那什么拯救Web時(shí)代的安全危機(jī)

　　那什么拯救Web時(shí)代的安全危機(jī)

   隨著基于Web環(huán)境下的應(yīng)用越來(lái)越普遍，企業(yè)在信息化進(jìn)程中將多種應(yīng)用架設(shè)在Web平臺(tái)

上。這些應(yīng)用的功能和性能都不斷完善和提高，然而對(duì)安全卻沒(méi)有足夠重視。黑客們也將注

意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì) Web 應(yīng)用的攻擊上，接踵而至的卻是Web安

全威脅的凸顯。根據(jù) Gartner 的調(diào)查顯示，目前成功的攻擊案例中有75%發(fā)生在應(yīng)用層而非

網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，三分之二的Web站點(diǎn)缺乏有效的應(yīng)用防護(hù)。

　　此時(shí)就出現(xiàn)了應(yīng)用防火墻。它位于Web客戶端和Web服務(wù)器之間，這些防火墻會(huì)在Web服

務(wù)器前的應(yīng)用層對(duì)HTTP流量進(jìn)行檢查。這些設(shè)備可以檢測(cè)一個(gè)鏈接，分析用戶對(duì)應(yīng)用程序發(fā)

出的命令。然后就可以分析出哪些是已知攻擊，哪些是標(biāo)準(zhǔn)應(yīng)用的演變。

　　用戶對(duì)Web應(yīng)用安全關(guān)注升溫

　　梭子魚(yú)中國(guó)區(qū)總經(jīng)理何平在接受ZDNet采訪時(shí)表示，目前用戶對(duì)Web應(yīng)用安全的關(guān)注度逐

漸升溫主要源于面臨的三個(gè)問(wèn)題。

　　第一種，拒絕服務(wù)攻擊。比如某公司說(shuō)DNS域名被篡改了，就意味著應(yīng)用方面做得再安

全也沒(méi)用，這個(gè)網(wǎng)站已經(jīng)被轉(zhuǎn)接到另外一個(gè)服務(wù)器去了。

　　第二種，針對(duì)企業(yè)的Web網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)的更改，泄密和破壞。主要的攻擊手段是SQL代

碼的植入，導(dǎo)致企業(yè)內(nèi)部的數(shù)據(jù)損失或者是被更改。

　　第三種，網(wǎng)站掛馬或者叫做跨站腳本攻擊，套取訪問(wèn)用戶的用戶名、密碼等。

　　Web應(yīng)用面臨的主要攻擊和威脅，后兩種居多。因?yàn)镈NS被篡改這種方式有難度且偏少，

后兩者難度小一點(diǎn)但是很頻繁。

　　誰(shuí)更適合防護(hù)Web安全應(yīng)用？

　　Web應(yīng)用防火墻（Web Application Firewall，WAF）與IPS、防火墻、UTM等安全設(shè)備最

大的不同在哪里？何平認(rèn)為，從技術(shù)層面講，IPS是深度的包檢測(cè)的產(chǎn)品，屬于高級(jí)的網(wǎng)絡(luò)

防火墻。IPS所保護(hù)的不僅僅是Web應(yīng)用，IPS的檢測(cè)是非常嚴(yán)格和標(biāo)準(zhǔn)化的，就導(dǎo)致一個(gè)問(wèn)

題，它對(duì)整個(gè)單純的Web應(yīng)用，包括SQL 注入的檢查不是很專業(yè)，所以Web應(yīng)用防火墻和IPS

相比，它是更專業(yè)的基于Web防護(hù)的系統(tǒng)。

　　UTM是在網(wǎng)絡(luò)防火墻基礎(chǔ)上加上了部分的應(yīng)用過(guò)濾功能，它可以阻擋一些非法網(wǎng)站的訪

問(wèn)。但是UTM、傳統(tǒng)防火墻或IPS，它們大部分功能還是在網(wǎng)絡(luò)層，具有部分的應(yīng)用層功能。

而且，它們并不是針對(duì)Web應(yīng)用，比如IPS，對(duì)后臺(tái)很多種應(yīng)用都可以進(jìn)行防護(hù)，但是這個(gè)防

護(hù)為粗略檢查，比如說(shuō)2個(gè)數(shù)據(jù)包先后被通過(guò)訪問(wèn)。這兩個(gè)數(shù)據(jù)包利用時(shí)間差的關(guān)系，結(jié)合

到一起能產(chǎn)生破壞力，這是IPS無(wú)法解決的問(wèn)題。

　　何平強(qiáng)調(diào)，“Web應(yīng)用防火墻可以檢查代碼合成的用意，從而阻斷非法的數(shù)據(jù)包訪問(wèn)。

所以Web應(yīng)用防火墻，IPS和防火墻、UTM的差別，一個(gè)是在防護(hù)層面，另外是IPS是和Web應(yīng)

用防火墻部署的點(diǎn)是一致的，基本是企業(yè)的數(shù)據(jù)中心前端。防火墻和UTM更多強(qiáng)調(diào)內(nèi)網(wǎng)安全

，它防護(hù)的企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)，防止內(nèi)部用戶訪問(wèn)非法網(wǎng)站，也防止整個(gè)公司內(nèi)部的信息外泄

。但是Web應(yīng)用防火墻，IPS保護(hù)的是Web服務(wù)器防止被攻擊。”

　　認(rèn)識(shí)Web應(yīng)用防火墻

　　—功能

　　Web應(yīng)用防火墻從功能角度來(lái)說(shuō)有三個(gè)部分。

　　1，網(wǎng)站隱身。從攻擊者角度來(lái)看后臺(tái)是隱蔽的。很多攻擊者的手段很簡(jiǎn)單，第一先搞

清楚Web服務(wù)器版本和應(yīng)用服務(wù)器的版本是什么，第二去找這個(gè)版本有哪些漏洞，第三去找

利用這些漏洞，網(wǎng)上有哪些現(xiàn)成的工具，這是很常規(guī)的黑客攻擊手法。

　　2，安全檢查。簡(jiǎn)單說(shuō)就是避免非法用戶訪問(wèn)，避免用戶采用非法命令訪問(wèn)。

　　3，應(yīng)用加速。Web應(yīng)用防火墻本身是功能和性能的統(tǒng)一化的產(chǎn)品，功能很強(qiáng)意味著安全

檢查做得很好。安全性很高會(huì)帶來(lái)一些代價(jià)，就是時(shí)間延遲的代價(jià)，Web應(yīng)用防火墻通過(guò)這

種應(yīng)用加速把這種延遲的代價(jià)進(jìn)行回補(bǔ)，彌補(bǔ)，再進(jìn)行加速。

　　也就是說(shuō)Web應(yīng)用防火墻在整個(gè)用戶眼里是透明的，但是它做了兩個(gè)工作，又檢查又加

速。

　　—價(jià)值

　　Web應(yīng)用防火墻最大的價(jià)值不單純?cè)谟谒�的安全防護(hù)，它的價(jià)值是一種應(yīng)用交互的平臺(tái)

。打個(gè)比方，企業(yè)要上一套ERP系統(tǒng)，基于Web平臺(tái)的，BS架構(gòu)的。本來(lái)是希望找一個(gè)軟件供

應(yīng)商三個(gè)月做完，需要具備所有功能。開(kāi)發(fā)商所考慮的問(wèn)題是功能性需求，如果開(kāi)發(fā)商把安

全性因素都考慮進(jìn)來(lái)，開(kāi)發(fā)周期至少會(huì)延長(zhǎng)50%，甚至100%，所以對(duì)整個(gè)軟件交付的周期和

成本會(huì)非常高。但是有了Web應(yīng)用防火墻不一樣，開(kāi)發(fā)商只要把功能做好就行了，因?yàn)榍岸?/p>

的阻斷功能Web應(yīng)用防火墻可以幫助企業(yè)完成，就是安全性的工作，這樣交付周期會(huì)提高很

快。

　　第二，系統(tǒng)上線以后可能存在一些功能需求變更，增加新功能要打補(bǔ)丁，就會(huì)有新的漏

洞出現(xiàn)，意味著要面臨新的安全威脅。這個(gè)時(shí)候Web應(yīng)用防火墻功能又體現(xiàn)出來(lái)，也就是說(shuō)

Web應(yīng)用防火墻最核心的價(jià)值有兩塊，第一是縮短用戶的應(yīng)用交付時(shí)間，二是為用戶的應(yīng)用

運(yùn)維提供一個(gè)最低成本的方案。

　　—行業(yè)屬性

　　Web應(yīng)用防火墻行業(yè)屬性非常明顯，更適合大型企業(yè)，或者是政府機(jī)構(gòu)。針對(duì)的客戶群

有兩種，第一是針對(duì)經(jīng)濟(jì)效益，還有機(jī)密數(shù)據(jù)的要求比較高，比如說(shuō)移動(dòng)，電信等用戶。另

外是針對(duì)政府和軍隊(duì)，如果說(shuō)網(wǎng)站被攻擊了，可能帶來(lái)的不是經(jīng)濟(jì)上的，是政治上的影響。

　　何平告訴我們，目前在中國(guó)市場(chǎng)上，對(duì)Web應(yīng)用防火墻需求比較明確的客戶，包含政府

，軍隊(duì)，上市公司，以及銀行和電信。另外，高校應(yīng)用也比較多，教育系統(tǒng)都含有比較敏感

的信息，所以教育行業(yè)Web應(yīng)用防火墻部署也很普遍。
億恩科技服務(wù)器租用/服務(wù)器托管/帶寬租用/機(jī)柜租用/域名/空間/VPS 

詳情咨詢：QQ：865928513 0371-60135992
http://user.qzone.qq.com/865928513

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]