走出Web应用防火墙认识误区系列之三

导读：Web应用的日益普及和Web攻击的与日俱增，让Web安全问题备受关注。但对于正常流量中的危险分子，传统的安全产品根本无能为力，此时，我们该靠什么来保护Web应用？Web应用防火墙无疑是最佳之选。但Web应用防火墙究竟是什么？它和传统的安全产品有什么不同？应用起来又有要注意什么？请看《走出Web应用防火墙认识误区》系列文章。

WAF和WAF也不一样

PCI DSS法规本身给WAF产品陆续的发展产生了持续、强大的驱动力，而Web应用本身的蓬勃发展也让安全主战场逐渐向Web应用层过渡，于是，各个安全厂商纷纷推出WAF产品，以便尽快抢占市场份额。因此，尽管同是Web应用防火墙，但WAF和WAF也是有差别的。

IPS变身WAF：基于被动特征库

Web应用防火墙中，有一部分由IPS转变而来的。这类WAF产品在IPS的特征库防御技术基础上增加了主动防御模式，从而实现Web应用安全，产品容易开发，也很容易切入市场。
然而，IPS本身基于特征库的特性，使得这类Web应用防火墙对于很多威胁的防范是无能为力的。而且，尽管其中增加了主动防御能力，但通常做得不够深入。

软件WAF：增加负担还受限制

还有一类Web应用防火墙，采用的是纯粹的软件形式，需要嵌入到Web应用服务器里。
这种类型的WAF，具备软件产品通常的优势，安装简单，只需安装在Web应用服务器上，用户无需单独采购硬件，因此采购成本相对较低。
但因为需要安装在Web应用服务器上，毫无疑问会增加服务器的负担，而且还要考虑到软件的兼容性问题，很多功能也因此受到限制，因此很难实现完整的Web安全防护。

真正的WAF：安全与性能的统一

十年磨一剑，剑才是真正的好剑。一款真正的Web应用防火墙，应该是为了Web应用安全而专门开发的产品，应该是安全和性能的真正统一。
例如梭子鱼Web应用防火墙就是一个完整的WAF产品。与传统网络防火墙的低层处理机制以及与IPS对于HTTP、HTTPS和FTP流量的简单操作相比，梭子鱼应用防火墙则对HTTP流量进行代理，并全面扫描7层数据，确保攻击在到达Web服务器之前就将其阻断。
梭子鱼Web应用防火墙能够完全获取和管理Web应用过程中进与出的每一个事务，同时也是一款高性能，双向HTTP代理设备，允许系统管理员针对每一个应用的每一个会话指定精确的安全，内容和流量的规则。
而且，梭子鱼Web应用防火墙的主动防御功能做的非常好，通过对Web应用机理的分析，可以对HTTP流量进行完整的安全扫描，及时发现异常的使用模式并阻止目前未知的攻击方法。例如，通常Web应用程序与Web客户端的信息交流数量是有限的，如果检测到Web服务器正在返回一个比预期大很多的数据量，它就会及时切断传输，以防止更多的数据泄露。
与此同时，梭子鱼Web应用防火墙也提供了基于特征库的防御能力。这是因为梭子鱼追求的是让用户获得真正的安全，而不是概念本身：既然已经知道它就是攻击，可以通过特征库更快地发现并拦截攻击，就没有必要再通过主动防御功能，在消耗大量资源的基础上，再给它下“这就是攻击”的结论。

关于梭子鱼网络有限公司

2004年，梭子鱼网络有限公司正式进入中国,经过数年来对中国市场的不断了解和深入接触，梭子鱼网络有限公司充分把握中国企业用户对围绕其关键业务的网络应用问题和需求，结合国内用户的实际网络环境，提供全面的智能应用交付、安全产品及其解决方案。梭子鱼设立的本土化专业技术服务团队，为国内广大企业用户即时在线提供强大的技术支持和服务。梭子鱼企业级应用安全解决方案（包括垃圾邮件防火墙、负载均衡机、WEB应用防火墙、邮件归档网关等系列产品）广泛适用于大型企业、中小型企业和政府机构等。综合了众多强大功能的梭子鱼产品,兼具易用性和稳定性,赢得了来自客户的广泛赞誉和媒体、评测机构如潮的好评。
目前，梭子鱼中国已为国内2000多家企事业单位的网络及其应用提供了安全保障，主要客户包括河北省政府、山东省政府、浙江联通、山东网通、广州电信、中国金融期货交易所、大连商品交易所、武汉商业银行、华泰证券、国电电力\中海油集团、上汽集团、一汽集团、盛大网络、当当网等。

标签： https web服务器 web应用防火墙 安全 防火墙 服务器 金融 媒体 评测 网络 网络防火墙 应用服务器

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。