梭子魚全球市場拓展副總裁解析WAF與IPS IDS的區別
【51CTO.com綜合報道】隨著下一代防火墻的的正式發布,“Web應用安全、云安全、安全虛擬化與下一代防火墻”已成為2011年梭子魚整個應用安全領域的關鍵詞,2011年5月,梭子魚全球市場拓展副總裁GRANT MURPHY 來到上海,跟大家分享了更多關于梭子魚下一代防火墻的產品動向及企業布局。
對于這次來訪中國,GRANT MURPHY 發現一個很有意思的現象,那就是他發現國內的很多客戶在面對安全局勢的變化及不同的安全產品的推陳出新,對于WEB應用防火墻(以下簡稱WAF)還不是很了解,很多用戶認為他們的IDS、IPS就是WAF,就能保護Web網站。事實IDS、IPS確實可以保護網絡,但是不能識別真正的基于七層的Web應用的攻擊,因為IPS、IDS更多的是依賴于特征控碼,所以不能對這種Web攻擊進行一種主動的防御。國內有些廠家也推出了WEB應用防火墻,實際上他們的WEB應用防火墻就是IPS的改名而已。
那么真正的WAF應該具有怎樣的特性呢?面對記者的提問,GRANT MURPHY也為我們做了更詳細的解析,他提到了五點將WAF與IPS、IDS區分的特性:
第一、要有合規性,在美國有很多相關的法律,包括(6:30)IDS就規定了,要從事網上交易就要部署類似象 WEB應用防火墻這類的產品。這就需要合規性,因為合規性不僅要求部署,還需要審計的一些功能,而真正的WAF是需要有這方面的功能。
第二、真正的WAF要能夠提供Web應用的這種防護。尤其象國際上有個組織叫OWASP,是專門研究Web攻擊的,而且這個組織可以給這種Web應用開發提供一些安全方面的建議,所以它每年也會發布這種Top10針對Web應用的攻擊行為。所以真正的WAF要能提供這種Top10的攻擊行為的防護。
第三、真正的WAF還要能夠防護的是Web網站的架構,這個就和IPS、IDS有一個明顯的區別,IPS、IDS是布置在網關處的,不是專門用在針對Web網站,所以說真正的WAF是僅僅對Web網站做防護的。
第四、WAF要有日制報表的功能,把受到的攻擊可以展示出來,并且能夠進行分析,可以詳細制作成日志報表功能。這也是真正的WAF所必須具備的。
最后、真的WAF要具有安全的性能,因為安全會降低Web應用的交付,還有一些相關性能的提升,有些WAF產品犧牲了安全性以保證可用性,象梭子魚WAF就是可以做到安全性和可用性相統一的。現在很多的應用都是Web應用,很多的用戶也在使用Web應用,要能對這些用戶的行為進行控制,尤其是安全方面的,這樣的WAF才是真正的WAF。
面對日新月異的技術發展,展望Web防火墻未來的發展趨勢,GRANT MURPHY表示WAF的未來是朝著虛擬化的方向發展。現在虛擬化是個發展趨勢,所以很多企業都有相應虛擬化的架構,這時候就很容易將Web防火墻應用到他的虛擬架構里面。這并不是把他寄存到一個設備里面,而是把他寄存到一個架構平臺里面,這樣有助于他的管理,從物理上看它是提升到一個設備里面,它在一臺服務器或服務器群,但實際上是一個虛擬化的架構,有不同的運用。現在很多企業的用戶并沒有把Web的應用放在本地而是托管在數據中心里面,但托管在數據中心里并不是特別關注在應用層的安全,更多的是用戶的訪問,服務器的性能。而且這些托管的數據中心往往采用的虛擬機的架構,這個時候如果采用虛擬化的Web用戶的解決方案,可以提升Web應用安全方面的重心。GRANT MURPHY 預測在兩年以后梭子魚的WAF軟件會以軟件包的形式運營在虛擬機上。
對于梭子魚已推出的NG Firewall和WAF兩個重要的安全防護的產品,GRANT MURPHY 也解釋了兩者間功能與技術上的區別。NG Firewall的功能不僅僅限于七層的防護,包括對流量的優化,特別是介入面的流量優化、控制,當然也包括七層的應用層的防護,以及交付方面的一些優化,但是WAF防護墻只是對七層的Web應用層的防護,而且這種防護是更深層次詳細的的過濾內容,NG Firewall 對應用的防護,不僅僅是對Web應用防護,他可以說對所有的應用都提供防護。WAF提供了對Web應用的主動的防御,但NG Firewall對應用的防護更多的是基于被動的防護,所有被動防御有點類似于IPS、IDS的技術,所以這兩個產品是面向兩個不同的領域,NG Firewall更廣,可謂是廣而泛,WAF更深,可謂窄而深。
對于NG Firewall和WAF的安全應用選擇,企業用戶也應懂得如何甄別真正適合自己的安全產品,如果企業Web應用不是非常關鍵,不需要網上交易,那NG Firewall足以滿足用戶的需求。NGFW內部集成高質量的IPS功能,可以對所有已知的攻擊行為進行防御,以保護整個網絡;而WAF則專門對WEB網站進行防護,WAF的價值更多體現在主動防御和深層次的專業WEB防御。但對那些Web應用非常關鍵的企業,上述WAF可提供的功能就非常重要了,這個時候光部署NG Firewall是不夠的,因為NG Firewall的應用層防護不是主動的,他是有特征庫的,假如你的漏洞它沒有被公布出來,但是黑客已經知道了,這個就是NG Firewall運用IPS解決不了的,因為NG Firewall具有特征密碼,這個特征密碼沒有,那么它還是能產生攻擊,這個時候還要依靠WAF,WAF是專門針對Web應用防護的,把它做得更深。但對一般企業Web防御非常關鍵,一定只能運用WAF。
雖然國內的安全市場相對于國外還有很多方面不夠規范,但面對中國這個巨大的市場,梭子魚將更多的致力于對中國市場的持續開拓,面對之前梭子魚中國區總經理何平提出的國內防火墻平均增長200%,未來的三年也會平均增長達500%,梭子魚全球也提出將會加強調整不同的人員力量幫助中國進入企業級市場,以此來完成國內市場的拓展并完成一個高速的增長,這也為梭子魚下一代防火墻更深的進入中國市場的開拓注入了強而有力的定心劑。
