梭子鱼全球市场拓展副总裁解析WAF与IPS IDS的区别

【.com综合报道】随着下一代防火墙的的正式发布，“Web应用安全、云安全、安全虚拟化与下一代防火墙”已成为2011年梭子鱼整个应用安全领域的关键词，2011年5月，梭子鱼全球市场拓展副总裁GRANT MURPHY  来到上海，跟大家分享了更多关于梭子鱼下一代防火墙的产品动向及企业布局。

对于这次来访中国，GRANT MURPHY 发现一个很有意思的现象，那就是他发现国内的很多客户在面对安全局势的变化及不同的安全产品的推陈出新，对于WEB应用防火墙（以下简称WAF）还不是很了解，很多用户认为他们的IDS、IPS就是WAF，就能保护Web网站。事实IDS、IPS确实可以保护网络，但是不能识别真正的基于七层的Web应用的攻击，因为IPS、IDS更多的是依赖于特征控码，所以不能对这种Web攻击进行一种主动的防御。国内有些厂家也推出了WEB应用防火墙，实际上他们的WEB应用防火墙就是IPS的改名而已。

那么真正的WAF应该具有怎样的特性呢？面对记者的提问，GRANT MURPHY也为我们做了更详细的解析，他提到了五点将WAF与IPS、IDS区分的特性：

第一、要有合规性，在美国有很多相关的法律，包括（6:30）IDS就规定了，要从事网上交易就要部署类似象 WEB应用防火墙这类的产品。这就需要合规性，因为合规性不仅要求部署，还需要审计的一些功能，而真正的WAF是需要有这方面的功能。

第二、真正的WAF要能够提供Web应用的这种防护。尤其象国际上有个组织叫OWASP，是专门研究Web攻击的，而且这个组织可以给这种Web应用开发提供一些安全方面的建议，所以它每年也会发布这种Top10针对Web应用的攻击行为。所以真正的WAF要能提供这种Top10的攻击行为的防护。

第三、真正的WAF还要能够防护的是Web网站的架构，这个就和IPS、IDS有一个明显的区别，IPS、IDS是布置在网关处的，不是专门用在针对Web网站，所以说真正的WAF是仅仅对Web网站做防护的。

第四、WAF要有日制报表的功能，把受到的攻击可以展示出来，并且能够进行分析，可以详细制作成日志报表功能。这也是真正的WAF所必须具备的。

最后、真的WAF要具有安全的性能，因为安全会降低Web应用的交付，还有一些相关性能的提升，有些WAF产品牺牲了安全性以保证可用性，象梭子鱼WAF就是可以做到安全性和可用性相统一的。现在很多的应用都是Web应用，很多的用户也在使用Web应用，要能对这些用户的行为进行控制，尤其是安全方面的，这样的WAF才是真正的WAF。

面对日新月异的技术发展，展望Web防火墙未来的发展趋势，GRANT MURPHY表示WAF的未来是朝着虚拟化的方向发展。现在虚拟化是个发展趋势，所以很多企业都有相应虚拟化的架构，这时候就很容易将Web防火墙应用到他的虚拟架构里面。这并不是把他寄存到一个设备里面，而是把他寄存到一个架构平台里面，这样有助于他的管理，从物理上看它是提升到一个设备里面，它在一台服务器或服务器群，但实际上是一个虚拟化的架构，有不同的运用。现在很多企业的用户并没有把Web的应用放在本地而是托管在数据中心里面，但托管在数据中心里并不是特别关注在应用层的安全，更多的是用户的访问，服务器的性能。而且这些托管的数据中心往往采用的虚拟机的架构，这个时候如果采用虚拟化的Web用户的解决方案，可以提升Web应用安全方面的重心。GRANT MURPHY 预测在两年以后梭子鱼的WAF软件会以软件包的形式运营在虚拟机上。

对于梭子鱼已推出的NG Firewall和WAF两个重要的安全防护的产品，GRANT MURPHY  也解释了两者间功能与技术上的区别。NG Firewall的功能不仅仅限于七层的防护，包括对流量的优化，特别是介入面的流量优化、控制，当然也包括七层的应用层的防护，以及交付方面的一些优化，但是WAF防护墙只是对七层的Web应用层的防护，而且这种防护是更深层次详细的的过滤内容，NG Firewall 对应用的防护，不仅仅是对Web应用防护，他可以说对所有的应用都提供防护。WAF提供了对Web应用的主动的防御，但NG Firewall对应用的防护更多的是基于被动的防护，所有被动防御有点类似于IPS、IDS的技术，所以这两个产品是面向两个不同的领域，NG Firewall更广，可谓是广而泛，WAF更深，可谓窄而深。

对于NG Firewall和WAF的安全应用选择，企业用户也应懂得如何甄别真正适合自己的安全产品，如果企业Web应用不是非常关键，不需要网上交易，那NG Firewall足以满足用户的需求。NGFW内部集成高质量的IPS功能，可以对所有已知的攻击行为进行防御，以保护整个网络；而WAF则专门对WEB网站进行防护，WAF的价值更多体现在主动防御和深层次的专业WEB防御。但对那些Web应用非常关键的企业，上述WAF可提供的功能就非常重要了，这个时候光部署NG Firewall是不够的，因为NG Firewall的应用层防护不是主动的，他是有特征库的，假如你的漏洞它没有被公布出来，但是黑客已经知道了，这个就是NG Firewall运用IPS解决不了的，因为NG Firewall具有特征密码，这个特征密码没有，那么它还是能产生攻击，这个时候还要依靠WAF，WAF是专门针对Web应用防护的，把它做得更深。但对一般企业Web防御非常关键，一定只能运用WAF。

虽然国内的安全市场相对于国外还有很多方面不够规范，但面对中国这个巨大的市场，梭子鱼将更多的致力于对中国市场的持续开拓，面对之前梭子鱼中国区总经理何平提出的国内防火墙平均增长200%,未来的三年也会平均增长达500%，梭子鱼全球也提出将会加强调整不同的人员力量帮助中国进入企业级市场，以此来完成国内市场的拓展并完成一个高速的增长，这也为梭子鱼下一代防火墙更深的进入中国市场的开拓注入了强而有力的定心剂。