隨著企業(yè)基于Web的業(yè)務(wù)模式快速發(fā)展，IT管理者們正在思考這樣一個(gè)問(wèn)題，如何才能讓業(yè)務(wù)更加順暢健康的開展。由此需求，我們注意到打造應(yīng)用交付網(wǎng)絡(luò)時(shí)下正成為IT業(yè)界關(guān)注的熱點(diǎn)話題。然而，新技術(shù)的產(chǎn)生總會(huì)伴隨新的挑戰(zhàn)，應(yīng)用交付網(wǎng)絡(luò)也不例外。

通常，當(dāng)我們提及應(yīng)用交付時(shí)，用戶首先會(huì)想到的是負(fù)載均衡。不可否認(rèn)，負(fù)載均衡技術(shù)可以幫助企業(yè)優(yōu)化關(guān)鍵業(yè)務(wù)系統(tǒng)，然而這并不能稱為完整的應(yīng)用交付。

正如梭子魚中國(guó)區(qū)副總經(jīng)理梁中鋼所言，“用戶在打造應(yīng)用交付網(wǎng)絡(luò)時(shí)，很多時(shí)候僅在強(qiáng)調(diào)應(yīng)用的高效率，卻忽視的更為重要的因素安全?！?/P>

沒錯(cuò)，沒有安全保障的應(yīng)用交付，對(duì)于如今的企業(yè)關(guān)鍵業(yè)務(wù)應(yīng)用而言是萬(wàn)萬(wàn)無(wú)法接受的。因此，我們必須強(qiáng)調(diào)，應(yīng)用交付的核心必須兼顧高效率與安全，兩手都要抓，兩手都要硬。

應(yīng)用層安全面臨哪些挑戰(zhàn)?

粗略的統(tǒng)計(jì)，今天針對(duì)應(yīng)用層的攻擊行為大致可以分為以下八種類型：

·緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令。

·Cookie假冒——精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒。

·認(rèn)證逃避——攻擊者利用不安全的證書和身份管理。

·非法輸入——在動(dòng)態(tài)網(wǎng)頁(yè)的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)。

·強(qiáng)制訪問(wèn)——訪問(wèn)未授權(quán)的網(wǎng)頁(yè)。

·隱藏變量篡改——對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序。

·跨站腳本攻擊(XSS)——提交非法腳本，其他用戶瀏覽時(shí)盜取用戶帳號(hào)等信息。

·SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)。

面對(duì)這些基于Web，又頻繁發(fā)生的攻擊行為，傳統(tǒng)的防火墻已顯得無(wú)能為力。即使我們看到很多高端防火墻所謂的應(yīng)用層安全保護(hù)模塊，但由于其并不是轉(zhuǎn)為應(yīng)用層威脅掃描過(guò)濾而設(shè)計(jì)，其性能是否能滿足大型企業(yè)的應(yīng)用需求，我們不敢奢求。

應(yīng)用安全亟需應(yīng)用層防火墻

我們首先關(guān)注外界對(duì)于應(yīng)用安全的反應(yīng)。Gartner研究報(bào)告顯示，當(dāng)前成功的攻擊事件中有75%以上發(fā)生在應(yīng)用層，同時(shí)Gartner預(yù)測(cè)到2009年年底，80%的企業(yè)將成為應(yīng)用層攻擊的受害者。

權(quán)威的支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)中，同樣明確規(guī)定銀行機(jī)構(gòu)采用有效的安全防御措施來(lái)保護(hù)用戶的數(shù)據(jù)安全，避免用戶數(shù)據(jù)泄露。

由此可見，由應(yīng)用交付帶來(lái)的安全需求，早已引起了業(yè)界的廣泛關(guān)注。深入觀察后不難看出，應(yīng)用交付所面臨的安全威脅主要集中于應(yīng)用層面，而這正是專業(yè)的應(yīng)用防火墻發(fā)揮作用的地方。

此時(shí)，或許您要問(wèn)IPS好似也能抵御來(lái)自Web的攻擊威脅，IPS與Web應(yīng)用防火墻有何區(qū)別?從保護(hù)的對(duì)象來(lái)講，二者皆是抵御Web攻擊的有力武器，但其防御原理并不盡相同。IPS偏重規(guī)則比對(duì)，而Web應(yīng)用防火墻更傾向于規(guī)則控制。兩種不同設(shè)計(jì)思路的產(chǎn)品，我們認(rèn)為其并不具有可比性，但客觀的分析二者部署后所呈現(xiàn)的效果以及對(duì)于SQL注入等Web攻擊行為的防御能力，我們認(rèn)為Web應(yīng)用防火墻的諸多優(yōu)勢(shì)更適用于行業(yè)Web應(yīng)用系統(tǒng)或關(guān)鍵業(yè)務(wù)系統(tǒng)。

應(yīng)用層防火墻需從用戶角度出發(fā)

客觀的講，應(yīng)用層防火墻并不是新的產(chǎn)品，早在2004年業(yè)內(nèi)就已經(jīng)有了應(yīng)用層防火墻的范例。雖然應(yīng)用層防火墻在國(guó)外已經(jīng)有了相對(duì)固定的用戶群，然而國(guó)內(nèi)用戶卻對(duì)應(yīng)用層防火墻產(chǎn)生了些許懷疑。某銀行IT主管就曾表示，“由于應(yīng)用層防火墻出現(xiàn)的時(shí)間較短，產(chǎn)品的標(biāo)準(zhǔn)、性能以及對(duì)于網(wǎng)上支付等關(guān)鍵業(yè)務(wù)系統(tǒng)的防護(hù)效果難以預(yù)估?！?/P>

用戶的擔(dān)心正反映了應(yīng)用層防火墻的現(xiàn)狀，我們不想深究是深度包檢測(cè)更精確，還是規(guī)則控制更有效率。作為專業(yè)的安全產(chǎn)品，從用戶的角度出發(fā)打造滿足用戶業(yè)務(wù)需求的產(chǎn)品卻是十分必要的。作為專業(yè)的應(yīng)用安全廠商，梭子魚的應(yīng)用層防火墻始終堅(jiān)持終止、安全、加速三個(gè)方面齊頭并進(jìn)，幫助用戶實(shí)現(xiàn)基于應(yīng)用層的全面安全保護(hù)。

終止：所有用戶瀏覽器和應(yīng)用程序服務(wù)器的連接會(huì)話都在此終止。系統(tǒng)對(duì)于HTTP內(nèi)容有著完全的訪問(wèn)權(quán)和控制權(quán)，檢查所有的HTTP 內(nèi)容，解釋和建立規(guī)則。

安全：一旦會(huì)話被應(yīng)用防火墻終止，會(huì)話將會(huì)被執(zhí)行多種檢查，以此阻止安全威脅，同時(shí)可提供URL、參數(shù)和格式區(qū)域的檢查。

加速：除了WEB應(yīng)用的安全性，數(shù)據(jù)中心還負(fù)責(zé)應(yīng)用的可用性和響應(yīng)時(shí)間。將加速功能(TCP 池，緩存，GZIP壓縮)和可用性功能(負(fù)載均衡，內(nèi)容交換，健康檢查)在一個(gè)單一的節(jié)點(diǎn)處結(jié)合起來(lái)會(huì)顯著地簡(jiǎn)化數(shù)據(jù)中心的體系結(jié)構(gòu)，以此來(lái)降低成本。

不論用戶的需求，還是安全廠商的努力，今天應(yīng)用交付的時(shí)代已經(jīng)到來(lái)，基于應(yīng)用層的安全威脅也將來(lái)得更加猛烈。我們確信不久之后應(yīng)用層防火墻即將大展拳腳，但這之前應(yīng)用防火墻所面臨的挑戰(zhàn)必須一一克服，例如性能、價(jià)格、操控以及用戶群體等等。梁中鋼預(yù)測(cè)，到2012年應(yīng)用防火墻在國(guó)內(nèi)的市場(chǎng)份額將達(dá)到5億元，我們雖無(wú)法判斷這個(gè)數(shù)字是否準(zhǔn)確，但是有一點(diǎn)可以肯定，在應(yīng)用交付大趨勢(shì)的推動(dòng)下，應(yīng)用層防火墻的未來(lái)一片光明。