com
相关推荐

2011-03-31 14:55:04

2009-02-27 13:43:00

合租服务器注意事项服务器合租

2012-09-19 09:47:19

Windows Ser亮点功能

2016-12-07 10:25:49

大容量SSD

2015-11-12 09:44:58

Threshold 2更新Windows 10

2022-04-07 14:02:47

WAF瑞数信息

2009-03-19 10:11:42

华为电信采购

2011-09-01 16:06:42

2023-06-27 06:49:19

2011-06-16 21:54:19

笔记本技巧

2011-06-19 17:50:56

笔记本接口技巧

2009-08-14 17:49:07

最好的企业Wi-Fi

2020-02-29 16:00:20

代码开发程序员

2009-01-20 10:27:00

2016-10-28 16:53:03

数据库

2009-10-27 13:34:56

Oracle密码管理

2009-12-22 11:22:39

2016-03-17 10:29:03

NoSQL数据整合系统集成

2011-07-28 22:17:21

打印机技巧

2014-08-01 10:41:34

间谍工具NSA间谍软件
点赞
收藏

51CTO技术栈公众号