【51CTO.com綜合報(bào)道】Web應(yīng)用的日益普及和Web攻擊的與日俱增，讓W(xué)eb安全問題備受關(guān)注。但對(duì)于正常流量中的危險(xiǎn)分子，傳統(tǒng)的安全產(chǎn)品根本無能為力，此時(shí)，我們?cè)摽渴裁磥肀Ｗo(hù)Web應(yīng)用？Web應(yīng)用防火墻無疑是最佳之選。但Web應(yīng)用防火墻究竟是什么？它和傳統(tǒng)的安全產(chǎn)品有什么不同？應(yīng)用起來又有要注意什么？請(qǐng)看《走出Web應(yīng)用防火墻認(rèn)識(shí)誤區(qū)》系列文章。

系列之五：WAF采購(gòu)要點(diǎn)大揭密

現(xiàn)在，市場(chǎng)上存在著大量的真假Web應(yīng)用防火墻產(chǎn)品，用戶對(duì)它的認(rèn)識(shí)也不夠清晰，再加上業(yè)界缺乏Web應(yīng)用防火墻的衡量標(biāo)準(zhǔn)，Web應(yīng)用防火墻的好壞評(píng)判變得十分困難。

其實(shí)，要想選到一款好的Web應(yīng)用防火墻并不難，考察以下幾個(gè)方面即可：

1.攻擊攔截能力

WAF最主要的功能就是防范Web攻擊，因此，攻擊攔截能力至關(guān)重要。一款好的WAF產(chǎn)品，對(duì)于針對(duì)Web服務(wù)器的各種流行攻擊都要具備強(qiáng)大的防御能力，還應(yīng)該對(duì)數(shù)據(jù)泄密具備一定的監(jiān)管能力，應(yīng)該可以進(jìn)行IP審計(jì)。而且，還應(yīng)該可以及時(shí)、準(zhǔn)確地發(fā)現(xiàn)異常的使用模式，并阻止目前未知的攻擊方法。

以梭子魚Web應(yīng)用防火墻為例，它提供了強(qiáng)大的雙向掃描機(jī)制，對(duì)于HTTP請(qǐng)求提供URL、表單參數(shù)、報(bào)頭及Cookie等各種安全掃描，還提供強(qiáng)大的應(yīng)用層DDoS防護(hù)以及強(qiáng)制瀏覽和跨站請(qǐng)求偽造攻擊防護(hù)。

2.服務(wù)配套能力

安全是需要不斷對(duì)抗的，安全產(chǎn)品提供者本身的技術(shù)實(shí)力也是非常關(guān)鍵。因此，產(chǎn)品畢竟只是一個(gè)工具，發(fā)生安全事件的時(shí)候廠商是否能夠提供應(yīng)急服務(wù)、第一時(shí)間解決問題這也是需要考慮的。最后一步還需要考慮產(chǎn)品的易用性，如果一個(gè)產(chǎn)品帶來較高管理成本的話，這也是企業(yè)不太希望發(fā)生的。

以梭子魚為例，梭子魚的服務(wù)團(tuán)隊(duì)會(huì)7×24小時(shí)監(jiān)控互聯(lián)網(wǎng)的發(fā)展，不斷更新遍布全球的產(chǎn)品的規(guī)則庫(kù)，包括病毒庫(kù)、攻擊特征庫(kù)等。而且，專業(yè)的技術(shù)團(tuán)隊(duì)、扎實(shí)的技術(shù)功底，使得梭子魚的售后服務(wù)也很到位，可以7×24小時(shí)快速響應(yīng)用戶的問題和需求。主動(dòng)防御功能，對(duì)流行功能能夠做好最好的防御。安全則不然，會(huì)有一直不停對(duì)抗的過程，這樣是需要特別關(guān)注的一點(diǎn)。產(chǎn)品是否能夠及時(shí)更新是很重要的。

3.可擴(kuò)展性

Web應(yīng)用防火墻在后臺(tái)連接的時(shí)候和Web服務(wù)器相關(guān)，但不能僅僅防護(hù)一臺(tái)服務(wù)器。很多企業(yè)的Web服務(wù)器數(shù)量龐大，Web應(yīng)用防火墻還應(yīng)該可以對(duì)應(yīng)用交付和負(fù)載均衡提供支持。

像梭子魚Web應(yīng)用防火墻，其簡(jiǎn)單高效的負(fù)載均衡功能就可以確保組織機(jī)構(gòu)的網(wǎng)站近乎100%的持續(xù)運(yùn)行能力，并大大縮短響應(yīng)時(shí)間，提升其客戶體驗(yàn)。

4.合規(guī)性

有些行業(yè)都要面臨合規(guī)性需求，會(huì)要求組織機(jī)構(gòu)提供相關(guān)的統(tǒng)計(jì)報(bào)表，WAF應(yīng)該可以幫助組織機(jī)構(gòu)輕松實(shí)現(xiàn)這方面的要求。像梭子魚Web應(yīng)用防火墻就是CPI推薦的解決方案，完全能夠滿足塞班斯法案的各項(xiàng)要求。

5.參考WAFEC標(biāo)準(zhǔn)

WASC（Web應(yīng)用安全協(xié)會(huì)）是一家非贏利的國(guó)際性專家社團(tuán)，該組織推出了WAFEC（Web應(yīng)用防火墻評(píng)價(jià)標(biāo)準(zhǔn)），以便研究出一套合理的測(cè)試方法，對(duì)大家可以Web應(yīng)用防火墻產(chǎn)品的優(yōu)劣進(jìn)行測(cè)試和評(píng)價(jià)。目前，WAFEC已經(jīng)被越來越多的廠家和用戶用來評(píng)測(cè)Web應(yīng)用防火墻，該評(píng)價(jià)標(biāo)準(zhǔn)主要包括部署模式、HTTP協(xié)議支持、檢測(cè)技術(shù)、防御技術(shù)、審計(jì)、報(bào)告、管理、性能、XML、主動(dòng)學(xué)習(xí)、認(rèn)證等方面，可以在一定程度上幫助我們準(zhǔn)確地比較和評(píng)價(jià)Web應(yīng)用防火墻產(chǎn)品。

像梭子魚Web應(yīng)用防火墻就完全符合WAFEC的評(píng)估標(biāo)準(zhǔn)，而且梭子魚還在密切跟蹤WASC的研究成果，時(shí)刻保持產(chǎn)品的技術(shù)領(lǐng)先性。