最近遇到被友商引导的项目,宣称下一代防火墙需要有WAF功能,甚至要替换WAF。那么下一代防火墙是否可以替换WAF?具体有什么样的区别呢?我们从以下几个方面分析:
一、定义
1、第二代(下一代)防火墙定义:
除具备第一代防火墙基本功能之外,还具有应用流量识别、应用层访问控制、应用层安全防护、用户控制、深度内容检测、高性能等特征的控制的系统。(GA/T 117-2014《信息安全技术 第二代防火墙安全技术要求》)
2、WEB应用防火墙(WAF)
部署于web客户端和web服务器之间,通过分析web应用层的通信,根据预先定义的过滤规则和防护策略,实现对web应用保护的产品。(GA/T 1140-2014 《信息安全技术 web应用防火墙安全技术要求》)
由两个产品的定义可以看出:
下一代防火墙关注访问控制,包括网络层以及应用层,而WAF更关注web应用的防护。
二、安全功能
下一代防火墙中针对web应用的防护主要在于用户管控、web攻击防护与信息泄露防护,根据GA/T 1140-2014与GA/T 117-2014的安全功能具体区别如下:
由上表我们可以看出下一代防火墙主要是针对SQL注入攻击、XSS攻击、信息泄露以及其他web攻击进行防护,而最重要的逃避检测防护并没有任何要求。
三、性能要求
由上表可以看出体现web应用防火墙性能的测试项,在下一代防火墙中基本上不会测试。
注: [1] HTTP的事务处理能力,主要是测试被请求的目标数据通过WAF的最大传输速率,即最大HTTP事务处理速率。一个事务是指一个客户机向服务器发送请求然后服务器做出响应的过程,客户机在发送请求时开始计时,收到服务器响应后结束计时,以此来计算使用的时间和完成的事务个数。
四、 Gartner如何区分下一代防火墙与web应用防火墙
通过上面的分析可以看出,下一代防火墙并不能完全替代WAF。NF可以采用“内容过滤+IPS+URL过滤模块”来完成大多数的WAF功能。
稿源:绿盟掌上黑板报
游侠补充:
站长在一些项目上,也经常遇到一些NGFW产品的厂家号称包含了WAF的功能,但实际上这就像是防火墙里面的IDS——有,仅此而已。到底实用与否、到底性能如何、到底效果怎样,就不好说了。
还记得,某知名NGFW厂家网站被黑、被骂的事情么?
NGFW就是个防火墙,有应用层过滤,但远不如WAF精细。如果您需要一台防火墙,那么很好,NGFW带了Web防护功能;如果您想保护网站,还是WAF更靠谱一些。
按说,二者不能放到一起比,一个是全能、一个是专业……是吧?就像五项全能的冠军 ,可能每个单项都不如各自领域的世界冠军,但综合起来他依然是王者。
萝卜白菜,各有所爱——NGFW和WAF也各自有各自的应用场景,但我坚决反对各种忽悠……
