WEB应用防火墙之前世今生——误读

安全
Web安全问题的技术根源和攻击方法的演进在全球范围内是一样的,所以不管在国内还是国外,WEB应用防火墙(WAF)必定会成为主流的Web应用安全解决方案。

您购买的是WEB应用防火墙吗?

Web安全问题的技术根源和攻击方法的演进在全球范围内是一样的,所以不管在国内还是国外,WEB应用防火墙(WAF)必定会成为主流的Web应用安全解决方案。

不过,有些用户一度认为另外一个产品就是WEB应用防火墙,它就是网页防篡改系统。网页篡改始终是令国内网站头疼的Web安全问题。而且,此类攻击的数量还在呈现上升的趋势。政府门户网站、高校、企业、运营商的网站都出现过严重的网页篡改事件。因此,网页防篡改系统迅速流行起来。

网页防篡改系统是一种软件解决方案,它的防护效果直接,但是它的部署位置和基本原理决定了,它只能保护静态页面,而无法保护动态页面。梭子鱼公司中国总经理何平表示,为了解决这个问题,有些网页防篡改系统供应商提出在Web服务器上再安装诸如"SQL注入防护模块"的方案,但这会影响Web服务器性能,而且对动态页面的篡改方法远远不只是"SQL注入",这种打补丁的方案从长远来看是不行的。

何平笑称网页防篡改系统是乞丐版的WEB应用防火墙。而网页防篡改系统的不足,恰恰是WEB应用防火墙的优势。它部署在网络中,深入分析HTTP协议流量,在全面防御各种Web安全威胁的同时,对Web服务器没有任何干扰,从根本上解决了包括网页篡改在内的主要Web安全问题。

还有一类名为Web实时监控与检测的硬件产品,具有Web漏洞检测、网页篡改识别、木马检测、Web内容审计等检测技术;实现了对各种Web攻击、威胁和事件的一体化综合监控,能够自动化完成大规模网站的集中监控和安全态势分析工作。虽然该产品可以在很大程度上解决网站安全问题,但它在侧重检测的同时却缺乏足够的防御能力。为了主动防御未知威胁,它也必将发展演进为WEB应用防火墙。

何平指出,目前中国的WEB应用防火墙市场仍处在市场培育期。由于中国认证中心、公安部等权威机构尚未出台WEB应用防火墙产品的标准,所以一些只具备部分WAF功能的产品也打着WEB应用防火墙的旗号进行销售,混淆用户的试听,希望用户在购买WEB应用防火墙产品时擦亮眼睛,多进行分析比较。

 

【编辑推荐】

  1. WEB应用防火墙之前世今生——概况
  2. WEB应用防火墙之前世今生——缘起
  3. “SQL注入”的前世今生和防御思路
  4. 对搜狐、网易和TOM三大门户网站的SQL注入漏洞检测
责任编辑:佟健 来源: 51CTO.com
相关推荐

2010-12-06 19:22:36

2010-11-09 12:23:02

2010-11-16 16:43:17

2011-08-12 16:06:01

2011-03-25 11:18:51

2013-02-21 10:25:57

2010-10-25 12:07:51

2010-05-24 17:49:56

2011-03-25 11:06:46

2011-02-17 18:30:25

2011-05-10 09:17:01

2011-02-15 18:38:49

2010-07-07 20:06:53

2021-06-25 18:35:30

Web应用防火墙

2010-07-12 11:33:52

2010-07-12 11:41:55

2011-09-15 17:03:44

2010-12-21 18:04:26

2009-04-28 09:12:35

Web应用防火墙梭子鱼

2009-04-29 14:51:18

点赞
收藏

51CTO技术栈公众号