為了提供更為便捷和多樣化的服務(wù)，銀行將越來越多的業(yè)務(wù)搬到了網(wǎng)絡(luò)上，以網(wǎng)上銀行為代表的在線業(yè)務(wù)在極大地提高了銀行業(yè)務(wù)效率的同時，也為銀行系統(tǒng)的安全帶來了巨大的挑戰(zhàn)：對用戶的信息和資金提供足夠的保護(hù)是所有銀行業(yè)務(wù)的基礎(chǔ)。

與普通網(wǎng)站一樣，銀行的在線業(yè)務(wù)面臨著以O(shè)WASP十大威脅（OWASP Top 10）為代表的各種網(wǎng)絡(luò)攻擊。按照受到攻擊對象的不同，我們可以將惡意攻擊歸納為四大類：注入攻擊、會話攻擊、拒絕服務(wù)攻擊和其他類型攻擊。注入攻擊表現(xiàn)為通過合法數(shù)據(jù)輸入?yún)^(qū)傳遞惡意攻擊命令，具體包括SQL注入、跨站腳本、遠(yuǎn)程文件注入、系統(tǒng)命令注入等等——值得特別注意的是，注入攻擊是造成用戶信息泄漏的最主要原因；會話攻擊表現(xiàn)為對用戶訪問權(quán)限的偽造或篡改，因此可能會對目標(biāo)受害者造成巨大的實(shí)際財產(chǎn)損失，常見攻擊包括會話竊聽、會話劫持、跨站請求偽造等等；拒絕服務(wù)攻擊的目的是惡意占用和消耗系統(tǒng)資源，使網(wǎng)站不能為正常用戶提供基本服務(wù)，包括長度攻擊、速率控制攻擊和基于會話的攻擊等等；其他攻擊包括暴力破解、密碼攔截、日志篡改和緩沖區(qū)溢出等等。

另一方面，銀行業(yè)務(wù)還有其特殊性。目前銀行的網(wǎng)絡(luò)業(yè)務(wù)，尤其是網(wǎng)上銀行業(yè)務(wù)，一般都基于SOAP／WSDL／UDDI的Web服務(wù)構(gòu)建，處于其核心的是XML表達(dá)，因此除了一般網(wǎng)站各種應(yīng)用，銀行用戶還需要有專門針對XML內(nèi)容的防護(hù)。此外，由于銀行所面對的用戶非常廣泛，而且其提供的業(yè)務(wù)等級也很多，銀行為了應(yīng)對網(wǎng)絡(luò)訪問，需要對Web資產(chǎn)進(jìn)行分級，并提供良好的身份和訪問控制。

防范Web攻擊、具有XML防火墻并提供全面的身份和訪問控制，這是某銀行對其網(wǎng)站安全設(shè)備的主要要求。經(jīng)過多方對比和仔細(xì)測評，在與梭子魚工程師進(jìn)行了深入交流之后，該銀行最終選擇了梭子魚WEB應(yīng)用防火墻。該客戶在一天之內(nèi)迅速完成了梭子魚Web防火墻的安裝和部署，目前包括該銀行網(wǎng)站在內(nèi)的多種Web應(yīng)用都在梭子魚的保護(hù)之下，而且每周只需要花費(fèi)很少的時間去維護(hù)。自部署以來，梭子魚WEB應(yīng)用防火墻成功抵御了各種網(wǎng)絡(luò)攻擊，為該銀行的網(wǎng)上業(yè)務(wù)提供了完善的安全保障。“梭子魚WEB應(yīng)用防火墻消除了我們的一切后顧之憂”，該銀行CIO說。

在該案例中，客戶選擇梭子魚的原因主要包括：

·容易使用

·實(shí)際測試中表現(xiàn)出高的性能

·梭子魚的品牌和信譽(yù)

·最豐富的產(chǎn)品特性

·可靠的硬件平臺

·其他用戶的推薦

自部署以來，梭子魚WEB應(yīng)用防火墻抵御的主要攻擊包括：

·SQL注入

·跨站腳本攻擊

·拒絕服務(wù)攻擊

·非授權(quán)人試圖訪問公司資產(chǎn)