混沌中的等待

众多政府对外服务网站、IDC托管服务器、电子交易网站等Web应用系统长期以来一直被Web应用攻击所困扰，随之而来的是名誉受损、客户投诉、法律纠纷、商业损失等一系列问题。部署专业的针对Web应用交互数据进行检测并提供防御的产品成为一种很有必要的选择。然而，迄今为止，前面提到的这种产品，也就是Web应用防火墙（WEB应用防火墙）在国内的成长之路并不平坦。

由于国内相关机构尚未WEB应用防火墙产品做出明确的定义，而又不能用传统防火墙的技术标准来对WEB应用防火墙进行检测，所以相关厂商在将WEB应用防火墙送检时只能将其称为"Web应用策略控制器"、"Web应用防护设备"，或者"Web应用安全网关"。

梭子鱼公司中国总经理何平说："标准的缺失使得WEB应用防火墙产品之间没有可比性，也降低了市场进入的门槛。现在市场上存在着大量的伪WEB应用防火墙产品，加上不少用户对WEB应用防火墙的认识不够清晰，这两个因素直接导致WEB应用防火墙产品陷入了价格战。"目前，国内的WEB应用防火墙市场还处于一个混沌期，要想拿出一个比较成型的标准，还需要一两年的时间。何平表示，随着国内用户需求的逐渐清晰和细化，WEB应用防火墙产品的事实标准将逐渐形成。

在国外，WEB应用防火墙的评价标准正在逐步完善中。WASC（Web Application Security Consortium，Web应用安全协会）是一家非赢利的国际性专家社团，该组织推出了WAFEC（Web Application Firewall Evaluation Criteria，WEB应用防火墙评价标准），目的是研究出一套WEB应用防火墙的评价标准，同时研究出一套测试方法，使得有经验的工程师可以使用WAFEC中提到的知识，独立地对WEB应用防火墙产品的优劣进行测试和评价。WAFEC现在被越来越多的厂家和用户用来评测WEB应用防火墙，该评价标准主要包括以下几个方面：部署模式、HTTP协议支持、检测技术、防御技术、审计、报告、管理、性能、XML、主动学习、认证等。

有了这个标准，用户就可以去准确地比较和评价WEB应用防火墙产品。据何平介绍，梭子鱼的WEB应用防火墙产品完全符合WAFEC的评估标准。同时，梭子鱼也在密切跟踪WASC的研究成果，时刻保持产品的技术领先性。

【编辑推荐】

1. WEB应用防火墙之前世今生——误读
2. WEB应用防火墙之前世今生——概况