隨著企業(yè)基于Web的業(yè)務(wù)模式快速發(fā)展，IT管理者們正在思考這樣一個問題，如何才能讓業(yè)務(wù)更加順暢健康的開展。由此需求，我們注意到打造應(yīng)用交付網(wǎng)絡(luò)時下正成為IT業(yè)界關(guān)注的熱點話題。然而，新技術(shù)的產(chǎn)生總會伴隨新的挑戰(zhàn)，應(yīng)用交付網(wǎng)絡(luò)也不例外。

通常，當我們提及應(yīng)用交付時，用戶首先會想到的是負載均衡。不可否認，負載均衡技術(shù)可以幫助企業(yè)優(yōu)化關(guān)鍵業(yè)務(wù)系統(tǒng)，然而這并不能稱為完整的應(yīng)用交付。

正如梭子魚中國區(qū)副總經(jīng)理梁中鋼所言，“用戶在打造應(yīng)用交付網(wǎng)絡(luò)時，很多時候僅在強調(diào)應(yīng)用的高效率，卻忽視的更為重要的因素安全。”

沒錯，沒有安全保障的應(yīng)用交付，對于如今的企業(yè)關(guān)鍵業(yè)務(wù)應(yīng)用而言是萬萬無法接受的。因此，我們必須強調(diào)，應(yīng)用交付的核心必須兼顧高效率與安全，兩手都要抓，兩手都要硬。

應(yīng)用層安全面臨哪些挑戰(zhàn)?

粗略的統(tǒng)計，今天針對應(yīng)用層的攻擊行為大致可以分為以下八種類型：

·緩沖區(qū)溢出——攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令。

·Cookie假冒——精心修改cookie數(shù)據(jù)進行用戶假冒。

·認證逃避——攻擊者利用不安全的證書和身份管理。

·非法輸入——在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)。

·強制訪問——訪問未授權(quán)的網(wǎng)頁。

·隱藏變量篡改——對網(wǎng)頁中的隱藏變量進行修改，欺騙服務(wù)器程序。

·跨站腳本攻擊(XSS)——提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息。

·SQL注入——構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)。

面對這些基于Web，又頻繁發(fā)生的攻擊行為，傳統(tǒng)的防火墻已顯得無能為力。即使我們看到很多高端防火墻所謂的應(yīng)用層安全保護模塊，但由于其并不是轉(zhuǎn)為應(yīng)用層威脅掃描過濾而設(shè)計，其性能是否能滿足大型企業(yè)的應(yīng)用需求，我們不敢奢求。

應(yīng)用安全亟需應(yīng)用層防火墻

我們首先關(guān)注外界對于應(yīng)用安全的反應(yīng)。Gartner研究報告顯示，當前成功的攻擊事件中有75%以上發(fā)生在應(yīng)用層，同時Gartner預(yù)測到2009年年底，80%的企業(yè)將成為應(yīng)用層攻擊的受害者。

權(quán)威的支付行業(yè)數(shù)據(jù)安全標準(PCI-DSS)中，同樣明確規(guī)定銀行機構(gòu)采用有效的安全防御措施來保護用戶的數(shù)據(jù)安全，避免用戶數(shù)據(jù)泄露。

由此可見，由應(yīng)用交付帶來的安全需求，早已引起了業(yè)界的廣泛關(guān)注。深入觀察后不難看出，應(yīng)用交付所面臨的安全威脅主要集中于應(yīng)用層面，而這正是專業(yè)的應(yīng)用防火墻發(fā)揮作用的地方。

此時，或許您要問IPS好似也能抵御來自Web的攻擊威脅，IPS與Web應(yīng)用防火墻有何區(qū)別?從保護的對象來講，二者皆是抵御Web攻擊的有力武器，但其防御原理并不盡相同。IPS偏重規(guī)則比對，而Web應(yīng)用防火墻更傾向于規(guī)則控制。兩種不同設(shè)計思路的產(chǎn)品，我們認為其并不具有可比性，但客觀的分析二者部署后所呈現(xiàn)的效果以及對于SQL注入等Web攻擊行為的防御能力，我們認為Web應(yīng)用防火墻的諸多優(yōu)勢更適用于行業(yè)Web應(yīng)用系統(tǒng)或關(guān)鍵業(yè)務(wù)系統(tǒng)。

應(yīng)用層防火墻需從用戶角度出發(fā)

客觀的講，應(yīng)用層防火墻并不是新的產(chǎn)品，早在2004年業(yè)內(nèi)就已經(jīng)有了應(yīng)用層防火墻的范例。雖然應(yīng)用層防火墻在國外已經(jīng)有了相對固定的用戶群，然而國內(nèi)用戶卻對應(yīng)用層防火墻產(chǎn)生了些許懷疑。某銀行IT主管就曾表示，“由于應(yīng)用層防火墻出現(xiàn)的時間較短，產(chǎn)品的標準、性能以及對于網(wǎng)上支付等關(guān)鍵業(yè)務(wù)系統(tǒng)的防護效果難以預(yù)估。”

用戶的擔心正反映了應(yīng)用層防火墻的現(xiàn)狀，我們不想深究是深度包檢測更精確，還是規(guī)則控制更有效率。作為專業(yè)的安全產(chǎn)品，從用戶的角度出發(fā)打造滿足用戶業(yè)務(wù)需求的產(chǎn)品卻是十分必要的。作為專業(yè)的應(yīng)用安全廠商，梭子魚的應(yīng)用層防火墻始終堅持終止、安全、加速三個方面齊頭并進，幫助用戶實現(xiàn)基于應(yīng)用層的全面安全保護。

終止：所有用戶瀏覽器和應(yīng)用程序服務(wù)器的連接會話都在此終止。系統(tǒng)對于HTTP內(nèi)容有著完全的訪問權(quán)和控制權(quán)，檢查所有的HTTP 內(nèi)容，解釋和建立規(guī)則。

安全：一旦會話被應(yīng)用防火墻終止，會話將會被執(zhí)行多種檢查，以此阻止安全威脅，同時可提供URL、參數(shù)和格式區(qū)域的檢查。

加速：除了WEB應(yīng)用的安全性，數(shù)據(jù)中心還負責應(yīng)用的可用性和響應(yīng)時間。將加速功能(TCP 池，緩存，GZIP壓縮)和可用性功能(負載均衡，內(nèi)容交換，健康檢查)在一個單一的節(jié)點處結(jié)合起來會顯著地簡化數(shù)據(jù)中心的體系結(jié)構(gòu)，以此來降低成本。

不論用戶的需求，還是安全廠商的努力，今天應(yīng)用交付的時代已經(jīng)到來，基于應(yīng)用層的安全威脅也將來得更加猛烈。我們確信不久之后應(yīng)用層防火墻即將大展拳腳，但這之前應(yīng)用防火墻所面臨的挑戰(zhàn)必須一一克服，例如性能、價格、操控以及用戶群體等等。梁中鋼預(yù)測，到2012年應(yīng)用防火墻在國內(nèi)的市場份額將達到5億元，我們雖無法判斷這個數(shù)字是否準確，但是有一點可以肯定，在應(yīng)用交付大趨勢的推動下，應(yīng)用層防火墻的未來一片光明。