作為Verizon公司的獨(dú)立部門�,ICSA實(shí)驗(yàn)室可以為各大廠商提供中立的測(cè)試和認(rèn)證�����。ICSA實(shí)驗(yàn)室對(duì)Web應(yīng)用防火墻產(chǎn)品的測(cè)試擁有一整套規(guī)范的標(biāo)準(zhǔn),并保持不斷優(yōu)化完善��,此次A10 Networks的Thunder和AX系列均依據(jù)ICSA實(shí)驗(yàn)室最新的WAF V2.1版本標(biāo)準(zhǔn)進(jìn)行測(cè)試,其中囊括了對(duì)當(dāng)前Web應(yīng)用防火墻市場(chǎng)變化以及Web應(yīng)用防火墻市場(chǎng)不同功能需求的檢測(cè)���。這套標(biāo)準(zhǔn)在考查應(yīng)用防火墻功能特點(diǎn)的同時(shí)�,也會(huì)檢測(cè)產(chǎn)品符合市場(chǎng)應(yīng)用需求的程度����,其目標(biāo)就是公正、全面的體現(xiàn)出受測(cè)產(chǎn)品的真實(shí)能力�,從而幫助用戶和企業(yè)對(duì)受測(cè)產(chǎn)品及解決方案有更真實(shí)的了解和信任。
ICSA實(shí)驗(yàn)室Web應(yīng)用防火墻 (WAF) 認(rèn)證項(xiàng)目旨在對(duì)以執(zhí)行安全策略的產(chǎn)品進(jìn)行測(cè)試和檢驗(yàn)�����,判斷其是否可對(duì)基于HTTP和HTTPS Web的應(yīng)用實(shí)現(xiàn)有效保護(hù)�。隨著業(yè)界持續(xù)不斷對(duì)應(yīng)用安全問(wèn)題和潛在漏洞的分級(jí)和修復(fù),Web應(yīng)用防火墻的認(rèn)證標(biāo)準(zhǔn)也不斷提升�����、嚴(yán)苛�,當(dāng)前執(zhí)行的標(biāo)準(zhǔn)可幫助企業(yè)安全管理人員、應(yīng)用開發(fā)者及其他Web應(yīng)用安全的從業(yè)人員篩選出真正的”信心”產(chǎn)品�,可以有效的保護(hù)關(guān)鍵應(yīng)用服務(wù)免受漏洞利用和網(wǎng)絡(luò)攻擊的侵?jǐn)_。
一旦完成安全策略的設(shè)置��,WAF產(chǎn)品即開始正確保護(hù)安全策略所允許執(zhí)行的應(yīng)用和服務(wù),同時(shí)保障數(shù)據(jù)的完整性和私密性�����。在這里�����,“正確”意味著服務(wù)正常運(yùn)行�����。“私密性”則指向受保護(hù)的網(wǎng)站用戶展示信息����,并對(duì)內(nèi)部應(yīng)用結(jié)構(gòu)進(jìn)行屏蔽。
在測(cè)試過(guò)程中�����,ICSA實(shí)驗(yàn)室采用多種商業(yè)���、自開發(fā)和免費(fèi)的測(cè)試工具,針對(duì)A10 Thunder和AX產(chǎn)品展開了一系列復(fù)雜的測(cè)試��,嘗試攻擊或繞開安全策略對(duì)應(yīng)用系統(tǒng)或WAF產(chǎn)品本身發(fā)起多種攻擊,包括DDoS(拒絕服務(wù)攻擊)���、緩沖區(qū)溢出攻擊�、跨站腳本(XSS)�����、跨站請(qǐng)求偽造(CSRF)�����、不當(dāng)輸入驗(yàn)證��、會(huì)話管理不善及信息泄露等漏洞攻擊測(cè)試���。測(cè)試結(jié)果表明���,Thunder和AX在完全抵住多種攻擊的同時(shí),很好的完成了對(duì)數(shù)據(jù)完整性和私密性的充分保護(hù)����。
此外,ICSA實(shí)驗(yàn)室還對(duì)Thunder和AX產(chǎn)品的日志��、管理、配置��、恢復(fù)等項(xiàng)目進(jìn)行了全面測(cè)試����,結(jié)果表明A10 Networks的解決方案在強(qiáng)行斷電后重啟,配置�、安全策略、數(shù)據(jù)等信息被完整存儲(chǔ)并自動(dòng)恢復(fù)啟用���,并可準(zhǔn)確捕獲并記錄系統(tǒng)和網(wǎng)絡(luò)安全事件相關(guān)的日志數(shù)據(jù)信息�����。
