現如今網絡互連的世界，保護WWeb網站在某種程度上講等同于保護公司的業務與商業信譽，維護用戶良好的訪問體驗。隨著互聯網時代的到來，電子商務徹底改變了業務經營的模式，例如B2C、B2B、內部網絡與外部網絡成了日常的業務詞匯。由此，網站要么是業務擴展的絕對優勢手段，要么就成了一塊靜態的廣告板。

　　網站除了是公司的另一張“名片”外，它還是商業聯結的通道。通過網站，用戶可以查找公司的產品與信息，合作伙伴訪問共享的資源，或是用戶直接通過網站下單購買商品。對于eBay、Amazon等這樣的公司來講，“網站”就是其業務。如果網站運行出問題，不僅會讓公司的業務遭受影響，也會無形中降低用戶對公司信任度，進而流失掉部分用戶。

　　與此同時，網站最大的優點也是其最大的弱點所在，任何人都可以訪問。這種可達性使網站很容易成為網絡罪犯、黑客甚至激進主義者的攻擊目標。無論是出于怎樣的動機或使用何種方式方法，網站被攻擊了就意味著幾種情況：收入損失、負面的商業信譽、敏感數據泄露(例如用戶信用卡信息與個人信息)。

　　有關攻擊網站的案例已被廣泛的報道過，例如：

　　l 2014年2月17日，烏云漏洞報告平臺爆出淘寶認證缺陷可登錄任意淘寶賬號及支付寶，隨后支付寶安全團隊承認此漏洞是由新業務促發，但是沒有造成用戶數據泄露。

　　l 2014年2月底，網上流傳出疑似京東商城一批用戶的用戶名和密碼信息，3月3日京東官方回應此次事件為用戶賬號被盜，并稱經內部調查，沒有發生大規模用戶注冊信息泄露的情況。

　　Web應用安全防護面臨的挑戰

　　網站不僅帶來的是訪問信息或購買物品的便捷，而且越來越多的互聯網公司的內部架構是基于WWeb的。這種從傳統方式到基于Web應用的轉移，增加了敏感信息被竊取的風險。

　　根據Verizon公司的調研發現 ，對網站攻擊原因排名最前的兩位是信息竊取(金融或個人信息)與激進示威(不滿或抗議性質)。這些攻擊利用操作系統或Web應用軟件中存在的安全漏洞進行攻擊，更為精巧的攻擊例如SQL注入與XSS(跨站腳本)也會被用來獲取訪問敏感數據。

　　保護Web網站與應用的難度在于其透明的架構與動態的應用。網絡安全是相對直接的， 簡單說來就是定義安全策略允許或阻斷往來于網絡服務器的具體流量;但是網站的構成因素卻相當多，包括眾多的URL、參數與cookie等。對這些不同條目手動創建不同的策略基本上是不現實的。另外，隨著新的URL與參數的添加，Web網站變化也比較頻繁， 增加了安全管理員更新策略的難度。

　　另一方面，對網站實際運行的應用進行不斷檢測的過程中，發現大量的軟件漏洞進一步加劇了網站保護的難度，研發與應用的更新、代碼修改與更新、 面市的壓力等。

　　本已復雜的環境下更為不堪的是大多數Web網站是多服務器的分布式架構，使得這些關鍵因素的防護變得難上加難了。

　　保護在線的資產

　　保護網站資源必須采取整體的防御方法，包括網站的架構與網絡為基礎的應用。Fortinet建議采取三種能夠齊頭并進的方式進行：

　　l安全的代碼編寫習慣與代碼審查：良性且安全的Web應用開發環境以及遵從開放Web應用安全計劃(OWASP)或其他機構的Web開發標準，用戶能夠創建更多的安全或受信的應用，減少整個應用生命周期的漏洞數量是Web應用安全的有力保障之一。

　　執行Web應用漏洞評估/穿透測試： Web應用程序應經過手動或自動應用漏洞評估工具進行漏洞評估。后續還應對關鍵的應用程序穿透測試。

　　部署一款Web應用防火墻： Web應用防火墻(WAF)的作用是檢測并阻斷應用層攻擊。傳統的網絡安全解決方案是用于檢測與防御網絡與網絡端口級別的威脅與攻擊，而不針對應用級別，所以需要一款專用的防火墻。在現有的防火墻層面上部署WAF不僅保護基于Web的應用并增加整理網絡的安全性。

　　現如今有許多WAF做了功能上的延伸。 Fortinet的FortiWeb設備在單機設備中將WAF與XML防火墻功能相集成，且增加了漏洞掃描、應用加速與服務器負載均衡模塊化設置。FotiWeb中基于雙向的流量分析集成了主動與被動安全模塊與基于異常檢測引擎的嵌入式行為功能， 不干擾網絡架構與應用更改的情況下防御廣泛的Web應用層威脅。

　　智能化IT越來越進入到日常的生活， 公司的數據庫中積累的用戶信息容量與敏感數據只增不減。與此同時，網絡的威脅也在方式與技巧方面進化的日益復雜與成熟，采取主動的安全防御是任何公司保護數據的先行手段。建立安全的Web應用環境、定期執行漏洞檢測、部署先進的WAF方案所有的這些都是深入防御不可或缺的。