隨著企業基于Web的業務模式快速發展，IT管理者們正在思考這樣一個問題，如何才能讓業務更加順暢健康的開展。由此需求，我們注意到打造應用交付網絡時下正成為IT業界關注的熱點話題。然而，新技術的產生總會伴隨新的挑戰，應用交付網絡也不例外。

通常，當我們提及應用交付時，用戶首先會想到的是負載均衡。不可否認，負載均衡技術可以幫助企業優化關鍵業務系統，然而這并不能稱為完整的應用交付。

正如梭子魚中國區副總經理梁中鋼所言，“用戶在打造應用交付網絡時，很多時候僅在強調應用的高效率，卻忽視的更為重要的因素安全。”

沒錯，沒有安全保障的應用交付，對于如今的企業關鍵業務應用而言是萬萬無法接受的。因此，我們必須強調，應用交付的核心必須兼顧高效率與安全，兩手都要抓，兩手都要硬。

應用層安全面臨哪些挑戰?

粗略的統計，今天針對應用層的攻擊行為大致可以分為以下八種類型：

·緩沖區溢出——攻擊者利用超出緩沖區大小的請求和構造的二進制代碼讓服務器執行溢出堆棧中的惡意指令。

·Cookie假冒——精心修改cookie數據進行用戶假冒。

·認證逃避——攻擊者利用不安全的證書和身份管理。

·非法輸入——在動態網頁的輸入中使用各種非法數據，獲取服務器敏感數據。

·強制訪問——訪問未授權的網頁。

·隱藏變量篡改——對網頁中的隱藏變量進行修改，欺騙服務器程序。

·跨站腳本攻擊(XSS)——提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息。

·SQL注入——構造SQL代碼讓服務器執行，獲取敏感數據。

面對這些基于Web，又頻繁發生的攻擊行為，傳統的防火墻已顯得無能為力。即使我們看到很多高端防火墻所謂的應用層安全保護模塊，但由于其并不是轉為應用層威脅掃描過濾而設計，其性能是否能滿足大型企業的應用需求，我們不敢奢求。

應用安全亟需應用層防火墻

我們首先關注外界對于應用安全的反應。Gartner研究報告顯示，當前成功的攻擊事件中有75%以上發生在應用層，同時Gartner預測到2009年年底，80%的企業將成為應用層攻擊的受害者。

權威的支付行業數據安全標準(PCI-DSS)中，同樣明確規定銀行機構采用有效的安全防御措施來保護用戶的數據安全，避免用戶數據泄露。

由此可見，由應用交付帶來的安全需求，早已引起了業界的廣泛關注。深入觀察后不難看出，應用交付所面臨的安全威脅主要集中于應用層面，而這正是專業的應用防火墻發揮作用的地方。

此時，或許您要問IPS好似也能抵御來自Web的攻擊威脅，IPS與Web應用防火墻有何區別?從保護的對象來講，二者皆是抵御Web攻擊的有力武器，但其防御原理并不盡相同。IPS偏重規則比對，而Web應用防火墻更傾向于規則控制。兩種不同設計思路的產品，我們認為其并不具有可比性，但客觀的分析二者部署后所呈現的效果以及對于SQL注入等Web攻擊行為的防御能力，我們認為Web應用防火墻的諸多優勢更適用于行業Web應用系統或關鍵業務系統。

應用層防火墻需從用戶角度出發

客觀的講，應用層防火墻并不是新的產品，早在2004年業內就已經有了應用層防火墻的范例。雖然應用層防火墻在國外已經有了相對固定的用戶群，然而國內用戶卻對應用層防火墻產生了些許懷疑。某銀行IT主管就曾表示，“由于應用層防火墻出現的時間較短，產品的標準、性能以及對于網上支付等關鍵業務系統的防護效果難以預估。”

用戶的擔心正反映了應用層防火墻的現狀，我們不想深究是深度包檢測更精確，還是規則控制更有效率。作為專業的安全產品，從用戶的角度出發打造滿足用戶業務需求的產品卻是十分必要的。作為專業的應用安全廠商，梭子魚的應用層防火墻始終堅持終止、安全、加速三個方面齊頭并進，幫助用戶實現基于應用層的全面安全保護。

終止：所有用戶瀏覽器和應用程序服務器的連接會話都在此終止。系統對于HTTP內容有著完全的訪問權和控制權，檢查所有的HTTP 內容，解釋和建立規則。

安全：一旦會話被應用防火墻終止，會話將會被執行多種檢查，以此阻止安全威脅，同時可提供URL、參數和格式區域的檢查。

加速：除了WEB應用的安全性，數據中心還負責應用的可用性和響應時間。將加速功能(TCP 池，緩存，GZIP壓縮)和可用性功能(負載均衡，內容交換，健康檢查)在一個單一的節點處結合起來會顯著地簡化數據中心的體系結構，以此來降低成本。

不論用戶的需求，還是安全廠商的努力，今天應用交付的時代已經到來，基于應用層的安全威脅也將來得更加猛烈。我們確信不久之后應用層防火墻即將大展拳腳，但這之前應用防火墻所面臨的挑戰必須一一克服，例如性能、價格、操控以及用戶群體等等。梁中鋼預測，到2012年應用防火墻在國內的市場份額將達到5億元，我們雖無法判斷這個數字是否準確，但是有一點可以肯定，在應用交付大趨勢的推動下，應用層防火墻的未來一片光明。