WEB應(yīng)用防火墻瞄準(zhǔn)盲點(diǎn)防御

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

安全問(wèn)題頻發(fā)已經(jīng)讓企業(yè)網(wǎng)管意識(shí)到原有的防火墻產(chǎn)品已經(jīng)不能滿足現(xiàn)在的各種網(wǎng)絡(luò)攻擊，針對(duì)于Web應(yīng)用的防火墻橫空出世。

隨著互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)的網(wǎng)絡(luò)應(yīng)用已經(jīng)開(kāi)始變的復(fù)雜多樣，比如郵件處理、數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)管理軟件的應(yīng)用等，而網(wǎng)絡(luò)攻擊也開(kāi)始轉(zhuǎn)向應(yīng)用層。據(jù)高盛統(tǒng)計(jì)數(shù)據(jù)表明，企業(yè)要面對(duì)75%的來(lái)自應(yīng)用層的攻擊，形勢(shì)非常嚴(yán)峻。

在企業(yè)的IT安全管理中，Web應(yīng)用安全是一個(gè)比較新的關(guān)注領(lǐng)域，企業(yè)還沒(méi)有充分的認(rèn)識(shí)，甚至有許多業(yè)內(nèi)人士對(duì)這個(gè)問(wèn)題也只是一知半解。而安全問(wèn)題頻發(fā)也讓企業(yè)網(wǎng)管意識(shí)到原有的防火墻產(chǎn)品已經(jīng)不能全面防御現(xiàn)在的各種網(wǎng)絡(luò)攻擊，于是，針對(duì)Web應(yīng)用的防火墻橫空出世。全球領(lǐng)先的應(yīng)用安全廠商，博威特網(wǎng)絡(luò)技術(shù)有限公司總經(jīng)理何支濤先生表示：現(xiàn)在很多攻擊已經(jīng)轉(zhuǎn)向應(yīng)用層，客戶雖然已經(jīng)裝了防火墻，裝了IPS但仍然會(huì)被攻擊，這就是應(yīng)用防火墻出現(xiàn)和存在的必要。

應(yīng)用防火墻是一個(gè)比較新的概念，與以往防火墻的安全理念不同，目前在中國(guó)還只有少數(shù)幾家企業(yè)提供這款產(chǎn)品。何支濤認(rèn)為：只要有網(wǎng)絡(luò)就需要有一個(gè)防火墻，而原有的防火墻只是針對(duì)一些底層的信息，比如說(shuō)網(wǎng)絡(luò)層，傳輸層這樣一些信息進(jìn)行過(guò)濾，進(jìn)行阻斷，而應(yīng)用防火墻是深究到應(yīng)用層，會(huì)對(duì)所有應(yīng)用信息進(jìn)行過(guò)濾，這是本質(zhì)的區(qū)別。

大家都有一個(gè)疑問(wèn)，就是企業(yè)已經(jīng)有IPS是不是還需要應(yīng)用防火墻，何支濤先生認(rèn)為：這兩款產(chǎn)品其實(shí)是一種互補(bǔ)的形式。區(qū)別在哪呢？舉一個(gè)簡(jiǎn)單的例子，比如說(shuō)有的公司，每一個(gè)人開(kāi)車進(jìn)入這家公司之前，他會(huì)對(duì)車進(jìn)行一個(gè)掃描，如果是一輛奔馳就會(huì)讓他進(jìn)去。而我們的產(chǎn)品相當(dāng)于是另外一種掃描，不僅看這輛車，也要看這個(gè)人是不是公司內(nèi)部人員。也就是說(shuō)應(yīng)用防火墻設(shè)備會(huì)做更精細(xì)的分析和過(guò)濾。

在國(guó)內(nèi)現(xiàn)階段各級(jí)大型企業(yè)網(wǎng)站系統(tǒng)的安全措施還多數(shù)僅限于購(gòu)置防火墻防毒墻等對(duì)病毒和IPS的防護(hù)，但是網(wǎng)頁(yè)非法篡改行為是利用操作系統(tǒng)和應(yīng)用程序的漏洞和管理的缺陷進(jìn)行攻擊，而這些公司原有的安全措施（如安裝防火墻、入侵檢測(cè)）則主要集中在網(wǎng)絡(luò)層上，無(wú)法對(duì)網(wǎng)頁(yè)篡改事件形成有效的監(jiān)控和防護(hù)。

為什么我們說(shuō)傳統(tǒng)防火墻阻止不了這類攻擊呢？因?yàn)檫@類攻擊偽裝成正常流量，沒(méi)有特別大的數(shù)據(jù)包，地址和內(nèi)容也沒(méi)有可疑的不相配，所以不會(huì)觸發(fā)警報(bào)。最讓人害怕的一個(gè)例子就是SQL指令植入式攻擊（SQL injection）。在這種攻擊中，黑客利用你自己的其中一張HTML表單，未經(jīng)授權(quán)就查詢數(shù)據(jù)庫(kù)。另一種威脅就是命令執(zhí)行。只要Web應(yīng)用把命令發(fā)送到外殼程序，狡猾的黑客就可以在服務(wù)器上隨意執(zhí)行命令。另一些攻擊比較簡(jiǎn)單。譬如說(shuō)，HTML注釋里面往往含有敏感信息，包括不謹(jǐn)慎的編程人員留下的登錄信息。

WEB應(yīng)用防火墻的出現(xiàn)就是為了專門解決這方面難題的，這種防火墻專門針對(duì)Web應(yīng)用進(jìn)行全面防護(hù)的設(shè)備，部署一個(gè)立體防護(hù)的層次，使其能自動(dòng)智能化地對(duì)黑客的這些攻擊手段進(jìn)行判別和防護(hù)應(yīng)用防火墻通過(guò)執(zhí)行應(yīng)用會(huì)話內(nèi)部的請(qǐng)求來(lái)處理應(yīng)用層，它專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，一些強(qiáng)大的應(yīng)用防火墻甚至能夠模擬代理成為網(wǎng)站服務(wù)器接受應(yīng)用交付，形象的來(lái)說(shuō)相當(dāng)于給原網(wǎng)站加上了一個(gè)安全的絕緣外殼。

應(yīng)用防火墻實(shí)現(xiàn)的原理在于應(yīng)用層訪問(wèn)控制列表，這不同于IPS和傳統(tǒng)防火墻。整個(gè)應(yīng)用層的訪問(wèn)控制列表所面對(duì)的對(duì)象是大家一般所熟知網(wǎng)站的地址，網(wǎng)站的參數(shù)，在整個(gè)網(wǎng)站互動(dòng)過(guò)程中所提交一些內(nèi)容，包括HTTP協(xié)議報(bào)文內(nèi)容，由于對(duì)HTTP協(xié)議完全認(rèn)知，通過(guò)這個(gè)協(xié)議分析就可知道它是惡意攻擊還是非惡意攻擊，IPS只是做部分的掃描，而應(yīng)用防火墻會(huì)做完全深層次的掃描。

Gartner統(tǒng)計(jì)：目前75%攻擊轉(zhuǎn)移到應(yīng)用層，當(dāng)企業(yè)的網(wǎng)站不斷遭到攻擊，原有的防火墻已經(jīng)不能滿足企業(yè)對(duì)網(wǎng)絡(luò)攻擊的防御。因?yàn)閼?yīng)用層面非常廣，比如說(shuō)Web應(yīng)用，郵件應(yīng)用，中間件應(yīng)用等，應(yīng)用在不斷增多，導(dǎo)致現(xiàn)在很多攻擊在應(yīng)用層?？蛻粼械姆阑饓?，IPS不能進(jìn)行全面的防御了。這就是博威特現(xiàn)在推出應(yīng)用防火墻的初衷，即幫助客戶完全擋住應(yīng)用層的攻擊。（e-works）