【51CTO.com綜合報道】Web應(yīng)用的日益普及和Web攻擊的與日俱增，讓W(xué)eb安全問題備受關(guān)注。但對于正常流量中的危險分子，傳統(tǒng)的安全產(chǎn)品根本無能為力，此時，我們該靠什么來保護(hù)Web應(yīng)用？Web應(yīng)用防火墻無疑是最佳之選。但Web應(yīng)用防火墻究竟是什么？它和傳統(tǒng)的安全產(chǎn)品有什么不同？應(yīng)用起來又有要注意什么？請看《走出Web應(yīng)用防火墻認(rèn)識誤區(qū)》系列文章。

系列之五：WAF采購要點(diǎn)大揭密

現(xiàn)在，市場上存在著大量的真假Web應(yīng)用防火墻產(chǎn)品，用戶對它的認(rèn)識也不夠清晰，再加上業(yè)界缺乏Web應(yīng)用防火墻的衡量標(biāo)準(zhǔn)，Web應(yīng)用防火墻的好壞評判變得十分困難。

其實，要想選到一款好的Web應(yīng)用防火墻并不難，考察以下幾個方面即可：

1.攻擊攔截能力

WAF最主要的功能就是防范Web攻擊，因此，攻擊攔截能力至關(guān)重要。一款好的WAF產(chǎn)品，對于針對Web服務(wù)器的各種流行攻擊都要具備強(qiáng)大的防御能力，還應(yīng)該對數(shù)據(jù)泄密具備一定的監(jiān)管能力，應(yīng)該可以進(jìn)行IP審計。而且，還應(yīng)該可以及時、準(zhǔn)確地發(fā)現(xiàn)異常的使用模式，并阻止目前未知的攻擊方法。

以梭子魚Web應(yīng)用防火墻為例，它提供了強(qiáng)大的雙向掃描機(jī)制，對于HTTP請求提供URL、表單參數(shù)、報頭及Cookie等各種安全掃描，還提供強(qiáng)大的應(yīng)用層DDoS防護(hù)以及強(qiáng)制瀏覽和跨站請求偽造攻擊防護(hù)。

2.服務(wù)配套能力

安全是需要不斷對抗的，安全產(chǎn)品提供者本身的技術(shù)實力也是非常關(guān)鍵。因此，產(chǎn)品畢竟只是一個工具，發(fā)生安全事件的時候廠商是否能夠提供應(yīng)急服務(wù)、第一時間解決問題這也是需要考慮的。最后一步還需要考慮產(chǎn)品的易用性，如果一個產(chǎn)品帶來較高管理成本的話，這也是企業(yè)不太希望發(fā)生的。

以梭子魚為例，梭子魚的服務(wù)團(tuán)隊會7×24小時監(jiān)控互聯(lián)網(wǎng)的發(fā)展，不斷更新遍布全球的產(chǎn)品的規(guī)則庫，包括病毒庫、攻擊特征庫等。而且，專業(yè)的技術(shù)團(tuán)隊、扎實的技術(shù)功底，使得梭子魚的售后服務(wù)也很到位，可以7×24小時快速響應(yīng)用戶的問題和需求。主動防御功能，對流行功能能夠做好最好的防御。安全則不然，會有一直不停對抗的過程，這樣是需要特別關(guān)注的一點(diǎn)。產(chǎn)品是否能夠及時更新是很重要的。

3.可擴(kuò)展性

Web應(yīng)用防火墻在后臺連接的時候和Web服務(wù)器相關(guān)，但不能僅僅防護(hù)一臺服務(wù)器。很多企業(yè)的Web服務(wù)器數(shù)量龐大，Web應(yīng)用防火墻還應(yīng)該可以對應(yīng)用交付和負(fù)載均衡提供支持。

像梭子魚Web應(yīng)用防火墻，其簡單高效的負(fù)載均衡功能就可以確保組織機(jī)構(gòu)的網(wǎng)站近乎100%的持續(xù)運(yùn)行能力，并大大縮短響應(yīng)時間，提升其客戶體驗。

4.合規(guī)性

有些行業(yè)都要面臨合規(guī)性需求，會要求組織機(jī)構(gòu)提供相關(guān)的統(tǒng)計報表，WAF應(yīng)該可以幫助組織機(jī)構(gòu)輕松實現(xiàn)這方面的要求。像梭子魚Web應(yīng)用防火墻就是CPI推薦的解決方案，完全能夠滿足塞班斯法案的各項要求。

5.參考WAFEC標(biāo)準(zhǔn)

WASC（Web應(yīng)用安全協(xié)會）是一家非贏利的國際性專家社團(tuán)，該組織推出了WAFEC（Web應(yīng)用防火墻評價標(biāo)準(zhǔn)），以便研究出一套合理的測試方法，對大家可以Web應(yīng)用防火墻產(chǎn)品的優(yōu)劣進(jìn)行測試和評價。目前，WAFEC已經(jīng)被越來越多的廠家和用戶用來評測Web應(yīng)用防火墻，該評價標(biāo)準(zhǔn)主要包括部署模式、HTTP協(xié)議支持、檢測技術(shù)、防御技術(shù)、審計、報告、管理、性能、XML、主動學(xué)習(xí)、認(rèn)證等方面，可以在一定程度上幫助我們準(zhǔn)確地比較和評價Web應(yīng)用防火墻產(chǎn)品。

像梭子魚Web應(yīng)用防火墻就完全符合WAFEC的評估標(biāo)準(zhǔn)，而且梭子魚還在密切跟蹤WASC的研究成果，時刻保持產(chǎn)品的技術(shù)領(lǐng)先性。