首页

梭子鱼GRANT MURPHY:WAF是强不是墙


跟着下一代防火墙的的正式宣布,“Web应用安然、云安然、安然虚拟化与下一代防火墙”已成为2011年梭子鱼全体应用安然领域的关键词,2011年5月,梭子鱼全球市场拓展副总裁GRANT MURPHY 来到上海,跟大年夜家分享了更多关于梭子鱼下一代防火墙的产品动向及企业构造。
 
对于此次来访中国,GRANT MURPHY 发明一个很有意思的现象,那就是他发明国内的很多客户在面对安然局面的变革及不合的平顺产品的革故鼎新,对于WEB应用防火墙(以下简称WAF)还不是很理解,很多用户认为他们的IDS、IPS就是WAF,就能保护Web网站。事实IDS、IPS确实可以保护收集,然则不能辨卖力正的基于七层的Web应用的进击,因为IPS、IDS更多的是依附于特点控码,所以不能对这种Web进击进行一种主动的防御。国内有些厂家也推出了WEB应用防火墙,实际上他们的WEB应用防火墙就是IPS的更名而已。
 
那么真正的WAF应当具有如何的特点呢?面对记者的提问,GRANT MURPHY也为我们做了更具体的解析,他提到了五点将WAF与IPS、IDS区分的特点:
 
第一、要有合规性,在美国有很多相干的法律,包括(6:30)IDS就规定了,要从事网上交易就要安排相似象 WEB应用防火墙这类的产品。这就须要合规性,因为合规性不仅请求安排,还须要审计的一些功能,而真正的WAF是须要有这方面的功能。
 
第二、真正的WAF要可以或许供给Web应用的这种防护。尤其象国际上有个组织叫OWASP,是专门研究Web进击的,并且这个组织可以给这种Web应用开辟供给一些平安方面的建议,所以它每年也会宣布这种Top10针对Web应用的进击行动。所以真正的WAF要能供给这种Top10的进击行动的防护。
 
第三、真正的WAF还要可以或许防护的是Web网站的架构,这个就和IPS、IDS有一个明显的差别,IPS、IDS是安排在网关处的,不是专门用在针对Web网站,所以说真正的WAF是仅仅对Web网站做防护的。
 
第四、WAF要有日制报表的功能,把受到的进击可以展现出来,并且可以或许进行剖析,可以具体系体例作成日志报表功能。这也是真正的WAF所必须具备的。
 
最后、真的WAF要具有安然的机能,因为平安会降低Web应用的交付,还有一些干系机能的晋升,有些WAF产品捐躯了安然性以担保可用性,象梭子鱼WAF就是可以做到安然性和可用性相统一的。如今很多的应用都是Web应用,很多的用户也在应用Web应用,要能对这些用户的行动进行掌握,尤其是平安方面的,这样的WAF才是真正的WAF。
 
面对日新月异的技能成长,瞻望Web防火墙将来的成长趋向,GRANT MURPHY表现WAF的将来是朝着虚拟化的偏向成长。如今虚拟化是个成长趋向,所以很多企业都有响应虚拟化的架构,这时刻就很随便马猛将Web防火墙应用到他的虚拟架构里面。这并不是把他寄存到一个设备里面,而是把他寄存到一个架构平台里面,这样有助于他的治理,从物理上看它是晋升到一个设备里面,它在一台办事器或干事器群,但实际上是一个虚拟化的架构,有不合的应用。如今很多企业的用户并没有把Web的应用放在本地而是托管在数据中心里面,但托管在数据中间里并不是特别关注在应用层的安然,更多的是用户的拜访,办事器的机能。并且这些托管的数据中心往往采用的虚拟机的架构,这个时刻假如采用虚拟化的Web用户的解决筹划,可以晋升Web应用安然方面的重心。GRANT MURPHY 猜测在两年往后梭子鱼的WAF软件会以软件包的情势运营在虚拟机上。
 
对于梭子鱼已推出的NG Firewall和WAF两个重要的安然防护的产品,GRANT MURPHY 也说清楚明了两者间功能与技能上的差别。NG Firewall的功能不仅仅限于七层的防护,包含对流量的优化,特别是介入面的流量优化、掌握,当然也包含七层的应用层的防护,以及交付方面的一些优化,然则WAF防护墙只是对七层的Web应用层的防护,并且这种防护是更深条理具体的的过滤内容,NG Firewall 对应用的防护,不仅仅是对Web应用防护,他可以说对所有的应用都供给防护。WAF供给了对Web应用的主动的防御,但NG Firewall对应用的防护更多的是基于被动的防护,所有被动防御有点相似于IPS、IDS的技能,所以这两个产品是面向两个不合的领域,NG Firewall更广,可谓是广而泛,WAF更深,可谓窄而深。
 
对于NG Firewall和WAF的安然应用选择,企业用户也应理解若何甄别真正适合本身的安然产品,假如企业Web应用不长短常关键,不须要网上交易,那NG Firewall足以满足用户的需求。NGFW内部集成高质量的IPS功能,可以对所有已知的进击行动进行防御,以保护全体收集;而WAF则专门对WEB网站进行防护,WAF的价值更多表如今主动防御和深条理的专业WEB防御。但对那些Web应用异常关键的企业,上述WAF可供给的功能就异常重要了,这个时刻光安排NG Firewall是不敷的,因为NG Firewall的应用层防护不是主动的,他是有特点库的,假如你的破绽它没有被公布出来,然则黑客已经知道了,这个就是NG Firewall应用IPS解决不了的,因为NG Firewall具有特点暗码,这个特点暗码没有,那么它还是能产生进击,这个时刻还要依附WAF,WAF是专门针对Web应用防护的,把它做得更深。但对一般企业Web防御异常关键,必定只能应用WAF。
 
固然国内的安然市场相对于国外还有很多方面不足规范,但面对中国这个巨大年夜的市场,梭子鱼将更多的致力于对中国市场的连续开拓,面对之前梭子鱼中国区总经理何平提出的国内防火墙均匀增长200%,将来的三年也会平均增长达500%,梭子鱼全球也提出将会增强调剂不合的人员力量帮助中国进入企业级市场,以此来完成国内市场的拓展并完成一个高速的增加,这也为梭子鱼下一代防火墙更深的进入中国市场的开辟注入了强而有力的定心剂。