Web應(yīng)用的日益普及和Web攻擊的與日俱增，讓W(xué)eb安全問題備受關(guān)注。但對于正常流量中的危險分子，傳統(tǒng)的安全產(chǎn)品根本無能為力，此時，我們該靠什么來保護Web應(yīng)用？Web應(yīng)用防火墻無疑是最佳之選。但Web應(yīng)用防火墻究竟是什么？它和傳統(tǒng)的安全產(chǎn)品有什么不同？應(yīng)用起來又有要注意什么？請看《走出Web應(yīng)用防火墻認識誤區(qū)》系列文章。

發(fā)揮作用需要一個過程

沒有任何兩個網(wǎng)絡(luò)的架構(gòu)和跑在上面的應(yīng)用會是完全相同的，所以，任何安全產(chǎn)品要想真正發(fā)揮出其作用，都不能簡單地將它放入網(wǎng)絡(luò)就不管了，需要不斷地根據(jù)實際情況調(diào)整安全策略。Web應(yīng)用防火墻也是一樣。

要想讓W(xué)eb應(yīng)用防火墻很好地發(fā)揮作用，需要一個復(fù)雜的"過程"，要讓它逐漸適應(yīng)并摸清用戶的網(wǎng)絡(luò)環(huán)境以及可能涉及的各種Web應(yīng)用，同時判斷出網(wǎng)絡(luò)中可能存在哪些攻擊行為，可能遇到哪些安全風險，再逐一加以阻斷。

這個過程如果完全靠企業(yè)的IT管理人員手動去做，將是一個非常漫長而可怕的過程，不但費時費力，通常還會有很多被遺忘的角落。

主動模式能夠簡化部署

本著易于部署的原則，梭子魚的Web應(yīng)用防火墻在用戶部署之初就做了很多優(yōu)化，除了認為干預(yù)，還增加了自動模式，讓產(chǎn)品可以自動學(xué)習(xí)后臺服務(wù)器的架構(gòu)，甚至自動為用戶推薦合理的部署或防護的模式。

梭子魚Web應(yīng)用防火墻的易于使用，還體現(xiàn)在其強大的日志功能。通過日志，用戶可以看到某個網(wǎng)絡(luò)瀏覽行為為什么被阻斷，為什么被允許，這個動作可能阻斷多少攻擊等詳細信息。而且，在梭子魚WAF產(chǎn)品的日志除了提供用戶關(guān)注的信息，還會給出可行性建議，例如修改哪些參數(shù)，做怎樣的優(yōu)化，可以阻斷被漏判的攻擊或避免誤判。用戶在使用梭子魚Web應(yīng)用防火墻的過程中，不斷查看日志信息，不斷修改優(yōu)化，很快就可以讓它全面發(fā)揮作用。

被動模式可以校正策略

對于某些重要的Web應(yīng)用，如果不斷地調(diào)整Web應(yīng)用防火墻的策略，不停地試驗，很可能會影響到關(guān)鍵應(yīng)用的正常使用，甚至?xí)a(chǎn)生用戶投訴等不良后果。因此，自動模式雖好，但卻并不一定適合每一個網(wǎng)絡(luò)環(huán)境。

那么，在Web應(yīng)用防火墻的部署過程中，除了自己手動一條一條地添加策略，或者靠系統(tǒng)自己學(xué)習(xí)來提供建議策略，是否還有更穩(wěn)妥的模式，將部署過程中產(chǎn)生的風險降到最低？

正是因為考慮到這個層面，為了讓用戶可以更順暢地應(yīng)用Web應(yīng)用防火墻，梭子魚的Web應(yīng)用防火墻還提供了被動工作模式。在被動模式下，Web應(yīng)用防火墻只進行日志記錄，記錄訪問中可能存在的攻擊行為，而不采取任何阻斷行為，完全不會影響到用戶的正常使用。一定時間后，用戶可以通過查看日志，來判斷先前所設(shè)的策略是否存在問題，是否需要修改，直到明確不會出現(xiàn)問題為止。

被動模式只是讓用戶知道網(wǎng)絡(luò)上有什么，讓用戶明白在正常使用時可能收到什么樣的攻擊或威脅，便于用戶檢驗初期配置是否準確，從而設(shè)定最佳的防護策略。否則，如果用戶的策略一開始就存在漏判或誤判問題，前期工作壓力會很大，還可能增加很多不必要的麻煩。

事實上，安全本身就是一個管理的過程，只有不斷優(yōu)化策略，才能達到最佳的防護效果。

更多梭子魚下一代防火墻產(chǎn)品信息及成功案例，請登陸官方主頁: www.barracudanetworks.com.cn 。