目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對(duì)網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ)，即可完成諸如更換Web網(wǎng)站主頁(yè)，到取管理員密碼，破壞整個(gè)網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過(guò)程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別，傳統(tǒng)的防火墻對(duì)于這些攻擊變得毫無(wú)作用。

今后的幾個(gè)月里，Citrix、Barracuda-NetContinuum、F5 Networks、Imperva和Protegrity 將對(duì)其新產(chǎn)品Web應(yīng)用防火墻增加一些功能，以使它們?cè)诒Ｗo(hù)聯(lián)網(wǎng)的企業(yè)數(shù)據(jù)方面發(fā)揮更大的作用。

有效保衛(wèi)應(yīng)用程序

雖然傳統(tǒng)的防火墻多年來(lái)在第三層有效地阻斷了一些數(shù)據(jù)包，但它在阻止利用應(yīng)用程序漏洞進(jìn)行的攻擊方面卻無(wú)能為力。Web應(yīng)用防火墻可檢測(cè)應(yīng)用程序異常情況和敏感數(shù)據(jù)(如信用卡和社會(huì)保險(xiǎn)號(hào)等)是否正被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)。

Forrester Research的分析師Rob Whiteley說(shuō)：“許多具有Web應(yīng)用程序的企業(yè)沒有Web應(yīng)用防火墻也能對(duì)付過(guò)去。”多數(shù)企業(yè)用SSL加密方法保護(hù)通信流量，而有些企業(yè)則使用SSL VPN來(lái)確保經(jīng)過(guò)授權(quán)的人才能連接Web應(yīng)用程序。

Whiteley認(rèn)為，像金融服務(wù)這樣的企業(yè)通常會(huì)購(gòu)買這種產(chǎn)品。“應(yīng)用防火墻適合于那些不能承受出現(xiàn)任何問(wèn)題的企業(yè)。他們不希望因?yàn)闆]有應(yīng)用防火墻而留下漏洞，”他說(shuō)，“多為自己提供一些保護(hù)措施是正確的?！?/P>

Web應(yīng)用防火墻將與負(fù)載均衡設(shè)備和確保Web應(yīng)用程序可用性的應(yīng)用交換機(jī)集成在一起，以創(chuàng)造出可同時(shí)解決可訪問(wèn)性和安全性的產(chǎn)品。Yankee Group的分析師Andrew Jaquith認(rèn)為，這樣的平臺(tái)可保持服務(wù)器對(duì)終端用戶的可用性和免受攻擊，還可確保進(jìn)出數(shù)據(jù)中心的流量不受危害。

獨(dú)立的Web應(yīng)用防火墻可在應(yīng)用層檢查HTTP和HTTPS流量，在合法的應(yīng)用程序運(yùn)行時(shí)查找試圖蒙混過(guò)關(guān)的攻擊程序。Jaquith說(shuō)：“這些產(chǎn)品可防范一些人運(yùn)用惡意攻擊使一些網(wǎng)站泄露敏感信息或進(jìn)行非法闖入?！?/P>

保護(hù)應(yīng)用，殊途同歸

雖然Web應(yīng)用防火墻廠商以不同的方式著手研究解決加速和保護(hù)Web應(yīng)用程序流量的問(wèn)題，但Web應(yīng)用防火墻在網(wǎng)絡(luò)中的位置是不會(huì)變化的，它在應(yīng)用服務(wù)器的前面，廠商所提供的功能可能包括服務(wù)器之間的流量負(fù)載均衡、壓縮、加密、HTTP和HTTPS流量的反向代理、檢查應(yīng)用程序的一致性和匯聚TCP會(huì)話。

Citrix認(rèn)為，就此而言,該公司的目標(biāo)是將Web應(yīng)用程序與應(yīng)用交換機(jī)集成在一起, 這樣該設(shè)備就能為服務(wù)器分配流量，也能對(duì)流量進(jìn)行仔細(xì)分析以查找應(yīng)用層攻擊。

Barracuda-NetContinuum的產(chǎn)品負(fù)責(zé)人說(shuō)：“預(yù)計(jì)NetContinuum明年將增加一些軟件工具，這些工具可使應(yīng)用安全策略的配置更為容易?！痹摴具€在考慮，根據(jù)諸如安全聲明標(biāo)記語(yǔ)言(Security Assertion Markup Language)之類的方案，應(yīng)用網(wǎng)關(guān)應(yīng)在身份識(shí)別和訪問(wèn)管理方面發(fā)揮何種作用。

F5的產(chǎn)品管理和營(yíng)銷副總裁Erik Giesa提到,該公司將依靠保護(hù)XML(可擴(kuò)展標(biāo)記語(yǔ)言)和SIP(會(huì)話初始化協(xié)議)流量來(lái)支持Web服務(wù)器和VoIP。它還正在求助于在其平臺(tái)中增加WAN加速技術(shù)和制作一種軟件開發(fā)者工具包，以鼓勵(lì)創(chuàng)建一旦發(fā)現(xiàn)入侵就能阻斷流量的自保護(hù)應(yīng)用程序。該應(yīng)用程序?qū)⑴c管理F5 Big IP應(yīng)用交換機(jī)的軟件相結(jié)合，在Big IP內(nèi)建立一個(gè)可阻斷可疑流量的規(guī)則。

Imperva的首席執(zhí)行官Shlomo Kramer說(shuō)：“Imperva 計(jì)劃開發(fā)一些審計(jì)和評(píng)估工具，這些工具可幫助客戶遵從這樣的一些規(guī)則：支付卡行業(yè)標(biāo)準(zhǔn)、HIPAA法案和用于保護(hù)私密信息的Sarbanes-Oxley法案?！睋?jù)Protegrity的產(chǎn)品戰(zhàn)略和開發(fā)副總裁Jeannine Bartlett介紹，Protegrity期望將其數(shù)據(jù)庫(kù)安全裝置與通過(guò)Kavado得到的應(yīng)用保護(hù)軟件結(jié)合在一起。她說(shuō)：“我們明年的發(fā)布主要集中在后端報(bào)告、統(tǒng)計(jì)、度量、特定應(yīng)用程序映射上，以滿足客戶遵從法規(guī)的各種需要。這才是較大型公司所真正需要的東西?！?/P>

Whitely認(rèn)為，所有這一切活動(dòng)都表明，應(yīng)用防火墻正趨于成熟。這些設(shè)備多數(shù)是衍生于反向代理技術(shù)，利用這種技術(shù)，向Web服務(wù)器傳送的流量由代理終止后以單獨(dú)會(huì)話的方式傳送給服務(wù)器，然后服務(wù)器的響應(yīng)又被代理。雖然流量經(jīng)過(guò)了代理，但是該設(shè)備可對(duì)流量進(jìn)行檢查，以確定它是否有利用應(yīng)用程序漏洞的企圖。

普遍應(yīng)用尚需時(shí)日

Pacific Northwest National Laboratory使用Barracuda-NetContinuum應(yīng)用防火墻來(lái)保護(hù)其Web應(yīng)用程序。該機(jī)構(gòu)網(wǎng)絡(luò)安全組的研究科學(xué)家Mark Hadley說(shuō)：“有時(shí)需要重寫應(yīng)用程序以便它們能通過(guò)應(yīng)用防火墻。”例如，如果一個(gè)應(yīng)用協(xié)議的某個(gè)字段使用一個(gè)也用于Web應(yīng)用程序URL的字符，如“forward slash”，那就表示它是一個(gè)可被攻擊者利用的漏洞。因此，用戶應(yīng)對(duì)其應(yīng)用程序有可能需要重寫一事作好準(zhǔn)備。Hadley建議設(shè)立測(cè)試環(huán)境，在應(yīng)用程序部署之前將它們運(yùn)行一遍，鑒別和修正這樣的小毛病。

Whiteley認(rèn)為，這種復(fù)雜性可能會(huì)使一些用戶認(rèn)為應(yīng)用防火墻復(fù)雜得難以部署，如果他們的應(yīng)用程序?qū)λ麄兊臉I(yè)務(wù)不是關(guān)鍵性的，就更不愿意部署應(yīng)用防火墻。他的觀點(diǎn)是，當(dāng)廠商們把應(yīng)用防火墻和應(yīng)用交換機(jī)集成在同一個(gè)設(shè)備中，并開發(fā)一些軟件工具使它們更易于配置時(shí)，就會(huì)有更多的商業(yè)用戶使用它們。他說(shuō)：“再過(guò)9到12個(gè)月，它就會(huì)被廣泛采用?！?/P>

【編輯推薦】

1. 專題：WAF——最專業(yè)的網(wǎng)站安全防護(hù)
2. 全面解析Web應(yīng)用防火墻
3. 如何評(píng)價(jià)、選擇和實(shí)施Web應(yīng)用防火墻