混沌中的等待

　　眾多政府對外服務網站、IDC託管服務器、電子交易網站等Web應用系統長期以來一直被Web應用攻擊所困擾，隨之而來的是名譽受損、客戶投訴、法律糾紛、商業損失等一系列問題。部署專業的針對Web應用交互數據進行檢測並提供防禦的産品成為一種很有必要的選擇。然而，迄今為止，前面提到的這種産品，也就是Web應用防火墻（WEB應用防火墻）在國內的成長之路並不平坦。

　　由於國內相關機構尚未WEB應用防火墻産品做出明確的定義，而又不能用傳統防火墻的技術標準來對WEB應用防火墻進行檢測，所以相關廠商在將WEB應用防火墻送檢時只能將其稱為“Web應用策略控制器”、“Web應用防護設備”，或者“Web應用安全網關”。

　　梭子魚公司中國總經理何平説：“標準的缺失使得WEB應用防火墻産品之間沒有可比性，也降低了市場進入的門檻。現在市場上存在著大量的偽WEB應用防火墻産品，加上不少用戶對WEB應用防火墻的認識不夠清晰，這兩個因素直接導致WEB應用防火墻産品陷入了價格戰。”目前，國內的WEB應用防火墻市場還處於一個混沌期，要想拿出一個比較成型的標準，還需要一兩年的時間。何平表示，隨著國內用戶需求的逐漸清晰和細化，WEB應用防火墻産品的事實標准將逐漸形成。

　　在國外，WEB應用防火墻的評價標準正在逐步完善中。WASC（WebApplicationSecurityConsortium，Web應用安全協會）是一家非贏利的國際性專家社團，該組織推出了WAFEC（WebApplicationFirewallEvaluationCriteria，WEB應用防火墻評價標準），目的是研究出一套WEB應用防火墻的評價標準，同時研究出一套測試方法，使得有經驗的工程師可以使用WAFEC中提到的知識，獨立地對WEB應用防火墻産品的優劣進行測試和評價。WAFEC現在被越來越多的廠家和用戶用來評測WEB應用防火墻，該評價標準主要包括以下幾個方面：部署模式、HTTP協議支持、檢測技術、防禦技術、審計、報告、管理、性能、XML、主動學習、認證等。

　　有了這個標準，用戶就可以去準確地比較和評價WEB應用防火墻産品。據何平介紹，梭子魚的WEB應用防火墻産品完全符合WAFEC的評估標準。同時，梭子魚也在密切跟蹤WASC的研究成果，時刻保持産品的技術領先性。