企业选购web应用防火墙服务器三部曲

WAF也与入侵检测系统不同。它是一种非常不同的技术——它不是基于特征，它是基于行为的，它防止那些用户无意中制造的漏洞被利用。

专注于为中小企业提供成都网站建设、成都做网站服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业青山免费做网站提供优质的服务。我们立足成都，凝聚了一批互联网行业人才，有力地推动了上1000家企业的稳健成长，帮助中小企业通过网站建设实现规模扩充和转变。

尽管一些传统的防火墙提供某种程度的应用意识，但它不具有WAF提供的颗粒度和专一性。例如，WAF可以检测应用程序的行为是否像它设计的那样，WAF使用户能够编写特殊的规则来防止这些攻击再次发生。

当前，推动WAF发展的主要因素之一是支付卡行业数据安全标准(PCI DSS)。这项标准规定了两种取得遵从性的途径：WAF和代码审查。但是，另一个推动因素是人们越来越意识到攻击目标由网络转向应用。WhiteHat Security进行的一项研究发现，82%的网站至少存在一个程度为高风险、危急或严重的问题。这项研究从2006年1月到2008年12月对877个网络进行了调查。

WAF的主要属性

Web 应用防火墙市场仍没有得到明确的定义，许多不同的产品都归在了WAF的名下。Burton Group分析师Ramon Krikken说：“许多产品提供的功能超出了人们对防火墙的原有认识。此外，新厂商通过将已有的非WAF扩展为WAF集成产品，开始进入这个市场细分。”

根据研究咨询机构Xiom创建人Ofer Shezaf提供的清单，我们给出了以下WAF应当具备的属性：

1.深入了解HTTP。WAF若要有效就必须完全解析和分析HTTP。

2.提供正面的安全模型。正面的安全政策只允许被认为合法的传输流通过。这种有时叫做“白名单”的特性为应用提供外部输入确认保护。

3.应用层规则。由于高性能成本，正面安全模型应当利用基于特征的系统来加强。但是由于Web应用是定制编码的，针对已知安全漏洞的传统特征不再有效。WAF规则应当普遍适用，能够检测攻击(如SQL注入)的变种。

4.基于会话的保护。HTTP最大的缺点之一就是缺少内建的可靠会话机制。WAF必须弥补应用会话管理的不足，保护它免受基于会话的和长时间的攻击。

5.提供细粒度的政策管理。例外应当只适用于应用的很小部分。否则，假报警将造成巨大的安全缝隙。

WAF的选购原则希望大家通过以上的叙述已经了解，还请大家多多关注这方面的知识。本站的相关资源是很多的，请大家阅读：http://netsecurity./col/564/

【编辑推荐】

1. WAF采购要点大揭密
2. WAF防护核心WEB应用
3. 保护Web应用 WAF助力
4. 解析WAF防护核心WEB应用
5. Web应用程序防火墙（WAF）将无处不在

标题名称：企业选购web应用防火墙服务器三部曲
本文URL：http://www.shufengxianlan.com/qtweb/news42/277592.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联