拿什么拯救Web时代的安全危机

　　拯救你的Web应用

　　企业选择WEB应用防火墙应关注WEB应用防火墙本身的功能，及它的可配置性。选择一款功能强大的web应用安全产品，又可以根据需求开启企业所需的功能是比较适合的。因为企业的应用是变化的，今天的应用仅仅是上一个ERP系统，明天上SCM，后天上CRM，而且可能这三个产品是不同供应商提供的，它的安全级别也不一样。所以WEB应用防火墙产品只有功能很强大可配置才能适应企业不同的需求变更。

　　软件WAF VS 硬件WAF—WEB应用防火墙在产品的表现形式，第一种是纯软件的WEB应用防火墙，装到服务器上，放在网关起到过滤作用。但是何平建议，“用户最好选择硬件的系统，硬件是一种专用的网关设备，服务器毕竟是计算平台，不是网络平台。”

　　有些用户可以选择纯软件的产品，比如企业已经部署好虚拟化平台的，企业的 OA系统、ERP系统，已经完全基于虚拟化平台部署的，这时候选择WEB应用防火墙可以考虑买一个虚拟化版本的平台。这样相当于开一个虚拟化机器一样，计算平台和网络平台可以充分利用，只是应用它的功能而已。

　　Web应用安全策略—对于企业系统应用的用户访问量不是很大，比如系统大概一千多个用户，但是应用很关键，都涉及到企业机密的这些东西，这时候部署WEB应用防火墙肯定足够了，因为这种访问量的带宽要求并不高，因为用户数量有限。

　　但是对用户可能同时在线有几十万，上百万，比如零售、银行这样的网站，这种情况下单纯部署WEB应用防火墙的话，相当于用牛刀杀鸡。这种安全性威胁并不大，但是量非常大，最好是在前端部署IPS，后端再加WEB应用防火墙。

　　方案配置—一个产品的方案配置通常是通过三个阶段来完成。第一个阶段，上了WEB应用防火墙之后，首先针对后台应用进行扫描，以确定应用存在哪些漏洞。然后生成第一个版本的配置数据，比如如果发现用户校验有问题，那就加强这一块的防护级别，这是第一阶段。第二阶段，听取用户的需求，因为不同的行业，黑客所感兴趣的东西不一样，采用的手段也不一样。把受攻击手段最多的那一块进行优化加强。第三，Web应用防火墙本身是一个技术平台，它是一个基于Web的技术解决方案，针对不同行业防护策略也有差别。防护策略的差别是通过原来最早的自动扫描，加上用户需求，加上Web攻击的属性三个来决定的。

　　Web应用安全产品走向哪里?

　　随着对Web应用安全的更加细分，何平认为未来会出现比Web应用防火墙现有的功能需要更细分的一个产品，所以Web应用防火墙可能会演化为两种。第一种是被替代，Web威胁可能越来越细分了，一细分就需要单独的系统去管理。

　　还有一种，功能会越来越强大，这种功能强大不是单纯本身功能，而是说从一个产品变成一个平台，它会结合很多第三方的资源和专利技术，为用户提供更有针对性的，可定制化的安全解决方案。

　　梭子鱼的web应用安全产品已经从原来单纯对整个Web隐身、检查和加速的基础上，增加了一些和第三方的接口，目前大概支持至少十几个不同厂商的更细分的Web安全解决方案。比如和IBM的网站漏洞扫描系统的接口，和RSA的令牌接口等，也就意味着Web防火墙从一个单纯性产品变成一个安全平台了，这种演化的目的是应对更加细致的安全需求。

　　另外，也有一些共性的趋势。比如是虚拟化，因为大型企业虚拟化的平台部署越来越多，整个Web应用防火墙的解决方案，虚拟化部署的比例会提高。

　　第三，与云安全技术的结合，以前的Web应用防火墙更多是本地计算，比如说零日攻击，解决问题的同时把这个信息上传到全球的云系统里面去。当另外一台设备发现同样的性能代码的时候，它能扫描以前的阻断方式是什么。Web应用防火墙归纳起来有三个趋势，一个是功能平台化，第二是部署的虚拟化，第三是防护的云化。

　　记者手记

　　从中国目前现状来看，Web应用防火墙的市场成长非常快，何平告诉记者，“Web应用防火墙每年平均市场增长率在200%以上。”虽然成长很快，但潜力还有待于进一步挖掘，它的价值还没有充分意识到，尤其是很多企业部署WAF的时候，更多的是简单理解为防护网站，其实WAF最核心的功能是提升用户的应用交付周期，降低成本。