作為Verizon公司的獨立部門���,ICSA實驗室可以為各大廠商提供中立的測試和認證�。ICSA實驗室對Web應用防火墻產品的測試擁有一整套規(guī)范的標準,并保持不斷優(yōu)化完善���,此次A10 Networks的Thunder和AX系列均依據ICSA實驗室最新的WAF V2.1版本標準進行測試���,其中囊括了對當前Web應用防火墻市場變化以及Web應用防火墻市場不同功能需求的檢測。這套標準在考查應用防火墻功能特點的同時�,也會檢測產品符合市場應用需求的程度��,其目標就是公正�����、全面的體現出受測產品的真實能力�,從而幫助用戶和企業(yè)對受測產品及解決方案有更真實的了解和信任。
ICSA實驗室Web應用防火墻 (WAF) 認證項目旨在對以執(zhí)行安全策略的產品進行測試和檢驗����,判斷其是否可對基于HTTP和HTTPS Web的應用實現有效保護。隨著業(yè)界持續(xù)不斷對應用安全問題和潛在漏洞的分級和修復�����,Web應用防火墻的認證標準也不斷提升�、嚴苛����,當前執(zhí)行的標準可幫助企業(yè)安全管理人員���、應用開發(fā)者及其他Web應用安全的從業(yè)人員篩選出真正的”信心”產品���,可以有效的保護關鍵應用服務免受漏洞利用和網絡攻擊的侵擾。
一旦完成安全策略的設置��,WAF產品即開始正確保護安全策略所允許執(zhí)行的應用和服務���,同時保障數據的完整性和私密性�。在這里�����,“正確”意味著服務正常運行�。“私密性”則指向受保護的網站用戶展示信息,并對內部應用結構進行屏蔽��。
在測試過程中�����,ICSA實驗室采用多種商業(yè)、自開發(fā)和免費的測試工具�����,針對A10 Thunder和AX產品展開了一系列復雜的測試����,嘗試攻擊或繞開安全策略對應用系統(tǒng)或WAF產品本身發(fā)起多種攻擊,包括DDoS(拒絕服務攻擊)��、緩沖區(qū)溢出攻擊����、跨站腳本(XSS)��、跨站請求偽造(CSRF)���、不當輸入驗證���、會話管理不善及信息泄露等漏洞攻擊測試。測試結果表明����,Thunder和AX在完全抵住多種攻擊的同時���,很好的完成了對數據完整性和私密性的充分保護。
此外�,ICSA實驗室還對Thunder和AX產品的日志、管理���、配置���、恢復等項目進行了全面測試,結果表明A10 Networks的解決方案在強行斷電后重啟�,配置、安全策略����、數據等信息被完整存儲并自動恢復啟用,并可準確捕獲并記錄系統(tǒng)和網絡安全事件相關的日志數據信息�。
