众多政府对外服务网站、IDC托管服务器、电子交易网站等Web应用系统长期以来一直被Web应用攻击所困扰,随之而来的是名誉受损、客户投诉、法律纠纷、商业损失等一系列问题。部署专业的针对Web应用交互数据进行检测并提供防御的产品成为一种很有必要的选择。然而,迄今为止,前面提到的这种产品,也就是Web应用防火墙(WEB应用防火墙)在国内的成长之路并不平坦。
由于国内相关机构尚未WEB应用防火墙产品做出明确的定义,而又不能用传统防火墙的技术标准来对WEB应用防火墙进行检测,所以相关厂商在将WEB应用防火墙送检时只能将其称为“Web应用策略控制器”、“Web应用防护设备”,或者“Web应用安全网关”。
梭子鱼公司中国总经理何平说:“标准的缺失使得WEB应用防火墙产品之间没有可比性,也降低了市场进入的门槛。现在市场上存在着大量的伪WEB应用防火墙产品,加上不少用户对WEB应用防火墙的认识不够清晰,这两个因素直接导致WEB应用防火墙产品陷入了价格战。”目前,国内的WEB应用防火墙市场还处于一个混沌期,要想拿出一个比较成型的标准,还需要一两年的时间。何平表示,随着国内用户需求的逐渐清晰和细化,WEB应用防火墙产品的事实标准将逐渐形成。
在国外,WEB应用防火墙的评价标准正在逐步完善中。WASC(Web Application Security Consortium,Web应用安全协会)是一家非赢利的国际性专家社团,该组织推出了WAFEC(Web Application Firewall Evaluation Criteria,WEB应用防火墙评价标准),目的是研究出一套WEB应用防火墙的评价标准,同时研究出一套测试方法,使得有经验的工程师可以使用WAFEC中提到的知识,独立地对WEB应用防火墙产品的优劣进行测试和评价。WAFEC现在被越来越多的厂家和用户用来评测WEB应用防火墙,该评价标准主要包括以下几个方面:部署模式、HTTP协议支持、检测技术、防御技术、审计、报告、管理、性能、XML、主动学习、认证等。
有了这个标准,用户就可以去准确地比较和评价WEB应用防火墙产品。据何平介绍,梭子鱼的WEB应用防火墙产品完全符合WAFEC的评估标准。同时,梭子鱼也在密切跟踪WASC的研究成果,时刻保持产品的技术领先性。