認識 Web 應(yīng)用防火墻

目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ)，即可完成諸如更換Web網(wǎng)站主頁，到取管理員密碼，破壞整個網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別，傳統(tǒng)的防火墻對于這些攻擊變得毫無作用。
今后的幾個月里，Citrix、Barracuda－NetContinuum、F5 Networks、Imperva和Protegrity 將對其新產(chǎn)品Web應(yīng)用防火墻增加一些功能，以使它們在保護聯(lián)網(wǎng)的企業(yè)數(shù)據(jù)方面發(fā)揮更大的作用。
有效保衛(wèi)應(yīng)用程序
雖然傳統(tǒng)的防火墻多年來在第三層有效地阻斷了一些數(shù)據(jù)包，但它在阻止利用應(yīng)用程序漏洞進行的攻擊方面卻無能為力。Web應(yīng)用防火墻可檢測應(yīng)用程序異常情況和敏感數(shù)據(jù)（如信用卡和社會保險號等）是否正被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)。
Forrester Research的分析師Rob Whiteley說：“許多具有Web應(yīng)用程序的企業(yè)沒有Web應(yīng)用防火墻也能對付過去。”多數(shù)企業(yè)用SSL加密方法保護通信流量，而有些企業(yè)則使用SSL VPN來確保經(jīng)過授權(quán)的人才能連接Web應(yīng)用程序。
Whiteley認為，像金融服務(wù)這樣的企業(yè)通常會購買這種產(chǎn)品。“應(yīng)用防火墻適合于那些不能承受出現(xiàn)任何問題的企業(yè)。他們不希望因為沒有應(yīng)用防火墻而留下漏洞，”他說，“多為自己提供一些保護措施是正確的。”
Web應(yīng)用防火墻將與負載均衡設(shè)備和確保Web應(yīng)用程序可用性的應(yīng)用交換機集成在一起，以創(chuàng)造出可同時解決可訪問性和安全性的產(chǎn)品。Yankee Group的分析師Andrew Jaquith認為，這樣的平臺可保持服務(wù)器對終端用戶的可用性和免受攻擊，還可確保進出數(shù)據(jù)中心的流量不受危害。
獨立的Web應(yīng)用防火墻可在應(yīng)用層檢查HTTP和HTTPS流量，在合法的應(yīng)用程序運行時查找試圖蒙混過關(guān)的攻擊程序。Jaquith說：“這些產(chǎn)品可防范一些人運用惡意攻擊使一些網(wǎng)站泄露敏感信息或進行非法闖入。”
保護應(yīng)用，殊途同歸
雖然Web應(yīng)用防火墻廠商以不同的方式著手研究解決加速和保護Web應(yīng)用程序流量的問題，但Web應(yīng)用防火墻在網(wǎng)絡(luò)中的位置是不會變化的，它在應(yīng)用服務(wù)器的前面，廠商所提供的功能可能包括服務(wù)器之間的流量負載均衡、壓縮、加密、HTTP和HTTPS流量的反向代理、檢查應(yīng)用程序的一致性和匯聚TCP會話。
Citrix認為，就此而言,該公司的目標是將Web應(yīng)用程序與應(yīng)用交換機集成在一起, 這樣該設(shè)備就能為服務(wù)器分配流量，也能對流量進行仔細分析以查找應(yīng)用層攻擊。
Barracuda－NetContinuum的產(chǎn)品負責(zé)人說：“預(yù)計NetContinuum明年將增加一些軟件工具，這些工具可使應(yīng)用安全策略的配置更為容易。”該公司還在考慮，根據(jù)諸如安全聲明標記語言（Security Assertion Markup Language）之類的方案，應(yīng)用網(wǎng)關(guān)應(yīng)在身份識別和訪問管理方面發(fā)揮何種作用。
F5的產(chǎn)品管理和營銷副總裁Erik Giesa提到,該公司將依靠保護XML（可擴展標記語言）和SIP（會話初始化協(xié)議）流量來支持Web服務(wù)器和VoIP。它還正在求助于在其平臺中增加WAN加速技術(shù)和制作一種軟件開發(fā)者工具包，以鼓勵創(chuàng)建一旦發(fā)現(xiàn)入侵就能阻斷流量的自保護應(yīng)用程序。該應(yīng)用程序?qū)⑴c管理F5 Big IP應(yīng)用交換機的軟件相結(jié)合，在Big IP內(nèi)建立一個可阻斷可疑流量的規(guī)則。
Imperva的首席執(zhí)行官Shlomo Kramer說：“Imperva 計劃開發(fā)一些審計和評估工具，這些工具可幫助客戶遵從這樣的一些規(guī)則：支付卡行業(yè)標準、HIPAA法案和用于保護私密信息的Sarbanes-Oxley法案。”據(jù)Protegrity的產(chǎn)品戰(zhàn)略和開發(fā)副總裁Jeannine Bartlett介紹，Protegrity期望將其數(shù)據(jù)庫安全裝置與通過Kavado得到的應(yīng)用保護軟件結(jié)合在一起。她說：“我們明年的發(fā)布主要集中在后端報告、統(tǒng)計、度量、特定應(yīng)用程序映射上，以滿足客戶遵從法規(guī)的各種需要。這才是較大型公司所真正需要的東西。”
Whitely認為，所有這一切活動都表明，應(yīng)用防火墻正趨于成熟。這些設(shè)備多數(shù)是衍生于反向代理技術(shù)，利用這種技術(shù)，向Web服務(wù)器傳送的流量由代理終止后以單獨會話的方式傳送給服務(wù)器，然后服務(wù)器的響應(yīng)又被代理。雖然流量經(jīng)過了代理，但是該設(shè)備可對流量進行檢查，以確定它是否有利用應(yīng)用程序漏洞的企圖。
普遍應(yīng)用尚需時日
Pacific Northwest National Laboratory使用Barracuda－NetContinuum應(yīng)用防火墻來保護其Web應(yīng)用程序。該機構(gòu)網(wǎng)絡(luò)安全組的研究科學(xué)家Mark Hadley說：“有時需要重寫應(yīng)用程序以便它們能通過應(yīng)用防火墻。”例如，如果一個應(yīng)用協(xié)議的某個字段使用一個也用于Web應(yīng)用程序URL的字符，如“forward slash”，那就表示它是一個可被攻擊者利用的漏洞。因此，用戶應(yīng)對其應(yīng)用程序有可能需要重寫一事作好準備。Hadley建議設(shè)立測試環(huán)境，在應(yīng)用程序部署之前將它們運行一遍，鑒別和修正這樣的小毛病。
Whiteley認為，這種復(fù)雜性可能會使一些用戶認為應(yīng)用防火墻復(fù)雜得難以部署，如果他們的應(yīng)用程序?qū)λ麄兊臉I(yè)務(wù)不是關(guān)鍵性的，就更不愿意部署應(yīng)用防火墻。他的觀點是，當廠商們把應(yīng)用防火墻和應(yīng)用交換機集成在同一個設(shè)備中，并開發(fā)一些軟件工具使它們更易于配置時，就會有更多的商業(yè)用戶使用它們。他說：“再過9到12個月，它就會被廣泛采用。”

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]