浅谈应用交付的风险与防护

　　随着企业基于Web的业务模式快速发展，IT管理者们正在思考这样一个问题，如何才能让业务更加顺畅健康的开展。由此需求，我们注意到打造应用交付网络时下正成为IT业界关注的热点话题。然而，新技术的产生总会伴随新的挑战，应用交付网络也不例外。

　　通常，当我们提及应用交付时，用户首先会想到的是负载均衡。不可否认，负载均衡技术可以帮助企业优化关键业务系统，然而这并不能称为完整的应用交付。

　　正如梭子鱼中国区副总经理梁中钢所言，“用户在打造应用交付网络时，很多时候仅在强调应用的高效率，却忽视的更为重要的因素安全。”

　　没错，没有安全保障的应用交付，对于如今的企业关键业务应用而言是万万无法接受的。因此，我们必须强调，应用交付的核心必须兼顾高效率与安全，两手都要抓，两手都要硬。

　　应用层安全面临哪些挑战?

　　粗略的统计，今天针对应用层的攻击行为大致可以分为以下八种类型：

　　·缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。

　　·Cookie假冒——精心修改cookie数据进行用户假冒。

　　·认证逃避——攻击者利用不安全的证书和身份管理。

　　·非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据。

　　·强制访问——访问未授权的网页。

　　·隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序。

　　·跨站脚本攻击(XSS)——提交非法脚本，其他用户浏览时盗取用户帐号等信息。

　　·SQL注入——构造SQL代码让服务器执行，获取敏感数据。

　　面对这些基于Web，又频繁发生的攻击行为，传统的防火墙已显得无能为力。即使我们看到很多高端防火墙所谓的应用层安全保护模块，但由于其并不是转为应用层威胁扫描过滤而设计，其性能是否能满足大型企业的应用需求，我们不敢奢求。

　　应用安全亟需应用层防火墙

　　我们首先关注外界对于应用安全的反应。Gartner研究报告显示，当前成功的攻击事件中有75%以上发生在应用层，同时Gartner预测到2009年年底，80%的企业将成为应用层攻击的受害者。

　　权威的支付行业数据安全标准(PCI-DSS)中，同样明确规定银行机构采用有效的安全防御措施来保护用户的数据安全，避免用户数据泄露。

　　由此可见，由应用交付带来的安全需求，早已引起了业界的广泛关注。深入观察后不难看出，应用交付所面临的安全威胁主要集中于应用层面，而这正是专业的应用防火墙发挥作用的地方。

　　此时，或许您要问IPS好似也能抵御来自Web的攻击威胁，IPS与Web应用防火墙有何区别?从保护的对象来讲，二者皆是抵御Web攻击的有力武器，但其防御原理并不尽相同。IPS偏重规则比对，而Web应用防火墙更倾向于规则控制。两种不同设计思路的产品，我们认为其并不具有可比性，但客观的分析二者部署后所呈现的效果以及对于SQL注入等Web攻击行为的防御能力，我们认为Web应用防火墙的诸多优势更适用于行业Web应用系统或关键业务系统。

　　应用层防火墙需从用户角度出发

　　客观的讲，应用层防火墙并不是新的产品，早在2004年业内就已经有了应用层防火墙的范例。虽然应用层防火墙在国外已经有了相对固定的用户群，然而国内用户却对应用层防火墙产生了些许怀疑。某银行IT主管就曾表示，“由于应用层防火墙出现的时间较短，产品的标准、性能以及对于网上支付等关键业务系统的防护效果难以预估。”

　　用户的担心正反映了应用层防火墙的现状，我们不想深究是深度包检测更精确，还是规则控制更有效率。作为专业的安全产品，从用户的角度出发打造满足用户业务需求的产品却是十分必要的。作为专业的应用安全厂商，梭子鱼的应用层防火墙始终坚持终止、安全、加速三个方面齐头并进，帮助用户实现基于应用层的全面安全保护。

　　终止：所有用户浏览器和应用程序服务器的连接会话都在此终止。系统对于HTTP内容有着完全的访问权和控制权，检查所有的HTTP 内容，解释和建立规则。

　　安全：一旦会话被应用防火墙终止，会话将会被执行多种检查，以此阻止安全威胁，同时可提供URL、参数和格式区域的检查。

　　加速：除了WEB应用的安全性，数据中心还负责应用的可用性和响应时间。将加速功能(TCP 池，缓存，GZIP压缩)和可用性功能(负载均衡，内容交换，健康检查)在一个单一的节点处结合起来会显著地简化数据中心的体系结构，以此来降低成本。

　　不论用户的需求，还是安全厂商的努力，今天应用交付的时代已经到来，基于应用层的安全威胁也将来得更加猛烈。我们确信不久之后应用层防火墙即将大展拳脚，但这之前应用防火墙所面临的挑战必须一一克服，例如性能、价格、操控以及用户群体等等。梁中钢预测，到2012年应用防火墙在国内的市场份额将达到5亿元，我们虽无法判断这个数字是否准确，但是有一点可以肯定，在应用交付大趋势的推动下，应用层防火墙的未来一片光明。