Web应用防火墙为修补攻击争取时间(1)

　　在适当的位置安装Web应用防火墙意味着可以拥有一个缓冲时间来根据自己的计划来修补受到的攻击，这和匆忙去修改导致应用停止的攻击或者为开发人员和测试人员遇到的紧急情况支付额外的费用是不同的。

　　“那是对投资最实际的回报”，Imperva 公司的产品市场部负责人Mark Kraynak这样说到。Mark Kraynak同时也为Web应用安全协会最近发布的Web应用防火墙评估标准做出了很大的贡献。

　　作为众多防火墙的一种，协会给了Web应用防火墙是这样的定义“位于Web客户端和Web服务器端之间，根据安全策略来解析来自OSI模型中第七层应用层的攻击信息的一种中间设备”。Web应用防火墙可以保护Web服务器免受攻击的安全设备。

　　Ivan Ristic，伦敦一家名为Thinking Stone Web应用安全公司的创始人，同时也是Web应用防火墙评估标准项目的负责人，他说到“WAFEC项目的目标是帮助公司、组织来评估Web应用防火墙”。

　　根据协会的说明，WAF并不需要源代码的改造。WAF可以使用以代理为基础的框架，还可以使用以包检测为基础的框架或者两者都有。WAFEC并不需要一个特定的框架。

　　位于加州圣塔克莱拉市的WhiteHat Security公司的首席技术官、创始人兼项目主要负责人Jeremiah Grossman说“项目的目的并不是推崇一些新特性，而是给出一种比较不同防火墙的方法”。文档并不意味着所有的标准都是必须的。公司、组织可以参照这些标准，根据自己的需求来为自己建立更简洁的清单列表。Ristic 说“你不可能实现文档中所列举的一切，很多需求是相互矛盾的，也就是说或者才是正确的选择，而不是全部”。

　　文档中列举的种类很多，包括部署框架，HTTP和HTML支持，探测技术，保护技术，日志，报表，管理，性能和XML。