WAF测评方案.pdfVIP

  WAF 测评方案  版本 2.0 BETA                                    ©2007‐2011 OWASP 中国  作者：OWASP 中国WAF 测评组        WAF 测评方案   目录  1  WAF 测评介绍  3  1.1 WAF 测评的意义  3  1.2  WAF 测评内容  3  1.3 测评结果说明  4  2 WAF 测试方案  5  2.1 WAF 功能测试  5  2.2 WAF 性能测试  8  2.3 用户体验  10  3.测评结果  14      2    WAF 测评方案   1  WAF 测评介绍  1.1 WAF 测评的意义  随着各行业应用技术的不断发展，各类基于 B/S 架构的业务系统面临越来越多的安全威胁，如何解决应用安全 问题？成为摆在业务运营公司、业务开发商、用户面前的一大难题！  Web 应用防火墙（以下简称“WAF ”）正是在此背景下，为了解决基于 B/S 架构应用安全问题，而逐渐被大家 所接受和认同。近几年来，全球越来越多的安全厂商都推出自主品牌的 WAF，由于缺乏统一标准，用户无从进行选 择。  OWASP 作为全球应用安全技术的引领者，为了解决技术、产品、市场的矛盾，启动了 WAF 产品认证项目。此 项目的意义在于:  1. 帮助用户选择合适的 WAF 产品;  2. 帮助厂商完善 WAF 产品;  3. 制定 WAF 行业统一标准。  本文主要从这三个角度，介绍如何对 WAF 进行测评。  1.2  WAF 测评内容  WAF 产品测评主要从产品的功能、性能、用户体验等多个角度来全面衡量 WAF 的能力，具体测试内容包括：  1、 WAF 功能测试  1) WAF 检测引擎，主要测试 WAF 对漏洞的识别能力。  2) WAF 防护能力，主要验证 WAF 是否能够将检测引擎识别到的不同漏洞进行有效的策略匹配（比如记 录、阻断）。  3) WAF 安全策略，主要测试 WAF 是否具备足够全面、灵活的安全策略，方便用户调整。  4) WAF 扩展性，主要测试 WAF 是否可以灵活使用于不同用户的环境，例如对各类应用环境的支持、分 布式部署等。  5) WAF 自身安全，主要用于测试WAF 设备自身的安全性，是否可以被攻击或者突破。  2、 WAF 性能测试  1) 超负荷下性能，主要用于测试 WAF 最高处理能力。  2) 负载下性能，主要用于测试 WAF 在不同环境下负载处理能力。  3) 稳定性测试，主要用于测试设备在各种极限环境下的稳定性。  3、 用户体验：从用户需求的角度，来检测 WAF 在各种配置管理的全面性以及可操作性。      3    WAF