【51CTO.com綜合報(bào)道】隨著下一代防火墻的的正式發(fā)布，“Web應(yīng)用安全、云安全、安全虛擬化與下一代防火墻”已成為2011年梭子魚整個(gè)應(yīng)用安全領(lǐng)域的關(guān)鍵詞，2011年5月，梭子魚全球市場(chǎng)拓展副總裁GRANT MURPHY  來(lái)到上海，跟大家分享了更多關(guān)于梭子魚下一代防火墻的產(chǎn)品動(dòng)向及企業(yè)布局。

對(duì)于這次來(lái)訪中國(guó)，GRANT MURPHY 發(fā)現(xiàn)一個(gè)很有意思的現(xiàn)象，那就是他發(fā)現(xiàn)國(guó)內(nèi)的很多客戶在面對(duì)安全局勢(shì)的變化及不同的安全產(chǎn)品的推陳出新，對(duì)于WEB應(yīng)用防火墻（以下簡(jiǎn)稱WAF）還不是很了解，很多用戶認(rèn)為他們的IDS、IPS就是WAF，就能保護(hù)Web網(wǎng)站。事實(shí)IDS、IPS確實(shí)可以保護(hù)網(wǎng)絡(luò)，但是不能識(shí)別真正的基于七層的Web應(yīng)用的攻擊，因?yàn)镮PS、IDS更多的是依賴于特征控碼，所以不能對(duì)這種Web攻擊進(jìn)行一種主動(dòng)的防御。國(guó)內(nèi)有些廠家也推出了WEB應(yīng)用防火墻，實(shí)際上他們的WEB應(yīng)用防火墻就是IPS的改名而已。

那么真正的WAF應(yīng)該具有怎樣的特性呢？面對(duì)記者的提問，GRANT MURPHY也為我們做了更詳細(xì)的解析，他提到了五點(diǎn)將WAF與IPS、IDS區(qū)分的特性：

第一、要有合規(guī)性，在美國(guó)有很多相關(guān)的法律，包括（6:30）IDS就規(guī)定了，要從事網(wǎng)上交易就要部署類似象 WEB應(yīng)用防火墻這類的產(chǎn)品。這就需要合規(guī)性，因?yàn)楹弦?guī)性不僅要求部署，還需要審計(jì)的一些功能，而真正的WAF是需要有這方面的功能。

第二、真正的WAF要能夠提供Web應(yīng)用的這種防護(hù)。尤其象國(guó)際上有個(gè)組織叫OWASP，是專門研究Web攻擊的，而且這個(gè)組織可以給這種Web應(yīng)用開發(fā)提供一些安全方面的建議，所以它每年也會(huì)發(fā)布這種Top10針對(duì)Web應(yīng)用的攻擊行為。所以真正的WAF要能提供這種Top10的攻擊行為的防護(hù)。

第三、真正的WAF還要能夠防護(hù)的是Web網(wǎng)站的架構(gòu)，這個(gè)就和IPS、IDS有一個(gè)明顯的區(qū)別，IPS、IDS是布置在網(wǎng)關(guān)處的，不是專門用在針對(duì)Web網(wǎng)站，所以說(shuō)真正的WAF是僅僅對(duì)Web網(wǎng)站做防護(hù)的。

第四、WAF要有日制報(bào)表的功能，把受到的攻擊可以展示出來(lái)，并且能夠進(jìn)行分析，可以詳細(xì)制作成日志報(bào)表功能。這也是真正的WAF所必須具備的。

最后、真的WAF要具有安全的性能，因?yàn)榘踩珪?huì)降低Web應(yīng)用的交付，還有一些相關(guān)性能的提升，有些WAF產(chǎn)品犧牲了安全性以保證可用性，象梭子魚WAF就是可以做到安全性和可用性相統(tǒng)一的?，F(xiàn)在很多的應(yīng)用都是Web應(yīng)用，很多的用戶也在使用Web應(yīng)用，要能對(duì)這些用戶的行為進(jìn)行控制，尤其是安全方面的，這樣的WAF才是真正的WAF。

面對(duì)日新月異的技術(shù)發(fā)展，展望Web防火墻未來(lái)的發(fā)展趨勢(shì)，GRANT MURPHY表示W(wǎng)AF的未來(lái)是朝著虛擬化的方向發(fā)展?，F(xiàn)在虛擬化是個(gè)發(fā)展趨勢(shì)，所以很多企業(yè)都有相應(yīng)虛擬化的架構(gòu)，這時(shí)候就很容易將Web防火墻應(yīng)用到他的虛擬架構(gòu)里面。這并不是把他寄存到一個(gè)設(shè)備里面，而是把他寄存到一個(gè)架構(gòu)平臺(tái)里面，這樣有助于他的管理，從物理上看它是提升到一個(gè)設(shè)備里面，它在一臺(tái)服務(wù)器或服務(wù)器群，但實(shí)際上是一個(gè)虛擬化的架構(gòu)，有不同的運(yùn)用?，F(xiàn)在很多企業(yè)的用戶并沒有把Web的應(yīng)用放在本地而是托管在數(shù)據(jù)中心里面，但托管在數(shù)據(jù)中心里并不是特別關(guān)注在應(yīng)用層的安全，更多的是用戶的訪問，服務(wù)器的性能。而且這些托管的數(shù)據(jù)中心往往采用的虛擬機(jī)的架構(gòu)，這個(gè)時(shí)候如果采用虛擬化的Web用戶的解決方案，可以提升Web應(yīng)用安全方面的重心。GRANT MURPHY 預(yù)測(cè)在兩年以后梭子魚的WAF軟件會(huì)以軟件包的形式運(yùn)營(yíng)在虛擬機(jī)上。

對(duì)于梭子魚已推出的NG Firewall和WAF兩個(gè)重要的安全防護(hù)的產(chǎn)品，GRANT MURPHY  也解釋了兩者間功能與技術(shù)上的區(qū)別。NG Firewall的功能不僅僅限于七層的防護(hù)，包括對(duì)流量的優(yōu)化，特別是介入面的流量?jī)?yōu)化、控制，當(dāng)然也包括七層的應(yīng)用層的防護(hù)，以及交付方面的一些優(yōu)化，但是WAF防護(hù)墻只是對(duì)七層的Web應(yīng)用層的防護(hù)，而且這種防護(hù)是更深層次詳細(xì)的的過(guò)濾內(nèi)容，NG Firewall 對(duì)應(yīng)用的防護(hù)，不僅僅是對(duì)Web應(yīng)用防護(hù)，他可以說(shuō)對(duì)所有的應(yīng)用都提供防護(hù)。WAF提供了對(duì)Web應(yīng)用的主動(dòng)的防御，但NG Firewall對(duì)應(yīng)用的防護(hù)更多的是基于被動(dòng)的防護(hù)，所有被動(dòng)防御有點(diǎn)類似于IPS、IDS的技術(shù)，所以這兩個(gè)產(chǎn)品是面向兩個(gè)不同的領(lǐng)域，NG Firewall更廣，可謂是廣而泛，WAF更深，可謂窄而深。

對(duì)于NG Firewall和WAF的安全應(yīng)用選擇，企業(yè)用戶也應(yīng)懂得如何甄別真正適合自己的安全產(chǎn)品，如果企業(yè)Web應(yīng)用不是非常關(guān)鍵，不需要網(wǎng)上交易，那NG Firewall足以滿足用戶的需求。NGFW內(nèi)部集成高質(zhì)量的IPS功能，可以對(duì)所有已知的攻擊行為進(jìn)行防御，以保護(hù)整個(gè)網(wǎng)絡(luò)；而WAF則專門對(duì)WEB網(wǎng)站進(jìn)行防護(hù)，WAF的價(jià)值更多體現(xiàn)在主動(dòng)防御和深層次的專業(yè)WEB防御。但對(duì)那些Web應(yīng)用非常關(guān)鍵的企業(yè)，上述WAF可提供的功能就非常重要了，這個(gè)時(shí)候光部署NG Firewall是不夠的，因?yàn)镹G Firewall的應(yīng)用層防護(hù)不是主動(dòng)的，他是有特征庫(kù)的，假如你的漏洞它沒有被公布出來(lái)，但是黑客已經(jīng)知道了，這個(gè)就是NG Firewall運(yùn)用IPS解決不了的，因?yàn)镹G Firewall具有特征密碼，這個(gè)特征密碼沒有，那么它還是能產(chǎn)生攻擊，這個(gè)時(shí)候還要依靠WAF，WAF是專門針對(duì)Web應(yīng)用防護(hù)的，把它做得更深。但對(duì)一般企業(yè)Web防御非常關(guān)鍵，一定只能運(yùn)用WAF。

雖然國(guó)內(nèi)的安全市場(chǎng)相對(duì)于國(guó)外還有很多方面不夠規(guī)范，但面對(duì)中國(guó)這個(gè)巨大的市場(chǎng)，梭子魚將更多的致力于對(duì)中國(guó)市場(chǎng)的持續(xù)開拓，面對(duì)之前梭子魚中國(guó)區(qū)總經(jīng)理何平提出的國(guó)內(nèi)防火墻平均增長(zhǎng)200%,未來(lái)的三年也會(huì)平均增長(zhǎng)達(dá)500%，梭子魚全球也提出將會(huì)加強(qiáng)調(diào)整不同的人員力量幫助中國(guó)進(jìn)入企業(yè)級(jí)市場(chǎng)，以此來(lái)完成國(guó)內(nèi)市場(chǎng)的拓展并完成一個(gè)高速的增長(zhǎng)，這也為梭子魚下一代防火墻更深的進(jìn)入中國(guó)市場(chǎng)的開拓注入了強(qiáng)而有力的定心劑。