WAF是强不是墙

——访梭子鱼全球企业市场拓展副总裁 GRANT MURPHY

随着NGRANT MURPHY Firewall的发布，“Web应用安全、云安全、安全虚拟化与下一代防火墙”已成为2011年梭子鱼整个应用安全领域的关键词，2011年5月13日，梭子鱼全球负责企业市场拓展的副总裁GRANT MURPHY 来到上海，跟大家分享了更多关于梭子鱼下一代防火墙的产品动向及企业布局。

对于这次来访中国，GRANT MURPHY 发现一个很有意思的现象，那就是他发现国内的很多客户在面对安全局势的变化及不同的安全产品的推陈出新，对于WEB应用防火墙(以下简称WAF)还不是很了解，很多用户认为他们的IDS、IPS就是WAF，就能保护Web网站。事实IDS、IPS确实可以保护网络，但是不能识别真正的基于七层的Web应用的攻击，因为IPS、IDS更多的是依赖于特征控码，所以不能对这种Web攻击进行一种主动的防御。国内有些厂家也推出了WEB应用防火墙，实际上他们的WEB应用防火墙就是IPS的改名而已。

那么真正的WAF应该具有怎样的特性呢？面对记者的提问，GRANT MURPHY也为我们做了更详细的解析，他提到了五点将WAF与IPS、IDS区分的特性：

第一、要有合规性，在美国有很多相关的法律，包括IDS就规定了，要从事网上交易就要部署类似象 WEB应用防火墙这类的产品。这就需要合规性，因为合规性不仅要求部署，还需要审计的一些功能，而真正的WAF是需要有这方面的功能。

第二、真正的WAF要能够提供Web应用的这种防护。尤其象国际上有个组织叫OWASP，是专门研究Web攻击的，而且这个组织可以给这种Web应用开发提供一些安全方面的建议，所以它每年也会发布这种Top10针对Web应用的攻击行为。所以真正的WAF要能提供这种Top10的攻击行为的防护。

第三、真正的WAF还要能够防护的是Web网站的架构，这个就和IPS、IDS有一个明显的区别，IPS、IDS是布置在网关处的，不是专门用在针对Web网站，所以说真正的WAF是仅仅对Web网站做防护的。

第四、WAF要有日制报表的功能，把受到的攻击可以展示出来，并且能够进行分析，可以详细制作成日志报表功能。这也是真正的WAF所必须具备的。

最后、真的WAF要具有安全的性能，因为安全会降低Web应用的交付，还有一些相关性能的提升，有些WAF产品牺牲了安全性以保证可用性，象梭子鱼WAF就是可以做到安全性和可用性相统一的。现在很多的应用都是Web应用，很多的用户也在使用Web应用，要能对这些用户的行为进行控制，尤其是安全方面的，这样的WAF才是真正的WAF。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友