解读:WEB应用防火墙之前世今生

来源:kaiyun体育官方人口   
2010/11/9 10:26:54
由于WEB应用防火墙的名字中有“防火墙”三个字,所以有很多用户总是把WAF看作是一种新的防火墙。

本文关键字: WEB应用防火墙 梭子鱼

早在2004年,国外一些安全厂商就提出了WEB应用防火墙(Web Application Firewall,简称WAF)的概念,并开始了逐步的尝试(例如梭子鱼网络有限公司将Netcontinuum公司纳入旗下,当时的Netcontinuum就是这一领域的先行者,其解决方案包含网站的网络应用安全、通信管理和SSL加速等),但当时很多企业用户对此的认识还比较模糊。随着互联网的普及,企业的Web应用越来越多,而来自于Web的信息安全风险也越发突出。

由于美国的各种企业都有自己的Web应用系统来为客户提供在线支付,而这些Web应用系统中具有较高商业价值的数据引起了黑客的高度关注,出现了许多安全事件,包括信用卡信息被窃取。不但给企业造成了直接损失,还威胁到了整个银行卡在线支付业务模式的推广。

于是,支付卡行业安全标准委员会发布了支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)。PCI DSS法规6.6要求机构检查自身Web应用程序的所有代码,或者安装一个WAF来防范已知的攻击方式。该法规对WAF产品的发展产生了持续、强大的驱动力。国外的所有WAF厂商都把符合PCI DSS法规看作是产品最重要的技术指标。

现在,在权威测试机构的WAF产品通用测试标准(并不针对某个行业)中,也把PCI DSS作为参照。凭借PCI DSS法规的大力支持,在2008年,国外WAF应用进入了成熟化与普及化时代。目前最新的PCI DSS是2009年8月发布的1.2.1版本。

由于WEB应用防火墙的名字中有“防火墙”三个字,所以有很多用户总是把WAF看作是一种新的防火墙。实际上,WEB应用防火墙、传统防火墙、Web安全网关这三者之间有很大的差别,它们在不同的层面保护企业安全。我们上文提到的梭子鱼网络有限公司,其中国区技术总监谷新先生就曾对此做过详细解释,传统防火墙专注在网络层面,提供IP、端口防护。Web安全网关保护企业的上网行为免受侵害。而WAF是专门为保护基于Web的应用程序而设计的,它不像传统的防火墙基于互联网地址和端口号来监控和阻止数据包。企业将WAF部署在Web服务器之前,就是从网站应用的角度去考虑安全问题。

WAF检查每一个传入的数据包的内容来检测SQL注入、跨站点脚本、会话劫持、篡改参数或URL等类型的攻击。例如,WAF会扫描SQL查询字符串,来检测和删除那些导致返回的数据多于应用程序要求的字符串。

责编:杨雪姣
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map