【51CTO.com 獨家報道】21世紀的前3年中，Code Red、Nimda、SQL Slammer等蠕蟲的先后爆發(fā)，暴露了網絡防火墻的不足，直接催生了IPS（入侵防御系統(tǒng)）。2008年開始，大規(guī)模SQL注入的出現，意味著Web開始成為黑客攻擊的焦點。WAF（Web Application Firewall，Web應用防火墻）就在這時開始萌發(fā)。而IPS也在原有架構下開始加強對Web的防護。時至今天，WAF發(fā)展如何？IPS發(fā)展如何？

2010年10月，51CTO與國內專注網絡安全的綠盟科技攜手，做了一個有關WAF和IPS的辯論活動，暨“挑戰(zhàn)安全技術專家，Web安全技術擂臺賽”。

以前51CTO的網友們往往只有聽的份，很少有機會反駁專家觀點，最多發(fā)表一下自己的看法，更別談自己的觀點在51CTO首頁展現了。這次的活動，關注網絡安全產品的網友們不但可以反駁專家，還有機會將自己精彩的觀點展示在活動專區(qū)中【活動專區(qū)地址】，專家、牛人，眾生平等。

活動在論壇的地址：http://bbs.51cto.com/thread-794236-1.html

接受挑戰(zhàn)的擂主由綠盟科技的兩位資深安全經理擔任，他們分別是：

秦波：產品市場經理，安全資深專家，具有長期安全服務和產品規(guī)劃經驗，目前主要負責WAF產品規(guī)劃和需求管理。

[[17488]]

李從宇：具有長期安全產品營銷推廣經驗，目前主要負責WAF產品營銷推廣。

[[17489]]

擂臺賽一開始，支持IPS的用戶就向兩位擂主發(fā)動了潮水般的進攻。忠于IPS入侵防護系統(tǒng)的正方選手pikalo、一劍傾城、經典ID、linfj、235898457、hblf或通過自身的使用經驗，或通過自己的理論知識。搶先一步發(fā)難，讓IPS的一方占了先手。

不過很快，WAF的支持者們開始反擊。Dictator、ccfxny、小俠唐在飛幾位51CTO站友和兩位擂主一起。將戰(zhàn)爭維持在了"三八線"附近。雙方你來我往，口氣都不弱。

IPS支持方的一劍傾城甚至在其言論后面放出幾只手持利器、面帶不屑的火星蟹。充滿了挑釁的意味。

接下來的一周，雙方的辯論依然彌漫著火藥味。期間雖然發(fā)生了QQ對決360這樣的安全界大事件，但是"IPS VS WAF "這一web安全辯論依然進行的如火如荼。在11月2日之前，支持IPS入侵防護系統(tǒng)的朋友還稍占上風，11月8號早上一看，力挺WAF的票數已經以27:25反超，雙方辯手數量對比為17:11，支持IPS的正方以多打少但略顯頹勢。

以下列出雙方的精彩觀點：

正方：

·hblf：在針對web的防御方面，我傾向于WAF會逐步替代IPS，但不是每個客戶在WEB安全防護的需求與整體網絡安全防護需求是相當的，因此從大的方面來說，WAF并不會對IPS構成威脅…… 11月03日

·rainyuers：按照您的說法，IPS在Web安全防御上無用武之地嘍？可據我所知，目前很多企業(yè)仍然在使用IPS，而非WAF。這是市場目前的狀況，按照你的思路發(fā)展下去，也就是說，WAF肯定會取代IPS，而IPS必頂會被時代淘汰。事情是這樣發(fā)展的么？ 11月02日

·pikalo：這些結果相對應的策略不一定非要用在產品的配置上，比如在部署Web應用之前實施安全測試，在部署之后用漏洞掃描工具和站點監(jiān)視工具對網站進行測試。再比如，對于防御SQL注入攻擊，檢查網頁代碼是必要的，絕對不能忘記的事還有修補漏洞，我們可以選擇修改源代碼來過濾關鍵字，以上這些方法雖然都是一些手段，但是作為防御SQL注入和Web安全威脅來說，還是IPS顯得更加專業(yè)一些，簡單一句話的道理，威脅層出不窮，不管怎么防御，都要先檢測出這些威脅，沒有檢測連防御什么都不知道，就更談不上防御了。所以，Web安全防御可以選擇使用專業(yè)的IPS產品。 11月02日

·hblf： 舉個極端點的例子哈，如果我所在的企業(yè)，就一臺web服務器，日訪問千余ip，只用來企業(yè)文化展示，企業(yè)動態(tài)宣傳之用。且在其前端已經部署IPS，頁面都已生成靜態(tài)頁面，那么這樣的企業(yè)是否還有必要在WAF身上投入呢？答案應該是顯然的吧。 其實我的一個感覺是，WAF從某種角度說，更合理的客戶對象，不是企業(yè)，而是IDC…… 11月01日

·pikalo：不可否認，SQL攻擊特征是千變萬化的，但攻擊造成某種現象卻相對一致，所以無需對攻擊特征設定策略，只需要對結果特征進行相應的策略，就能阻斷這些看上去千變萬化的攻擊。顯然，您是綠盟的人吧，不然ID不會是NSFOCUS，哈哈，我們單位用的IPS就是天清系列，和你們是競爭對手哦！ 10月28日

·一劍傾城：更加適合Web安全防御？用IPS就行了。國內有公司已經做出WIPS了，即專門針對WEB的IPS入侵防御產品。10月27日

·hblf："安全技術千千萬，企業(yè)安全是否真的需要產品的堆疊？"、"說說自己的感受，不站在所謂正方or反方的立場"。web安全市場越來越火熱，新技術和新產品層出不窮，各個廠商也紛紛在此市場投入研發(fā)經歷完善產品或是推陳出新，當然，這一切對于企業(yè)的安全建設和安全保障來說，都是好事。企業(yè)安全管理人員的選擇面會更廣，技術可以把握的更細致。10月27日

反方：

·李從宇：防篡改，是一個不太標準的技術說法，有些廠商把能防一些攻擊就叫作防篡改，有些廠商把靜態(tài)頁面操作權限監(jiān)控叫作防篡改，這是個模糊的領域……11月05日

·李從宇：關于代碼檢查和修改，這的確是實現Web安全"更本質"的做法，但在實際的Web應用開發(fā)與維護中進行深度的代碼檢查是不現實的（對大部分場景來說），因為當代碼檢查達到一定深度時，更多的成本投入已經不能帶來風險的明顯降低，而此時由于Web應用系統(tǒng)不能上線所浪費的機會成本就大到不能接收了……11月02日

·李從宇：黑客可以嘗試頻繁地模擬錯誤條件，然后從服務器的響應中挖掘出關于應用程序、服務器程序或數據庫的敏感信息。這些信息匯集在一起能被用作發(fā)起隨后的專項攻擊。而WAF可以遏制響應中的敏感信息，例如堆棧路徑和測試信息，可以給Web應用程序罩上一個隱身斗篷。 11月01日#p#

·秦波：我們知道Web應用由多層架構組成：Network，OS/Web Server/application/Database等，IPS的定位是一英里寬，一寸厚，所以它必須支持多層協議，不僅包括IP、ICMP、UDP、TCP這幾種網絡層、傳輸層的協議，還有HTTP、TTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、Yahoo Messenger等眾多的應用層協議，通常包括協議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關聯分析等技術，性能和功能決定了它不可能對所有應用深入去支持，而定位于防護這些層面的漏洞防護/攻擊識別……11月01日

·biliw：我覺得還是需要用WAF的。至于上面有的朋友提到IPS夠了，并且也說有廠商提出了WIPS的概念，但據我了解，這是廠商的市場策略，目的是在自己還沒準備好的情況下先把水攪渾，把概念混淆，等自己做好準備后出了相應的專用產品時……10月28日

·老韓菜弟：WAF和IPS從功能實現上來說是完全不同的，但因不同廠商有自己的產品定義，所以市場推廣方面有些混淆。一個簡單的辨別其是否為真正WAF的方法是查看產品是否有流量模型自學習、自適應功能，傳統(tǒng)的攻擊特征庫反倒不是特別重要。從市場接受程度看，真正的WAF還是應該先從金融、稅務等實際要求較高的行業(yè)突破，這類用戶也確實需要WAF，而不是傳統(tǒng)的IPS。以上是菜弟的個人看法，才疏學淺，還要向綠盟的專家請教。……10月28日

·小俠唐在飛：IPS不是萬能的。WEB安全還得另想辦法,必須選擇一個能解決深層次應用安全的產品。與現有的安全產品結合使用。WEB安全還得有專門 的WEB安全設備來解決！ 10月27日

11月下旬，擂臺賽進入高潮。除了綠盟科技的兩位擂主以外，前來支持WAF的用戶越來越多。

截至到投票功能關閉前，支持"WAF必須"的用戶達到了38位，超過了"只用 IPS 就足矣"的33位。

WAF陣營的網友們守擂成功！

在熱心的WAF粉絲支持下，綠盟科技的兩位擂主也避免了成為炮灰的命運。而"WAF必須"這一觀點能被大多數網友所認同。也讓所有WAF（Web應用防火墻）的粉絲們頗感欣慰。

最終獲得小禮品的幾位用戶分別是：solarix、hblf、ccfxny、小俠唐在飛、老韓菜弟(分別涵蓋正方、反方、中立方，遺憾的是，ID位solarix的這位用戶一直沒有聯系上)

[[17490]]

從綠盟科技寄出的四份小禮品

【編輯推薦】

1. 綠盟科技榮獲2010年度十大金融科技杰出企業(yè)稱號
2. 綠盟科技應邀出席甘肅省政府行業(yè)信息化安全建設高峰論壇
3. 微軟IE再曝新型0day漏洞，綠盟科技率先提供全方位解決方案