思科於2年前收購XML Gateway專門廠商Reactivity後,加入WAF市場戰局,WAF的技術併入思科廣大的產品線中,納入ACE(Application Control Engine)模組XML Gateway的其中一個應用。「由於WAF的功能只用到XML中的一部分,因此在2008年時我們將XML Gateway設計成較為精簡的版本,因應美國PCI的規範以及防範網頁型態的攻擊。」台灣思科業務開發經理張志淵表示,「台灣多數企業目前對WAF還屬於觀望階段,但是目前接觸到許多銀行客戶,都表示有計畫要導入WAF的解決方案,也有相當多的線上交易平台網站已經進行WAF測試。」
 |
| ▲台灣思科業務開發經理張志淵指出,思科將WAF相關應用納入Data Center 3.0整體解決方案的ACE模組中,此外,CSA模組也提供網頁伺服器類似IPS的保護。 |
「其實不只銀行金融產業需要WAF解決方案,政府機關投資雖然保守,但是也必須防止不斷的掛馬攻擊。」張志淵表示,「之前有相當多政府主管機關的網頁遭到置換以及掛馬惡意攻擊,尤其是來自對岸中國的駭客,攻擊相當頻繁。」思科針對許多特定網站做定期的資訊安全檢查與統計,發現有80%以上的主要大型網站完全沒有針對XSS做任何保護,同樣流行多年的SQL injection,也無法阻擋,「這也不難看出為什麼網站遭受攻擊的事件頻傳的原因,其實大部份網站管理者對於資訊安全的意識還不夠高。」張志淵說。
「防禦XSS攻擊最主要在做URL的過濾,以往已經有根據IP位址或DNS,針對網站建立黑白名單的方式進行阻擋,但是這樣的方法無法擋住從網頁應用程式來的攻擊,因此才需要專門針對應用程式來做防護。」張志淵指出,「許多IPS廠商宣稱有WAF的功能,但是重點不在產品提供的功能,而是在於這個安全產品能夠防護網路第幾層,如果不能針對Layer 7的封包內容做過濾,只有看到第3或第4層是不夠的。」
由於惡意攻擊主要是要接近網頁伺服器以竊取資料,因此在WAF解決方案以及源碼檢測之外,思科在Data Center 3.0方案中,還以終端軟體CSA(Cisco Security Agent)擔負起Host IPS的角色,在網頁伺服器端訂定政策且提供報表,張志淵說明,「當一個惡意攻擊突破前方網路防火牆以及WAF時,還可以規範這個請求什麼動作合法而什麼不合法,以此種方式建立基本的應用程式防線,也是另一種有效的選擇。」