如今,很多大中型公司都提供多种WAF解决方案,通常打包DDoS防御、内容分发网络(CDN)、应用交付控制器(ADC)和其他相关服务一起提供。亚马逊Web服务(AWS)最近也启动了自己的WAF。问题是,几乎所有的WAF厂商提供的跨站脚本攻击防护都能被规避。
那,为什么今天的WAF防护经常达不到人们的期望,主要原因在于:
很多公司单纯是没有足够的技术人才来进行WAF配置的日常维护和支持,在部署上疏忽,技能不足以支持。一些中小型企业是出于合规的需要才部署的WAF,不关心维护和安全问题。近年来,web开发的环境变得多样化,发展的太快,在维护上难度越来越大。另外,WAF不能防护一些未知的漏洞。
然而,鉴于越来越不安全的网络环境,虽然WAF的问题很多,但是在维护企业的安全上,还是一个很重要的措施。
网友评论