作為Verizon公司的獨立部門����,ICSA實驗室可以為各大廠商提供中立的測試和認證�。ICSA實驗室對Web應(yīng)用防火墻產(chǎn)品的測試擁有一整套規(guī)范的標準,并保持不斷優(yōu)化完善��,此次A10 Networks的Thunder和AX系列均依據(jù)ICSA實驗室最新的WAF V2.1版本標準進行測試�����,其中囊括了對當前Web應(yīng)用防火墻市場變化以及Web應(yīng)用防火墻市場不同功能需求的檢測。這套標準在考查應(yīng)用防火墻功能特點的同時�����,也會檢測產(chǎn)品符合市場應(yīng)用需求的程度�����,其目標就是公正�、全面的體現(xiàn)出受測產(chǎn)品的真實能力,從而幫助用戶和企業(yè)對受測產(chǎn)品及解決方案有更真實的了解和信任�����。
ICSA實驗室Web應(yīng)用防火墻 (WAF) 認證項目旨在對以執(zhí)行安全策略的產(chǎn)品進行測試和檢驗�����,判斷其是否可對基于HTTP和HTTPS Web的應(yīng)用實現(xiàn)有效保護�。隨著業(yè)界持續(xù)不斷對應(yīng)用安全問題和潛在漏洞的分級和修復(fù),Web應(yīng)用防火墻的認證標準也不斷提升��、嚴苛�����,當前執(zhí)行的標準可幫助企業(yè)安全管理人員、應(yīng)用開發(fā)者及其他Web應(yīng)用安全的從業(yè)人員篩選出真正的”信心”產(chǎn)品��,可以有效的保護關(guān)鍵應(yīng)用服務(wù)免受漏洞利用和網(wǎng)絡(luò)攻擊的侵擾���。
一旦完成安全策略的設(shè)置�,WAF產(chǎn)品即開始正確保護安全策略所允許執(zhí)行的應(yīng)用和服務(wù)����,同時保障數(shù)據(jù)的完整性和私密性。在這里��,“正確”意味著服務(wù)正常運行����。“私密性”則指向受保護的網(wǎng)站用戶展示信息,并對內(nèi)部應(yīng)用結(jié)構(gòu)進行屏蔽���。
在測試過程中,ICSA實驗室采用多種商業(yè)���、自開發(fā)和免費的測試工具��,針對A10 Thunder和AX產(chǎn)品展開了一系列復(fù)雜的測試�����,嘗試攻擊或繞開安全策略對應(yīng)用系統(tǒng)或WAF產(chǎn)品本身發(fā)起多種攻擊�����,包括DDoS(拒絕服務(wù)攻擊)�����、緩沖區(qū)溢出攻擊�����、跨站腳本(XSS)���、跨站請求偽造(CSRF)�����、不當輸入驗證��、會話管理不善及信息泄露等漏洞攻擊測試�。測試結(jié)果表明��,Thunder和AX在完全抵住多種攻擊的同時,很好的完成了對數(shù)據(jù)完整性和私密性的充分保護�。
此外,ICSA實驗室還對Thunder和AX產(chǎn)品的日志�����、管理����、配置、恢復(fù)等項目進行了全面測試����,結(jié)果表明A10 Networks的解決方案在強行斷電后重啟,配置�、安全策略、數(shù)據(jù)等信息被完整存儲并自動恢復(fù)啟用����,并可準確捕獲并記錄系統(tǒng)和網(wǎng)絡(luò)安全事件相關(guān)的日志數(shù)據(jù)信息。
