入侵檢測(cè)系統(tǒng)(Intrusion Detection System)俗稱(chēng)IDS，是近十多年發(fā)展起來(lái)的新一代安全防范技術(shù)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。IDS產(chǎn)品被認(rèn)為是在防火墻之后的第二道安全防線(xiàn)在攻擊檢測(cè)、安全審計(jì)和監(jiān)控等方面都發(fā)揮了重要的作用。

　　但在入侵檢測(cè)產(chǎn)品的使用過(guò)程中，暴露出了諸多的問(wèn)題。特別是誤報(bào)、漏報(bào)和對(duì)攻擊行為缺乏實(shí)時(shí)響應(yīng)等問(wèn)題比較突出，并且嚴(yán)重影響了產(chǎn)品發(fā)揮實(shí)際的作用。Gartner在2003年一份研究報(bào)告中稱(chēng)入侵檢測(cè)系統(tǒng)已經(jīng)“死”了。Gartner認(rèn)為IDS不能給網(wǎng)絡(luò)帶來(lái)附加的安全，反而會(huì)增加管理員的困擾，建議用戶(hù)使用入侵防御系統(tǒng)(Intrusion Prevention System)即IPS來(lái)代替IDS。Gartner公司認(rèn)為只有在線(xiàn)的或基于主機(jī)的攻擊阻止(實(shí)時(shí)攔截)才是最有效的入侵防御系統(tǒng)。

　　不過(guò)，根據(jù)Gartner的分析，目前對(duì)網(wǎng)絡(luò)的攻擊有70%以上是集中在應(yīng)用層，并且這一數(shù)字呈上升趨勢(shì)。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果，比如用戶(hù)帳號(hào)丟失和公司機(jī)密泄漏等。因此，對(duì)具體應(yīng)用的有效保護(hù)就顯得越發(fā)重要。從檢測(cè)方法上看，IPS與IDS都是基于模式匹配、協(xié)議分析以及異常流量統(tǒng)計(jì)等技術(shù)。這些檢測(cè)技術(shù)的特點(diǎn)是主要針對(duì)已知的攻擊類(lèi)型，進(jìn)行基于攻擊特征串的匹配。但對(duì)于應(yīng)用層的攻擊，通常是利用特定的應(yīng)用程序的漏洞，無(wú)論是IDS還是IPS都無(wú)法通過(guò)現(xiàn)有的檢測(cè)技術(shù)進(jìn)行防范。

　　WEB應(yīng)用防火墻的出現(xiàn)解決了這方面的難題，應(yīng)用防火墻通過(guò)執(zhí)行應(yīng)用會(huì)話(huà)內(nèi)部的請(qǐng)求來(lái)處理應(yīng)用層，它專(zhuān)門(mén)保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，一些強(qiáng)大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來(lái)說(shuō)相當(dāng)于給原網(wǎng)站加上了一個(gè)安全的絕緣外殼。

　　下面我們就用一款現(xiàn)在業(yè)內(nèi)比較普遍的Barracuda-NC應(yīng)用防火墻來(lái)舉例，來(lái)看看應(yīng)用防火墻是如何對(duì)WEB應(yīng)用層進(jìn)行防護(hù)的了。

　　能對(duì)下列一般方法無(wú)法檢測(cè)的Web應(yīng)用層攻擊手段進(jìn)行有效的防護(hù)：

　　植入惡意腳本

　　Cookie / Session投毒

　　Form表單 / 隱藏域修改

　　緩存溢出

　　參數(shù)篡改

　　跨站式腳本攻擊

　　強(qiáng)制瀏覽 / 目錄探測(cè)

　　Sql注入 / 命令注入

　　數(shù)據(jù)竊取 / 身份竊取

　　已知漏洞攻擊 / Zero Day漏洞攻擊

　　應(yīng)用程序Dos

　　工作特點(diǎn)：基于應(yīng)用層的檢測(cè)，同時(shí)又擁有基于狀態(tài)的網(wǎng)絡(luò)防火墻的優(yōu)勢(shì)

　　•對(duì)應(yīng)用數(shù)據(jù)錄入完整檢查、HTTP包頭重寫(xiě)、強(qiáng)制HTTP協(xié)議合規(guī)化，杜絕各種利用協(xié)議漏洞的攻擊和權(quán)限提升

　　•預(yù)期數(shù)據(jù)的完整知識(shí)(Complete Knowledge of expected values)，防止各種形式的SQL/命令注入，跨站式腳本攻擊

　　•實(shí)時(shí)策略生成及執(zhí)行，根據(jù)您的應(yīng)用程序定義相應(yīng)的保護(hù)策略，而不是千篇一律的廠家預(yù)定義防攻擊策略，無(wú)縫的砌合您的應(yīng)用程序，不會(huì)造成任何應(yīng)用失真

　　網(wǎng)站全面隱身：黑客再神奇也無(wú)法攻擊看不見(jiàn)的東西

　　Barracuda-NC應(yīng)用防火墻對(duì)外部訪問(wèn)網(wǎng)站進(jìn)行隱身，可以隱藏真實(shí)的Web服務(wù)器類(lèi)型、應(yīng)用服務(wù)器類(lèi)型、操作系統(tǒng)、版本號(hào)、版本更新程度、已知安全漏洞、真實(shí)IP地址、內(nèi)部工作站信息，讓黑客看不見(jiàn)，摸不著，探測(cè)不到，自然也無(wú)從猜測(cè)分析和攻擊。以下便是一款常用掃描工具掃描經(jīng)過(guò)Barracuda-NC應(yīng)用防火墻隱藏的網(wǎng)站的結(jié)果。

　　同時(shí)，它還能識(shí)別各種爬行探測(cè)程序，只允許正常的搜索引擎爬蟲(chóng)進(jìn)入，抵御黑客爬行程序于門(mén)外，讓想通過(guò)探測(cè)確定攻擊目標(biāo)的黑客徹底無(wú)門(mén)。

　　除此之外，做為一款強(qiáng)大的應(yīng)用防火墻，Barracuda-NC應(yīng)用防火墻還有許多應(yīng)用交付功能：應(yīng)用數(shù)據(jù)緩存，數(shù)據(jù)壓縮，TCP連接池，SSL Offloading，7層內(nèi)容交換負(fù)載均衡等等，完全可以替代其他設(shè)備，做為應(yīng)用層數(shù)據(jù)交換的中流砥柱。