解析如何评估并部署Web应用防火墙
2009-06-11 12:24:30 来源:WEB开发网核心提示:Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁,传统防火墙主要在于保护网络的外围部分,解析如何评估并部署Web应用防火墙,而WAF则部署在Web客户端与Web服务器之间,专家表示,那么Web应用防火墙应该觉有哪些特性?IT专家网总结发现,以下这些特性是WAF应该具
Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。传统防火墙主要在于保护网络的外围部分,而WAF则部署在Web客户端与Web服务器之间。专家表示,Web应用防火墙的最大好处是,帮助分析应用层的流量以发现任何违法安全政策的安全问题。
虽然某些传统的防火墙能够提供某种程度的应用方面的保护,但是从针对性和范围来看,都比不上WAF。举例来说,WAF可以检测出应用程序是否以其规定的方式在运行,并且能够帮助你编写更具体的安全政策以防止同样的事情再次发生。
WAF与入侵防御系统(IPS)也存在差异,Gartner的分析师Greg Young表示,“这是一种非常不同的技术,它不是基于签名,而是从行为来分析,它能够帮助减少你自己无意中可能制造的漏洞问题,”
目前使用WAF的主要驱动力来自于支付卡行业数据安全标准(PCI DSS),该标准主要通过两个办法来审查是否合规:WAF和代码审查。另外一个驱动力就是,大家越来越多的意识到攻击已经开始由网络转移到应用程序。WhiteHat Security在2006月到2008年12月间对877个网站进行了评估,结果发现82%至少存在某种重要的紧急的系统严重性。
Web应用防火墙(WAF)的主要特性
Web应用防火墙市场仍然还不是很明确,有很多相似的产品被归类到WAF范围内。专家指出,“很多产品能够提供远远高于防火墙的功能,这使产品很难进行评估和比较。”此外,新的供应商也开始不断涌入市场,主要通过将已有的非WAF产品整合为综合产品。
那么Web应用防火墙应该觉有哪些特性?IT专家网总结发现,以下这些特性是WAF应该具备的:
·对HTTP有非常深入的理解,WAF必须能够深入分析和解析HTTP的有效性。
更多精彩
赞助商链接