您購買的是WEB應(yīng)用防火墻嗎？

Web安全問題的技術(shù)根源和攻擊方法的演進(jìn)在全球范圍內(nèi)是一樣的，所以不管在國(guó)內(nèi)還是國(guó)外，WEB應(yīng)用防火墻（WAF）必定會(huì)成為主流的Web應(yīng)用安全解決方案。

不過，有些用戶一度認(rèn)為另外一個(gè)產(chǎn)品就是WEB應(yīng)用防火墻，它就是網(wǎng)頁防篡改系統(tǒng)。網(wǎng)頁篡改始終是令國(guó)內(nèi)網(wǎng)站頭疼的Web安全問題。而且，此類攻擊的數(shù)量還在呈現(xiàn)上升的趨勢(shì)。政府門戶網(wǎng)站、高校、企業(yè)、運(yùn)營(yíng)商的網(wǎng)站都出現(xiàn)過嚴(yán)重的網(wǎng)頁篡改事件。因此，網(wǎng)頁防篡改系統(tǒng)迅速流行起來。

網(wǎng)頁防篡改系統(tǒng)是一種軟件解決方案，它的防護(hù)效果直接，但是它的部署位置和基本原理決定了，它只能保護(hù)靜態(tài)頁面，而無法保護(hù)動(dòng)態(tài)頁面。梭子魚公司中國(guó)總經(jīng)理何平表示，為了解決這個(gè)問題，有些網(wǎng)頁防篡改系統(tǒng)供應(yīng)商提出在Web服務(wù)器上再安裝諸如"SQL注入防護(hù)模塊"的方案，但這會(huì)影響Web服務(wù)器性能，而且對(duì)動(dòng)態(tài)頁面的篡改方法遠(yuǎn)遠(yuǎn)不只是"SQL注入"，這種打補(bǔ)丁的方案從長(zhǎng)遠(yuǎn)來看是不行的。

何平笑稱網(wǎng)頁防篡改系統(tǒng)是乞丐版的WEB應(yīng)用防火墻。而網(wǎng)頁防篡改系統(tǒng)的不足，恰恰是WEB應(yīng)用防火墻的優(yōu)勢(shì)。它部署在網(wǎng)絡(luò)中，深入分析HTTP協(xié)議流量，在全面防御各種Web安全威脅的同時(shí)，對(duì)Web服務(wù)器沒有任何干擾，從根本上解決了包括網(wǎng)頁篡改在內(nèi)的主要Web安全問題。

還有一類名為Web實(shí)時(shí)監(jiān)控與檢測(cè)的硬件產(chǎn)品，具有Web漏洞檢測(cè)、網(wǎng)頁篡改識(shí)別、木馬檢測(cè)、Web內(nèi)容審計(jì)等檢測(cè)技術(shù)；實(shí)現(xiàn)了對(duì)各種Web攻擊、威脅和事件的一體化綜合監(jiān)控，能夠自動(dòng)化完成大規(guī)模網(wǎng)站的集中監(jiān)控和安全態(tài)勢(shì)分析工作。雖然該產(chǎn)品可以在很大程度上解決網(wǎng)站安全問題，但它在側(cè)重檢測(cè)的同時(shí)卻缺乏足夠的防御能力。為了主動(dòng)防御未知威脅，它也必將發(fā)展演進(jìn)為WEB應(yīng)用防火墻。

何平指出，目前中國(guó)的WEB應(yīng)用防火墻市場(chǎng)仍處在市場(chǎng)培育期。由于中國(guó)認(rèn)證中心、公安部等權(quán)威機(jī)構(gòu)尚未出臺(tái)WEB應(yīng)用防火墻產(chǎn)品的標(biāo)準(zhǔn)，所以一些只具備部分WAF功能的產(chǎn)品也打著WEB應(yīng)用防火墻的旗號(hào)進(jìn)行銷售，混淆用戶的試聽，希望用戶在購買WEB應(yīng)用防火墻產(chǎn)品時(shí)擦亮眼睛，多進(jìn)行分析比較。

【編輯推薦】

1. WEB應(yīng)用防火墻之前世今生——概況
2. WEB應(yīng)用防火墻之前世今生——緣起
3. “SQL注入”的前世今生和防御思路
4. 對(duì)搜狐、網(wǎng)易和TOM三大門戶網(wǎng)站的SQL注入漏洞檢測(cè)