應用層攻擊加劇　WEB應用防火牆瞄準盲點防禦

【賽迪網-IT技術報道】隨著互聯網的快速發展，企業的網絡應用已經開始變的複雜多樣，比如郵件處理、資料儲存、網絡管理軟體的應用等，而網絡攻擊也開始轉向應用層。據高盛統計資料表明，企業要面對75%的來自應用層的攻擊，形勢非常嚴峻。

在企業的IT安全管理中，Web應用安全是一個比較新的關注領域，企業還沒有充分的認識，甚至有許多業內人士對這個問題也只是一知半解。而安全問題頻發也讓企業網管意識到原有的防火牆產品已經不能全面防禦現在的各種網絡攻擊，於是，針對Web應用的防火牆橫空出世。全球領先的應用安全廠商，博威特網絡技術有限公司總經理何支濤先生表示：現在很多攻擊已經轉向應用層，客戶雖然已經裝了防火牆，裝了IPS但仍然會被攻擊，這就是應用防火牆出現和存在的必要。

應用防火牆是一個比較新的概念，與以往防火牆的安全理念不同，目前在中國還只有少數幾家企業提供這款產品。何支濤認為：只要有網絡就需要有一個防火牆，而原有的防火牆只是針對一些底層的信息，比如說網絡層，傳輸層這樣一些信息進行過濾，進行阻斷，而應用防火牆是深究到應用層，會對所有應用信息進行過濾，這是本質的區別。

大家都有一個疑問，就是企業已經有IPS是不是還需要應用防火牆，何支濤先生認為：這兩款產品其實是一種互補的形式。區別在哪呢？舉一個簡單的例子，比如說有的公司，每一個人開車進入這家公司之前，他會對車進行一個掃瞄，如果是一輛奔馳就會讓他進去。而我們的產品相當於是另外一種掃瞄，不僅看這輛車，也要看這個人是不是公司內部人員。也就是說應用防火牆設備會做更精細的分析和過濾。

在國內現階段各級大型企業網站系統的安全措施還多數僅限於購置防火牆防毒牆等對病毒和IPS的防護，但是網頁非法篡改行為是利用操作系統和應用程序的漏洞和管理的缺陷進行攻擊，而這些公司原有的安全措施（如安裝防火牆、入侵檢測）則主要集中在網絡層上，無法對網頁篡改事件形成有效的監控和防護。

為什麼我們說傳統防火牆阻止不了這類攻擊呢？因為這類攻擊偽裝成正常流量，沒有特別大的資料包，地址和內容也沒有可疑的不相配，所以不會觸發警報。最讓人害怕的一個例子就是SQL指令植入式攻擊（SQL injection）。在這種攻擊中，黑客利用你自己的其中一張HTML表單，未經授權就查詢資料庫。另一種威脅就是命令執行。只要Web應用把命令發送到外殼程序，狡猾的黑客就可以在伺服器上隨意執行命令。另一些攻擊比較簡單。譬如說，HTML註釋裡面往往含有敏感信息，包括不謹慎的編程人員留下的登錄信息。

WEB應用防火牆的出現就是為了專門解決這方面難題的，這種防火牆專門針對Web應用進行全面防護的設備，部署一個立體防護的層次，使其能自動智能化地對黑客的這些攻擊手段進行判別和防護應用防火牆通過執行應用會話內部的請求來處理應用層，它專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。應用防火牆可以阻止將應用行為用於惡意目的的瀏覽器和HTTP攻擊，一些強大的應用防火牆甚至能夠模擬代理成為網站伺服器接受應用交付，形象的來說相當於給原網站加上了一個安全的絕緣外殼。

應用防火牆實現的原理在於應用層訪問控制列表，這不同於IPS和傳統防火牆。整個應用層的訪問控制列表所面對的對象是大家一般所熟知網站的地址，網站的參數，在整個網站互動過程中所提交一些內容，包括HTTP協議報文內容，由於對HTTP協議完全認知，通過這個協議分析就可知道它是惡意攻擊還是非惡意攻擊，IPS只是做部分的掃瞄，而應用防火牆會做完全深層次的掃瞄。

Gartner統計：目前75%攻擊轉移到應用層，當企業的網站不斷遭到攻擊，原有的防火牆已經不能滿足企業對網絡攻擊的防禦。因為應用層面非常廣，比如說Web應用，郵件應用，中間件應用等，應用在不斷增多，導致現在很多攻擊在應用層。客戶原有的防火牆，IPS不能進行全面的防禦了。這就是博威特現在推出應用防火牆的初衷，即幫助客戶完全擋住應用層的攻擊。

(