核心提示：如今，黑客及其攻擊策略是越來越精明、越來越危險。當(dāng)前的一大威脅就是應(yīng)用層攻擊，這類攻擊可以偷偷潛入防火墻、直至潛入Web應(yīng)用。這類攻擊有不少喜歡把寶貴的客戶數(shù)據(jù)作為下手目標(biāo)。

單憑防火墻再也不足以保護(hù)網(wǎng)上資產(chǎn)。如今，黑客及其攻擊策略是越來越精明、越來越危險。當(dāng)前的一大威脅就是應(yīng)用層攻擊，這類攻擊可以偷偷潛入防火墻、直至潛入Web應(yīng)用。沒錯，這類攻擊有不少喜歡把寶貴的客戶數(shù)據(jù)作為下手目標(biāo)。

那么，為什么普通防火墻阻止不了這類攻擊呢?因為這類攻擊偽裝成正常流量，沒有特別大的數(shù)據(jù)包，地址和內(nèi)容也沒有可疑的不相配，所以不會觸發(fā)警報。最讓人害怕的一個例子就是SQL指令植入式攻擊(SQL injection)。在這種攻擊中，黑客利用你自己的其中一張HTML表單，未經(jīng)授權(quán)就查詢數(shù)據(jù)庫。

另一種威脅就是命令執(zhí)行。只要Web應(yīng)用把命令發(fā)送到外殼程序，狡猾的黑客就可以在服務(wù)器上隨意執(zhí)行命令。另一些攻擊比較簡單。譬如說，HTML注釋里面往往含有敏感信息，包括不謹(jǐn)慎的編程人員留下的登錄信息。于是，針對應(yīng)用層的攻擊手段，從篡改coOKIes到更改HTML表單里面的隱藏字段，完全取決于黑客的想象力。

不過好消息是，大多數(shù)這類攻擊是完全可以阻止的。 如果結(jié)合使用，兩種互為補(bǔ)充的方案可以提供穩(wěn)固防線。首先，使用應(yīng)用掃描器徹底掃描你的Web應(yīng)用，查找漏洞。然后，使用Web應(yīng)用防火墻阻止不法分子闖入應(yīng)用掃描器基本上可以對你的服務(wù)器發(fā)動一系列模擬攻擊，然后匯報結(jié)果。

KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在詳細(xì)列出缺陷、建議補(bǔ)救方法方面的功能都相當(dāng)全面。AppScan Audit尤其值得關(guān)注，因為這款產(chǎn)品具有事后檢查功能，可以幫助編程人員在編制代碼時就查出漏洞。

不過，這些工具包沒有一款比得上安全專業(yè)人士的全面審查。一旦你設(shè)法堵住了漏洞，接下來就是部署Web應(yīng)用防火墻。這類防火墻的工作方式很有意思：弄清楚進(jìn)出應(yīng)用的正常流量的樣子，然后查出不正常流量。為此，Web應(yīng)用防火墻必須比普通防火墻更深層地檢查數(shù)據(jù)包。heck int在這方面最出名，不過KaVaDo、NetContinuum、Sanctum和Teros等其它廠商的名氣相對要小。

這類防火墻有的采用軟件，有的采用硬件，還有一些則兼而有之。不過別誤以為這類防火墻是即插即用的，即便采用硬件的也不能。與入侵檢測系統(tǒng)一樣，你也要認(rèn)真調(diào)整Web應(yīng)用防火墻，以減少誤報，又不讓攻擊潛入進(jìn)來。

由于垃圾郵件以及越來越狡猾的攻擊，如果您以為安裝防火墻就萬事大吉，高枕無憂的話，您就應(yīng)該好好想想上面所說您該如何應(yīng)對。