WEB應用防火墻之前世今生——誤讀
您購買的是WEB應用防火墻嗎?
Web安全問題的技術根源和攻擊方法的演進在全球范圍內是一樣的,所以不管在國內還是國外,WEB應用防火墻(WAF)必定會成為主流的Web應用安全解決方案。
不過,有些用戶一度認為另外一個產品就是WEB應用防火墻,它就是網頁防篡改系統。網頁篡改始終是令國內網站頭疼的Web安全問題。而且,此類攻擊的數量還在呈現上升的趨勢。政府門戶網站、高校、企業、運營商的網站都出現過嚴重的網頁篡改事件。因此,網頁防篡改系統迅速流行起來。
網頁防篡改系統是一種軟件解決方案,它的防護效果直接,但是它的部署位置和基本原理決定了,它只能保護靜態頁面,而無法保護動態頁面。梭子魚公司中國總經理何平表示,為了解決這個問題,有些網頁防篡改系統供應商提出在Web服務器上再安裝諸如"SQL注入防護模塊"的方案,但這會影響Web服務器性能,而且對動態頁面的篡改方法遠遠不只是"SQL注入",這種打補丁的方案從長遠來看是不行的。
何平笑稱網頁防篡改系統是乞丐版的WEB應用防火墻。而網頁防篡改系統的不足,恰恰是WEB應用防火墻的優勢。它部署在網絡中,深入分析HTTP協議流量,在全面防御各種Web安全威脅的同時,對Web服務器沒有任何干擾,從根本上解決了包括網頁篡改在內的主要Web安全問題。
還有一類名為Web實時監控與檢測的硬件產品,具有Web漏洞檢測、網頁篡改識別、木馬檢測、Web內容審計等檢測技術;實現了對各種Web攻擊、威脅和事件的一體化綜合監控,能夠自動化完成大規模網站的集中監控和安全態勢分析工作。雖然該產品可以在很大程度上解決網站安全問題,但它在側重檢測的同時卻缺乏足夠的防御能力。為了主動防御未知威脅,它也必將發展演進為WEB應用防火墻。
何平指出,目前中國的WEB應用防火墻市場仍處在市場培育期。由于中國認證中心、公安部等權威機構尚未出臺WEB應用防火墻產品的標準,所以一些只具備部分WAF功能的產品也打著WEB應用防火墻的旗號進行銷售,混淆用戶的試聽,希望用戶在購買WEB應用防火墻產品時擦亮眼睛,多進行分析比較。
【編輯推薦】
