隨著下一代防火墻的的正式發(fā)布，“Web應(yīng)用安全、云安全、安全虛擬化與下一代防火墻”已成為2011年梭子魚整個應(yīng)用安全領(lǐng)域的關(guān)鍵詞，2011年5月，梭子魚全球市場拓展副總裁GRANT MURPHY  來到上海，跟大家分享了更多關(guān)于梭子魚下一代防火墻的產(chǎn)品動向及企業(yè)布局。

對于這次來訪中國，GRANT MURPHY 發(fā)現(xiàn)一個很有意思的現(xiàn)象，那就是他發(fā)現(xiàn)國內(nèi)的很多客戶在面對安全局勢的變化及不同的安全產(chǎn)品的推陳出新，對于WEB應(yīng)用防火墻（以下簡稱WAF）還不是很了解，很多用戶認(rèn)為他們的IDS、IPS就是WAF，就能保護Web網(wǎng)站。事實IDS、IPS確實可以保護網(wǎng)絡(luò)，但是不能識別真正的基于七層的Web應(yīng)用的攻擊，因為IPS、IDS更多的是依賴于特征控碼，所以不能對這種Web攻擊進行一種主動的防御。國內(nèi)有些廠家也推出了WEB應(yīng)用防火墻，實際上他們的WEB應(yīng)用防火墻就是IPS的改名而已。

那么真正的WAF應(yīng)該具有怎樣的特性呢？面對記者的提問，GRANT MURPHY也為我們做了更詳細(xì)的解析，他提到了五點將WAF與IPS、IDS區(qū)分的特性：

第一、要有合規(guī)性，在美國有很多相關(guān)的法律，包括（6:30）IDS就規(guī)定了，要從事網(wǎng)上交易就要部署類似象 WEB應(yīng)用防火墻這類的產(chǎn)品。這就需要合規(guī)性，因為合規(guī)性不僅要求部署，還需要審計的一些功能，而真正的WAF是需要有這方面的功能。

第二、真正的WAF要能夠提供Web應(yīng)用的這種防護。尤其象國際上有個組織叫OWASP，是專門研究Web攻擊的，而且這個組織可以給這種Web應(yīng)用開發(fā)提供一些安全方面的建議，所以它每年也會發(fā)布這種Top10針對Web應(yīng)用的攻擊行為。所以真正的WAF要能提供這種Top10的攻擊行為的防護。

第三、真正的WAF還要能夠防護的是Web網(wǎng)站的架構(gòu)，這個就和IPS、IDS有一個明顯的區(qū)別，IPS、IDS是布置在網(wǎng)關(guān)處的，不是專門用在針對Web網(wǎng)站，所以說真正的WAF是僅僅對Web網(wǎng)站做防護的。

第四、WAF要有日制報表的功能，把受到的攻擊可以展示出來，并且能夠進行分析，可以詳細(xì)制作成日志報表功能。這也是真正的WAF所必須具備的。

最后、真的WAF要具有安全的性能，因為安全會降低Web應(yīng)用的交付，還有一些相關(guān)性能的提升，有些WAF產(chǎn)品犧牲了安全性以保證可用性，象梭子魚WAF就是可以做到安全性和可用性相統(tǒng)一的�，F(xiàn)在很多的應(yīng)用都是Web應(yīng)用，很多的用戶也在使用Web應(yīng)用，要能對這些用戶的行為進行控制，尤其是安全方面的，這樣的WAF才是真正的WAF。

面對日新月異的技術(shù)發(fā)展，展望Web防火墻未來的發(fā)展趨勢，GRANT MURPHY表示W(wǎng)AF的未來是朝著虛擬化的方向發(fā)展�，F(xiàn)在虛擬化是個發(fā)展趨勢，所以很多企業(yè)都有相應(yīng)虛擬化的架構(gòu)，這時候就很容易將Web防火墻應(yīng)用到他的虛擬架構(gòu)里面。這并不是把他寄存到一個設(shè)備里面，而是把他寄存到一個架構(gòu)平臺里面，這樣有助于他的管理，從物理上看它是提升到一個設(shè)備里面，它在一臺服務(wù)器或服務(wù)器群，但實際上是一個虛擬化的架構(gòu)，有不同的運用�，F(xiàn)在很多企業(yè)的用戶并沒有把Web的應(yīng)用放在本地而是托管在數(shù)據(jù)中心里面，但托管在數(shù)據(jù)中心里并不是特別關(guān)注在應(yīng)用層的安全，更多的是用戶的訪問，服務(wù)器的性能。而且這些托管的數(shù)據(jù)中心往往采用的虛擬機的架構(gòu)，這個時候如果采用虛擬化的Web用戶的解決方案，可以提升Web應(yīng)用安全方面的重心。GRANT MURPHY 預(yù)測在兩年以后梭子魚的WAF軟件會以軟件包的形式運營在虛擬機上。

對于梭子魚已推出的NG Firewall和WAF兩個重要的安全防護的產(chǎn)品，GRANT MURPHY  也解釋了兩者間功能與技術(shù)上的區(qū)別。NG Firewall的功能不僅僅限于七層的防護，包括對流量的優(yōu)化，特別是介入面的流量優(yōu)化、控制，當(dāng)然也包括七層的應(yīng)用層的防護，以及交付方面的一些優(yōu)化，但是WAF防護墻只是對七層的Web應(yīng)用層的防護，而且這種防護是更深層次詳細(xì)的的過濾內(nèi)容，NG Firewall 對應(yīng)用的防護，不僅僅是對Web應(yīng)用防護，他可以說對所有的應(yīng)用都提供防護。WAF提供了對Web應(yīng)用的主動的防御，但NG  Firewall對應(yīng)用的防護更多的是基于被動的防護，所有被動防御有點類似于IPS、IDS的技術(shù)，所以這兩個產(chǎn)品是面向兩個不同的領(lǐng)域，NG Firewall更廣，可謂是廣而泛，WAF更深，可謂窄而深。

對于NG Firewall和WAF的安全應(yīng)用選擇，企業(yè)用戶也應(yīng)懂得如何甄別真正適合自己的安全產(chǎn)品，如果企業(yè)Web應(yīng)用不是非常關(guān)鍵，不需要網(wǎng)上交易，那NG Firewall足以滿足用戶的需求。NGFW內(nèi)部集成高質(zhì)量的IPS功能，可以對所有已知的攻擊行為進行防御，以保護整個網(wǎng)絡(luò)；而WAF則專門對WEB網(wǎng)站進行防護，WAF的價值更多體現(xiàn)在主動防御和深層次的專業(yè)WEB防御。但對那些Web應(yīng)用非常關(guān)鍵的企業(yè)，上述WAF可提供的功能就非常重要了，這個時候光部署NG Firewall是不夠的，因為NG Firewall的應(yīng)用層防護不是主動的，他是有特征庫的，假如你的漏洞它沒有被公布出來，但是黑客已經(jīng)知道了，這個就是NG Firewall運用IPS解決不了的，因為NG Firewall具有特征密碼，這個特征密碼沒有，那么它還是能產(chǎn)生攻擊，這個時候還要依靠WAF，WAF是專門針對Web應(yīng)用防護的，把它做得更深。但對一般企業(yè)Web防御非常關(guān)鍵，一定只能運用WAF。

雖然國內(nèi)的安全市場相對于國外還有很多方面不夠規(guī)范，但面對中國這個巨大的市場，梭子魚將更多的致力于對中國市場的持續(xù)開拓，面對之前梭子魚中國區(qū)總經(jīng)理何平提出的國內(nèi)防火墻平均增長200%,未來的三年也會平均增長達500%，梭子魚全球也提出將會加強調(diào)整不同的人員力量幫助中國進入企業(yè)級市場，以此來完成國內(nèi)市場的拓展并完成一個高速的增長，這也為梭子魚下一代防火墻更深的進入中國市場的開拓注入了強而有力的定心劑。

更多梭子魚WEB應(yīng)用防火墻和下一代防火墻產(chǎn)品信息，可登錄梭子魚官方主頁：www.barracudanetworks.com.cn

標(biāo)簽： web應(yīng)用防火墻 安全 防火墻 服務(wù)器 漏洞 網(wǎng)絡(luò) 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。