Web2.0的廣泛采用，使越來越多的企業(yè)網(wǎng)站把用戶生成內(nèi)容、在線直播、交互式內(nèi)容與傳統(tǒng)的圖片、文本混合在一起。但Web2.0對企業(yè)安全的影響也是巨大的。許多Web2.0網(wǎng)站使用來自多個源的不同元素和功能的混搭，因而幾乎無法驗證其代碼。此外，隨著Web2.0網(wǎng)站的成熟且變得越來越動態(tài)化，企業(yè)越來越難以確認正常的通信模式(可用作設(shè)置使用策略或防火墻規(guī)則的標準)，由此導致的結(jié)果是，網(wǎng)站容易遭受攻擊。

Web應用防火墻就是為應對這種威脅而產(chǎn)生的。它不像傳統(tǒng)的防火墻那樣保護整個網(wǎng)絡(luò)，而是僅僅保護Web服務器的安全。Web應用防火墻位于Web客戶端和Web服務器之間，它可以監(jiān)視應用程序的每一個請求和響應。它查找特定的“攻擊特征”，用以識別進入的具體的攻擊，同時監(jiān)測違反以前正常通信行為的異常行為。

雖然Web應用防火墻對于任何Web應用程序安全都極為重要，但只有配置正確才能真正有效。多數(shù)問題是由錯誤的初始配置而不是操作引起的，但只要安全管理者采取幾個簡單步驟就可以避免很多常見問題。

協(xié)調(diào)Web應用程序防火墻配置與Web更新周期的關(guān)系

配置Web應用防火墻與更新Web應用程序的周期結(jié)合起來可以防止許多重大問題。配置Web應用防火墻的最佳時間是更新網(wǎng)站或打補丁的時候。如果這兩種操作不同時進行，就會有部分或全部應用程序不受保護。此時，Web應用防火墻會把部分應用程序識別為欺詐元素并阻止它。對于該網(wǎng)站的用戶來說，其后果很嚴重，他們將經(jīng)歷諸如消息不能上傳、內(nèi)容無法訪問等問題。

檢查第三方代碼的漏洞和缺陷

混搭、聚合等是Web2.0的本質(zhì)，但是如果這些功能有漏洞，就會導致整個Web的基礎(chǔ)架構(gòu)面臨遭受攻擊的危險。在網(wǎng)站前面放置Web應用防火墻可以保護網(wǎng)站，但要實現(xiàn)更強健的安全，就必須檢查Web的安全漏洞。這種評估可以在危險發(fā)生之前提供網(wǎng)站將要發(fā)生問題的詳細信息。

評估工具有專用的，也有非專用的。雖然這些評估工具都可以掃描漏洞，但最合適的工具是由它與Web應用防火墻的兼容性決定的。評估工具有人工和自動兩種版本。人工版是由外部的機構(gòu)或顧問實施的，并且要滿足PCI DSS的要求，而自動評估是由外部的掃描軟件處理的。為穩(wěn)妥起見，既運行人工測試又執(zhí)行自動測試是非常明智的。把漏洞檢查的結(jié)果反饋給廠商也很值得;廠商們很愿意知道自己需要在哪里做出改進。

使用自帶加速功能的Web應用防火墻

IT部門經(jīng)常擔心Web應用防火墻意味著延遲，因而會影響到用戶體驗和工作效率。如果這是一種嚴重問題，企業(yè)不妨選擇具有加速功能的Web應用防火墻，從而減少Web的延遲并提高整體的通信性能。

別忘了保護好“后門”

在利用Web應用防火墻保護“前門”(或稱應用程序)后，IT部門往往會忽略“后門”(其中包括數(shù)據(jù)庫和后端應用程序)的保護。如果Web應用防火墻遺漏了什么，那么整個網(wǎng)站都易遭受攻擊。要想保護好這兩個“門”，企業(yè)應當借助于數(shù)據(jù)庫活動監(jiān)視產(chǎn)品、正確的Web應用防火墻配置和漏洞評估手段。

這種做法可能代價較高，但全方位的解決方案可以在問題帶來真正的損害之前就解決所有問題。與重大Web事件所帶來的財務、運營、聲譽等成本相比，上述方法的成本簡直微不足道。