Web防护的新贵:Web应用防火墙

日期: 2008-08-25 作者:博威特 来源:TechTarget中国

  目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别,传统的防火墙对于这些攻击变得毫无作用。


  今后的几个月里,Citrix、Barracuda-NetContinuum、F5 Networks、Imperva和Protegrity 将对其新产品Web应用防火墙增加一些功能,以使它们在保护联网的企业数据方面发挥更大的作用。


  有效保卫应用程序


  虽然传统的防火墙多年来在第三层有效地阻断了一些数据包,但它在阻止利用应用程序漏洞进行的攻击方面却无能为力。Web应用防火墙可检测应用程序异常情况和敏感数据(如信用卡和社会保险号等)是否正被窃取,并阻断攻击或隐蔽敏感数据。


  Forrester Research的分析师Rob Whiteley说:“许多具有Web应用程序的企业没有Web应用防火墙也能对付过去。”多数企业用SSL加密方法保护通信流量,而有些企业则使用SSL VPN来确保经过授权的人才能连接Web应用程序。


  Whiteley认为,像金融服务这样的企业通常会购买这种产品。“应用防火墙适合于那些不能承受出现任何问题的企业。他们不希望因为没有应用防火墙而留下漏洞,”他说,“多为自己提供一些保护措施是正确的。”


  Web应用防火墙将与负载均衡设备和确保Web应用程序可用性的应用交换机集成在一起,以创造出可同时解决可访问性和安全性的产品。Yankee Group的分析师Andrew Jaquith认为,这样的平台可保持服务器对终端用户的可用性和免受攻击,还可确保进出数据中心的流量不受危害。


  独立的Web应用防火墙可在应用层检查HTTP和HTTPS流量,在合法的应用程序运行时查找试图蒙混过关的攻击程序。Jaquith说:“这些产品可防范一些人运用恶意攻击使一些网站泄露敏感信息或进行非法闯入。”


  保护应用,殊途同归


  虽然Web应用防火墙厂商以不同的方式着手研究解决加速和保护Web应用程序流量的问题,但Web应用防火墙在网络中的位置是不会变化的,它在应用服务器的前面,厂商所提供的功能可能包括服务器之间的流量负载均衡、压缩、加密、HTTP和HTTPS流量的反向代理、检查应用程序的一致性和汇聚TCP会话。


  Citrix认为,就此而言,该公司的目标是将Web应用程序与应用交换机集成在一起, 这样该设备就能为服务器分配流量,也能对流量进行仔细分析以查找应用层攻击。


  Barracuda-NetContinuum的产品负责人说:“预计NetContinuum明年将增加一些软件工具,这些工具可使应用安全策略的配置更为容易。”该公司还在考虑,根据诸如安全声明标记语言(Security Assertion Markup Language)之类的方案,应用网关应在身份识别和访问管理方面发挥何种作用。


  F5的产品管理和营销副总裁Erik Giesa提到,该公司将依靠保护XML(可扩展标记语言)和SIP(会话初始化协议)流量来支持Web服务器和VoIP。它还正在求助于在其平台中增加WAN加速技术和制作一种软件开发者工具包,以鼓励创建一旦发现入侵就能阻断流量的自保护应用程序。该应用程序将与管理F5 Big IP应用交换机的软件相结合,在Big IP内建立一个可阻断可疑流量的规则。


  Imperva的首席执行官Shlomo Kramer说:“Imperva 计划开发一些审计和评估工具,这些工具可帮助客户遵从这样的一些规则:支付卡行业标准、HIPAA法案和用于保护私密信息的Sarbanes-Oxley法案。”据Protegrity的产品战略和开发副总裁Jeannine Bartlett介绍,Protegrity期望将其数据库安全装置与通过Kavado得到的应用保护软件结合在一起。她说:“我们明年的发布主要集中在后端报告、统计、度量、特定应用程序映射上,以满足客户遵从法规的各种需要。这才是较大型公司所真正需要的东西。”


  Whitely认为,所有这一切活动都表明,应用防火墙正趋于成熟。这些设备多数是衍生于反向代理技术,利用这种技术,向Web服务器传送的流量由代理终止后以单独会话的方式传送给服务器,然后服务器的响应又被代理。虽然流量经过了代理,但是该设备可对流量进行检查,以确定它是否有利用应用程序漏洞的企图。


  普遍应用尚需时日


  Pacific Northwest National Laboratory使用Barracuda-NetContinuum应用防火墙来保护其Web应用程序。该机构网络安全组的研究科学家Mark Hadley说:“有时需要重写应用程序以便它们能通过应用防火墙。”例如,如果一个应用协议的某个字段使用一个也用于Web应用程序URL的字符,如“forward slash”,那就表示它是一个可被攻击者利用的漏洞。因此,用户应对其应用程序有可能需要重写一事作好准备。Hadley建议设立测试环境,在应用程序部署之前将它们运行一遍,鉴别和修正这样的小毛病。


  Whiteley认为,这种复杂性可能会使一些用户认为应用防火墙复杂得难以部署,如果他们的应用程序对他们的业务不是关键性的,就更不愿意部署应用防火墙。他的观点是,当厂商们把应用防火墙和应用交换机集成在同一个设备中,并开发一些软件工具使它们更易于配置时,就会有更多的商业用户使用它们。他说:“再过9到12个月,它就会被广泛采用。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • “外围”消亡 企业安全防护需要新形态

    外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

  • Web应用防火墙采购须知(二)

    Web应用防火墙是复杂的产品,在本文中,专家Brad Causey介绍了在购买Web应用防火墙产品之前企业需要考虑的关键问题。