论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1689阅读
  • 2回复

[求助-软件问题]Web应用防火墙四大功能三种技术分析 [复制链接]

上一主题 下一主题
离线惊鸿一剑
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-07-08 19:06:13
四大功能
  对Web应用防火墙来说,2009年是幸运的一年,因为市场的井喷令所有安全企业兴奋异常。不过需要指出的是,并非对Web服务器提供保护的“盒子”都是Web应用防火墙。事实上,一个标准的Web应用防火墙至少需要具备四大功能。

  第一,安全防护。这很好理解,对于针对Web服务器的攻击要具备防御能力,同时还要对数据泄密具备监管能力。

  第二,加速。除了防护以外,企业用户在网络之中,需要对应用的运转效率进行控制,比如对TCP协议的缓冲,对SSL VPN的加速,对访问管理的卸载,Web应用防火墙必须能够提供相应的加速能力。

  第三,可扩展性。Web应用防火墙在后台连接的时候和Web服务器相关,但不能仅仅防护一台服务器。事实上很多企业的Web服务器数量庞大,Web应用防火墙需要对应用交付和负载均衡提供支持。

  第四,IP审计。Web应用防火墙本身对所有流量进行过滤的时候,本身必须具备一套策略----哪些流量需要阻断,哪些可以放过。这些相关的策略标准与策略模型需要对企业流行的应用进行支持。

  三种技术

  从技术上看,当前市场中的Web应用防火墙分为三种技术类型。第一类是加强型的IPS技术,相当于深度包检测。早期的IPS在包过滤上不是很细致,后来在Web上做了更深入的包检测功能。

  第二类是基于黑名单的技术模型。一些安全公司根据以往的经验,统计全球范围内的攻击人和攻击地区,并基于已知威胁的黑名单进行过滤。

  只要攻击是来自黑名单之上的,就可以进行过滤。

  第三类是基于策略的技术模型。这种产品的设计出发点,是围绕Web应用去进行产品设计的,而不是单纯的去解决Web安全的某一方面问题。其产品设计思路本身基于策略,比如针对Gartner给出的十大类的策略模型。这类产品可以对整个后台系统进行自动监测。除了本身的黑名单,更多是策略。此外要集成应用加速和负载均衡的模块。

  新的范畴

  从技术发展上看,很多Web应用防火墙已经脱离了防火墙本身的范畴了。可以理解为一个Web应用交付平台了。目前真正基于策略的防火墙,还是国外厂商的天下,如F5、Citrix、梭子鱼Netcontinuum。遗憾的是,国内厂商目前还看不到类似的结构。

  Web应用防火墙目前的挑战在于客户接受度。当用户听到Web应用防火墙的时候,必然会想到这种产品与传统防火墙的差异。从设计思路来说,Web应用防火墙与传统防火墙完全不一样。传统防火墙相对简单,可以当作一个硬件盒子进行销售。但是Web应用防火墙是基于策略的,不仅仅是硬件,它与企业的Web安全咨询密切相关,需要与咨询服务结合起来使用。

  从渠道的情况看,普通防火墙基于传统的安全分销商。但是这些渠道去销售Web应用防火墙却很吃力,因为他们无法了解企业的应用,比如OA的特点,MIS是什么系统,ERP怎么运作等。

  不难看出,Web应用防火墙的定义已经不能用传统的防火墙定义加以衡量了。为此,Gartner提出了应用交付的概念。其核心就是对整个企业安全的衡量,已经无法适用单一的标准了,需要将加速、平衡性、安全等各种要素融合在一起。此后还要进行细分,比如Web应用交付网络、邮件应用交付网络,这些都是针对企业的具体应用提供的硬件或解决方案平台。换言之,用户在面对Web应用防火墙的时候,需要考虑自身的应用特点,结合企业的实际情况获取安全价值。
1条评分
寒江雪 电魂 +5 优秀文章 2009-07-08
离线寒江雪
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2009-07-08 21:10:03
防火墙的功能还是很大的,可以适当保护一下。
离线miyamoto1977
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 板凳  发表于: 2009-07-08 22:16:44
现在硬件防火墙不是很多吗