在前两部分《走出Web应用防火墙认识误区》系列文章中,我们介绍了WAF的特点和应用。本文将分析各种WAF之间的不同。
PCI DSS法规本身给WAF产品陆续的发展产生了持续、强大的驱动力,而Web应用本身的蓬勃发展也让安全主战场逐渐向Web应用层过渡,于是,各个安全厂商纷纷推出WAF产品,以便尽快抢占市场份额。因此,尽管同是Web应用防火墙,但WAF和WAF也是有差别的。
IPS变身WAF:基于被动特征库
Web应用防火墙中,有一部分由IPS转变而来的。这类WAF产品在IPS的特征库防御技术基础上增加了主动防御模式,从而实现Web应用安全,产品容易开发,也很容易切入市场。
然而,IPS本身基于特征库的特性,使得这类Web应用防火墙对于很多威胁的防范是无能为力的。而且,尽管其中增加了主动防御能力,但通常做得不够深入。
软件WAF:增加负担还受限制
还有一类Web应用防火墙,采用的是纯粹的软件形式,需要嵌入到Web应用服务器里。这种类型的WAF,具备软件产品通常的优势,安装简单,只需安装在Web应用服务器上,用户无需单独采购硬件,因此采购成本相对较低。
但因为需要安装在Web应用服务器上,毫无疑问会增加服务器的负担,而且还要考虑到软件的兼容性问题,很多功能也因此受到限制,因此很难实现完整的Web安全防护。
真正的WAF:安全与性能的统一
十年磨一剑,剑才是真正的好剑。一款真正的Web应用防火墙,应该是为了Web应用安全而专门开发的产品,应该是安全和性能的真正统一。例如梭子鱼Web应用防火墙就是一个完整的WAF产品。与传统网络防火墙的低层处理机制以及与IPS对于HTTP、HTTPS和FTP流量的简单操作相比,梭子鱼应用防火墙则对HTTP流量进行代理,并全面扫描7层数据,确保攻击在到达Web服务器之前就将其阻断。
梭子鱼Web应用防火墙能够完全获取和管理Web应用过程中进与出的每一个事务,同时也是一款高性能,双向HTTP代理设备,允许系统管理员针对每一个应用的每一个会话指定精确的安全,内容和流量的规则。
而且,梭子鱼Web应用防火墙的主动防御功能做的非常好,通过对Web应用机理的分析,可以对HTTP流量进行完整的安全扫描,及时发现异常的使用模式并阻止目前未知的攻击方法。例如,通常Web应用程序与Web客户端的信息交流数量是有限的,如果检测到Web服务器正在返回一个比预期大很多的数据量,它就会及时切断传输,以防止更多的数据泄露。
与此同时,梭子鱼Web应用防火墙也提供了基于特征库的防御能力。这是因为梭子鱼追求的是让用户获得真正的安全,而不是概念本身:既然已经知道它就是攻击,可以通过特征库更快地发现并拦截攻击,就没有必要再通过主动防御功能,在消耗大量资源的基础上,再给它下“这就是攻击”的结论。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Web应用防火墙采购须知(二)
Web应用防火墙是复杂的产品,在本文中,专家Brad Causey介绍了在购买Web应用防火墙产品之前企业需要考虑的关键问题。
-
Web应用防火墙采购须知(一)
Web应用防火墙是复杂的产品,在本文中,专家Brad Causey介绍了在购买Web应用防火墙(WAF)产品之前企业需要考虑的关键问题。
-
梭子鱼安全和存储解决方案现已在vCloud Air上线
梭子鱼网络近日宣布梭子鱼下一代防火墙,邮件归档网关,垃圾邮件防火墙和梭子鱼Web应用防火墙现已在VMware Ready-vCloud Air上获得认证。
-
绿盟科技四款产品入围电信集采
在2014年中国电信集团的集采中,绿盟科技4款产品:ADS、IPS、FW、WAF均表现优异,全部入围!这是中国电信集团对绿盟科技产品的认可,也证实了绿盟科技在安全行业领军者的地位。