那什么拯救Web时代的安全危机

　　那什么拯救Web时代的安全危机

   随着基于Web环境下的应用越来越普遍，企业在信息化进程中将多种应用架设在Web平台

上。这些应用的功能和性能都不断完善和提高，然而对安全却没有足够重视。黑客们也将注

意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上，接踵而至的却是Web安

全威胁的凸显。根据 Gartner 的调查显示，目前成功的攻击案例中有75%发生在应用层而非

网络层面上。同时，数据也显示，三分之二的Web站点缺乏有效的应用防护。

　　此时就出现了应用防火墙。它位于Web客户端和Web服务器之间，这些防火墙会在Web服

务器前的应用层对HTTP流量进行检查。这些设备可以检测一个链接，分析用户对应用程序发

出的命令。然后就可以分析出哪些是已知攻击，哪些是标准应用的演变。

　　用户对Web应用安全关注升温

　　梭子鱼中国区总经理何平在接受ZDNet采访时表示，目前用户对Web应用安全的关注度逐

渐升温主要源于面临的三个问题。

　　第一种，拒绝服务攻击。比如某公司说DNS域名被篡改了，就意味着应用方面做得再安

全也没用，这个网站已经被转接到另外一个服务器去了。

　　第二种，针对企业的Web网站后台数据库的更改，泄密和破坏。主要的攻击手段是SQL代

码的植入，导致企业内部的数据损失或者是被更改。

　　第三种，网站挂马或者叫做跨站脚本攻击，套取访问用户的用户名、密码等。

　　Web应用面临的主要攻击和威胁，后两种居多。因为DNS被篡改这种方式有难度且偏少，

后两者难度小一点但是很频繁。

　　谁更适合防护Web安全应用？

　　Web应用防火墙（Web Application Firewall，WAF）与IPS、防火墙、UTM等安全设备最

大的不同在哪里？何平认为，从技术层面讲，IPS是深度的包检测的产品，属于高级的网络

防火墙。IPS所保护的不仅仅是Web应用，IPS的检测是非常严格和标准化的，就导致一个问

题，它对整个单纯的Web应用，包括SQL 注入的检查不是很专业，所以Web应用防火墙和IPS

相比，它是更专业的基于Web防护的系统。

　　UTM是在网络防火墙基础上加上了部分的应用过滤功能，它可以阻挡一些非法网站的访

问。但是UTM、传统防火墙或IPS，它们大部分功能还是在网络层，具有部分的应用层功能。

而且，它们并不是针对Web应用，比如IPS，对后台很多种应用都可以进行防护，但是这个防

护为粗略检查，比如说2个数据包先后被通过访问。这两个数据包利用时间差的关系，结合

到一起能产生破坏力，这是IPS无法解决的问题。

　　何平强调，“Web应用防火墙可以检查代码合成的用意，从而阻断非法的数据包访问。

所以Web应用防火墙，IPS和防火墙、UTM的差别，一个是在防护层面，另外是IPS是和Web应

用防火墙部署的点是一致的，基本是企业的数据中心前端。防火墙和UTM更多强调内网安全

，它防护的企业对内部网络，防止内部用户访问非法网站，也防止整个公司内部的信息外泄

。但是Web应用防火墙，IPS保护的是Web服务器防止被攻击。”

　　认识Web应用防火墙

　　—功能

　　Web应用防火墙从功能角度来说有三个部分。

　　1，网站隐身。从攻击者角度来看后台是隐蔽的。很多攻击者的手段很简单，第一先搞

清楚Web服务器版本和应用服务器的版本是什么，第二去找这个版本有哪些漏洞，第三去找

利用这些漏洞，网上有哪些现成的工具，这是很常规的黑客攻击手法。

　　2，安全检查。简单说就是避免非法用户访问，避免用户采用非法命令访问。

　　3，应用加速。Web应用防火墙本身是功能和性能的统一化的产品，功能很强意味着安全

检查做得很好。安全性很高会带来一些代价，就是时间延迟的代价，Web应用防火墙通过这

种应用加速把这种延迟的代价进行回补，弥补，再进行加速。

　　也就是说Web应用防火墙在整个用户眼里是透明的，但是它做了两个工作，又检查又加

速。

　　—价值

　　Web应用防火墙最大的价值不单纯在于它的安全防护，它的价值是一种应用交互的平台

。打个比方，企业要上一套ERP系统，基于Web平台的，BS架构的。本来是希望找一个软件供

应商三个月做完，需要具备所有功能。开发商所考虑的问题是功能性需求，如果开发商把安

全性因素都考虑进来，开发周期至少会延长50%，甚至100%，所以对整个软件交付的周期和

成本会非常高。但是有了Web应用防火墙不一样，开发商只要把功能做好就行了，因为前端

的阻断功能Web应用防火墙可以帮助企业完成，就是安全性的工作，这样交付周期会提高很

快。

　　第二，系统上线以后可能存在一些功能需求变更，增加新功能要打补丁，就会有新的漏

洞出现，意味着要面临新的安全威胁。这个时候Web应用防火墙功能又体现出来，也就是说

Web应用防火墙最核心的价值有两块，第一是缩短用户的应用交付时间，二是为用户的应用

运维提供一个最低成本的方案。

　　—行业属性

　　Web应用防火墙行业属性非常明显，更适合大型企业，或者是政府机构。针对的客户群

有两种，第一是针对经济效益，还有机密数据的要求比较高，比如说移动，电信等用户。另

外是针对政府和军队，如果说网站被攻击了，可能带来的不是经济上的，是政治上的影响。

　　何平告诉我们，目前在中国市场上，对Web应用防火墙需求比较明确的客户，包含政府

，军队，上市公司，以及银行和电信。另外，高校应用也比较多，教育系统都含有比较敏感

的信息，所以教育行业Web应用防火墙部署也很普遍。
亿恩科技服务器租用/服务器托管/带宽租用/机柜租用/域名/空间/VPS 

详情咨询：QQ：865928513 0371-60135992
http://user.qzone.qq.com/865928513

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]