幾周前，我們通過Imperva的眾包威脅情報系統(tǒng)——社區(qū)防御(Community Defense)對近期的應(yīng)用攻擊速率進行了簡要分析。從今年5月8日至今，全球共發(fā)生了近32萬(319915)起SQL注入攻擊事件。為了更好地理解這個數(shù)字之下的意義，我們將通過下圖來說明網(wǎng)絡(luò)應(yīng)用流量的基本構(gòu)成，無論它們是基于云端還是本地。

當用戶從網(wǎng)站請求網(wǎng)頁或數(shù)據(jù)時，流量路徑中的一些通用組件可以對流量進行解碼和檢驗，并針對網(wǎng)絡(luò)應(yīng)用及其數(shù)據(jù)做出安全決策，保護其免遭黑客攻擊。

上圖是流量導(dǎo)入網(wǎng)絡(luò)應(yīng)用的過程，我們再來看看攻擊的順序：從NGFW，到IPS，再到WAF(有時還有緩沖隔層)。當攻擊者使用SQL注入查詢數(shù)據(jù)時，表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以前兩層防火墻并不會對它發(fā)出警報。這意味著，SQL注入會一路暢通，只有到達WAF防護層時，才會被視作惡意攻擊，因為NGFWs和IPSs并不是為網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫所設(shè)。所以，只有WAF才能阻止SQL注入攻擊，人們以為NGFWs和IPSs就可以防護網(wǎng)絡(luò)應(yīng)用攻擊純粹是一個誤解。