目前,利用網上隨處可見的攻擊軟件,攻擊者不需要對網絡協議的深厚理解基礎,即可完成諸如更換Web網站主頁,到取管理員密碼,破壞整個網站數據等等攻擊。而這些攻擊過程中產生的網絡層數據,和正常數據沒有什麼區別,傳統的防火牆對於這些攻擊變得毫無作用。 .
今後的幾個月裡,Citrix、Barracuda-NetContinuum、F5 Networks、Imperva和Protegrity 將對其新產品Web應用防火牆增加一些功能,,以使它們在保護聯網的企業數據方面發揮更大的作用。 .
有效保衛應用程序 .
雖然傳統的防火牆多年來在第三層有效地阻斷了一些數據包,但它在阻止利用應用程序漏洞進行的攻擊方面卻無能為力。Web應用防火牆可檢測應用程序異常情況和敏感數據(如信用卡和社會保險號等)是否正被竊取,並阻斷攻擊或隱蔽敏感數據。 .
Forrester Research的分析師Rob Whiteley說:“許多具有Web應用程序的企業沒有Web應用防火牆也能對付過去。”多數企業用SSL加密方法保護通信流量,而有些企業則使用SSL VPN來確保經過授權的人才能連接Web應用程序。 .
Whiteley認為,像金融服務這樣的企業通常會購買這種產品。“應用防火牆適合於那些不能承受出現任何問題的企業。他們不希望因為沒有應用防火牆而留下漏洞,”他說,“多為自己提供一些保護措施是正確的。”
.
Web應用防火牆將與負載均衡設備和確保Web應用程序可用性的應用交換機集成在一起,以創造出可同時解決可訪問性和安全性的產品。Yankee Group的分析師Andrew Jaquith認為,這樣的平台可保持服務器對終端用戶的可用性和免受攻擊,還可確保進出數據中心的流量不受危害。 .
獨立的Web應用防火牆可在應用層檢查HTTP和HTTPS流量,在合法的應用程序運行時查找試圖蒙混過關的攻擊程序。Jaquith說:“這些產品可防范一些人運用惡意攻擊使一些網站洩露敏感信息或進行非法闖入。”
.
保護應用,殊途同歸 .
雖然Web應用防火牆廠商以不同的方式著手研究解決加速和保護Web應用程序流量的問題,但Web應用防火牆在網絡中的位置是不會變化的,它在應用服務器的前面,廠商所提供的功能可能包括服務器之間的流量負載均衡、壓縮、加密、HTTP和HTTPS流量的反向代理、檢查應用程序的一致性和匯聚TCP會話。 .
Citrix認為,就此而言,該公司的目標是將Web應用程序與應用交換機集成在一起, 這樣該設備就能為服務器分配流量,也能對流量進行仔細分析以查找應用層攻擊。 .
Barracuda-NetContinuum的產品負責人說:“預計NetContinuum明年將增加一些軟件工具,這些工具可使應用安全策略的配置更為容易。”該公司還在考慮,根據諸如安全聲明標記語言(Security Assertion Markup Language)之類的方案,應用網關應在身份識別和訪問管理方面發揮何種作用。 .