核心提示：如今，黑客及其攻擊策略是越來越精明、越來越危險。當前的一大威脅就是應用層攻擊，這類攻擊可以偷偷潛入防火墻、直至潛入Web應用。這類攻擊有不少喜歡把寶貴的客戶數據作為下手目標。

單憑防火墻再也不足以保護網上資產。如今，黑客及其攻擊策略是越來越精明、越來越危險。當前的一大威脅就是應用層攻擊，這類攻擊可以偷偷潛入防火墻、直至潛入Web應用。沒錯，這類攻擊有不少喜歡把寶貴的客戶數據作為下手目標。

那么，為什么普通防火墻阻止不了這類攻擊呢?因為這類攻擊偽裝成正常流量，沒有特別大的數據包，地址和內容也沒有可疑的不相配，所以不會觸發警報。最讓人害怕的一個例子就是SQL指令植入式攻擊(SQL injection)。在這種攻擊中，黑客利用你自己的其中一張HTML表單，未經授權就查詢數據庫。

另一種威脅就是命令執行。只要Web應用把命令發送到外殼程序，狡猾的黑客就可以在服務器上隨意執行命令。另一些攻擊比較簡單。譬如說，HTML注釋里面往往含有敏感信息，包括不謹慎的編程人員留下的登錄信息。于是，針對應用層的攻擊手段，從篡改coOKIes到更改HTML表單里面的隱藏字段，完全取決于黑客的想象力。

不過好消息是，大多數這類攻擊是完全可以阻止的。 如果結合使用，兩種互為補充的方案可以提供穩固防線。首先，使用應用掃描器徹底掃描你的Web應用，查找漏洞。然后，使用Web應用防火墻阻止不法分子闖入應用掃描器基本上可以對你的服務器發動一系列模擬攻擊，然后匯報結果。

KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在詳細列出缺陷、建議補救方法方面的功能都相當全面。AppScan Audit尤其值得關注，因為這款產品具有事后檢查功能，可以幫助編程人員在編制代碼時就查出漏洞。

不過，這些工具包沒有一款比得上安全專業人士的全面審查。一旦你設法堵住了漏洞，接下來就是部署Web應用防火墻。這類防火墻的工作方式很有意思：弄清楚進出應用的正常流量的樣子，然后查出不正常流量。為此，Web應用防火墻必須比普通防火墻更深層地檢查數據包。heck int在這方面最出名，不過KaVaDo、NetContinuum、Sanctum和Teros等其它廠商的名氣相對要小。

這類防火墻有的采用軟件，有的采用硬件，還有一些則兼而有之。不過別誤以為這類防火墻是即插即用的，即便采用硬件的也不能。與入侵檢測系統一樣，你也要認真調整Web應用防火墻，以減少誤報，又不讓攻擊潛入進來。

由于垃圾郵件以及越來越狡猾的攻擊，如果您以為安裝防火墻就萬事大吉，高枕無憂的話，您就應該好好想想上面所說您該如何應對。