拿什么拯救Web时代的安全危机

　　随着基于Web环境下的应用越来越普遍，企业在信息化进程中将多种应用架设在Web平台上。这些应用的功能和性能都不断完善和提高，然而对安全却没有足够重视。黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上，接踵而至的却是Web安全威胁的凸显。根据 Gartner 的调查显示，目前成功的攻击案例中有75%发生在应用层而非网络层面上。同时，数据也显示，三分之二的Web站点缺乏有效的应用防护。

　　此时就出现了应用防火墙。它位于Web客户端和Web服务器之间，这些防火墙会在Web服务器前的应用层对HTTP流量进行检查。这些设备可以检测一个链接，分析用户对应用程序发出的命令。然后就可以分析出哪些是已知攻击，哪些是标准应用的演变。

　　用户对Web应用安全关注升温

　　梭子鱼中国区总经理何平在接受ZDNet采访时表示，目前用户对Web应用安全的关注度逐渐升温主要源于面临的三个问题。

　　第一种，地址转移。比如某公司说DNS域名地址解析被篡改了，就意味着应用方面做得再安全也没用，这个网站已经被转接到另外一个服务器去了。

　　第二种，拒绝服务攻击。通过密集性访问占用服务带宽资源，使得正常用户应用无法进行。

　　第三种，针对企业的Web网站后台数据库的窃取，更改和破坏。主要的攻击手段是SQL注入和跨站脚本攻击。套取访问用户的用户名、密码等信息以及后台数据窃取和破坏。

　　Web应用面临的主要攻击和威胁，后两种居多。因为DNS被篡改这种方式有难度且偏少，后两者难度小一点但是很频繁。

　　谁更适合防护Web安全应用?

　　Web应用防火墙(Web Application Firewall，WAF)与IPS、防火墙、UTM等安全设备最大的不同在哪里?何平认为，从技术层面讲，IPS是深度的包检测的产品，属于高级的网络防火墙。IPS所保护的不仅仅是Web应用，IPS的检测是标准化的，就导致一个问题，它对单纯的Web应用，包括SQL 注入的检查不是很专业，所以Web应用防火墙和IPS相比，它是更专业的基于Web防护的系统。

　　UTM是在网络防火墙基础上加上了部分的应用过滤功能，它可以阻挡一些非法网站的访问。但是UTM、传统防火墙或IPS，它们大部分功能还是在网络层，具有部分的应用层功能。而且，它们并不是针对Web应用，比如IPS，对后台很多种应用都可以进行防护，但是这个防护为粗略检查，比如说2个数据包先后被通过访问。这两个数据包利用时间差的关系，结合到一起能产生破坏力，这是IPS无法解决的问题。

　　何平强调，“虽然IPS和WEB应用防火墙的部署点都是在数据中心前端，但WEB应用防火墙的部署应在物理和逻辑上更靠近WEB服务器，用以检查代码合成的用意，从而阻断非法的数据包访问。防火墙和UTM更多强调内网安全，它们检查企业内外网之间的通信以规范对外访问和保护内网安全。”

　　认识Web应用防火墙

　　—功能。

　　Web应用防火墙从功能角度来说有三个部分。

　　1，网站隐身。禁止用户获取WEB服务器，应用服务器，数据库服务器的版本信息或提供不真实信息。很多攻击者的手段很简单，第一先搞清楚Web服务器版本和应用服务器的版本是什么，第二去找这个版本有哪些漏洞，第三去找利用这些漏洞，网上有哪些现成的工具，这是很常规的黑客攻击手法。

　　2，安全检查。简单说就是避免非法用户访问，避免用户采用非法命令访问。

　　3，应用加速。Web应用防火墙本身是功能和性能的统一化的产品，功能很强意味着安全检查做得很好。安全性很高会带来一些代价，就是时间延迟的代价，Web应用防火墙通过这种应用加速把这种延迟的代价进行回补，弥补，再进行加速。

　　也就是说Web应用防火墙在整个用户眼里是透明的，但是它做了两个工作，又检查又加速。

　　—价值

　　Web应用防火墙最大的价值不单纯在于它的安全防护，它的价值是一种应用交互的平台。打个比方，企业要上一套ERP系统，基于Web平台的，BS架构的。本来是希望找一个软件供应商三个月做完，需要具备所有功能。开发商所考虑的问题是功能性需求，如果开发商把安全性因素都考虑进来，开发周期至少会延长50%，甚至100%，所以对整个软件交付的周期和成本会非常高。但是有了WEB应用防火墙不一样，开发商只要把功能做好就行了，因为WEB应用防火墙可以帮助企业完成安全性的工作，这样交付周期会提高很快。

　　第二，系统上线以后可能存在一些功能需求变更，增加新功能要打补丁，就会有新的漏洞出现，意味着要面临新的安全威胁。这个时候WEB应用防火墙功能又体现出来，也就是说WEB应用防火墙最核心的价值有两块，第一是缩短用户的应用交付时间，二是为用户的应用运维提供一个最低成本的方案。

　　—行业属性

　　WEB应用防火墙行业属性非常明显，更适合大型企业，或者是政府机构。针对的客户群有两种，第一是针对经济效益，还有机密数据的要求比较高，比如说移动，电信等用户。另外是针对政府和军队，如果说网站被攻击了，可能带来的不是经济上的，是政治上的影响。

　　何平告诉我们，目前在中国市场上，对WEB应用防火墙需求比较明确的客户，包含政府，军队，上市公司，以及银行和电信。另外，高校应用也比较多，教育系统都含有比较敏感的信息，所以教育行业WEB应用防火墙部署也很普遍。