Web 防護新貴:認識 Web 應用防火墻
目前,利用網上隨處可見的攻擊軟件,攻擊者不需要對網絡協議的深厚理解基礎,即可完成諸如更換Web網站主頁,到取管理員密碼,破壞整個網站數據等等攻擊。而這些攻擊過程中產生的網絡層數據,和正常數據沒有什么區別,傳統的防火墻對于這些攻擊變得毫無作用。
今后的幾個月里,Citrix、Barracuda-NetContinuum、F5 Networks、Imperva和Protegrity 將對其新產品Web應用防火墻增加一些功能,以使它們在保護聯網的企業數據方面發揮更大的作用。
有效保衛應用程序
雖然傳統的防火墻多年來在第三層有效地阻斷了一些數據包,但它在阻止利用應用程序漏洞進行的攻擊方面卻無能為力。Web應用防火墻可檢測應用程序異常情況和敏感數據(如信用卡和社會保險號等)是否正被竊取,并阻斷攻擊或隱蔽敏感數據。
Forrester Research的分析師Rob Whiteley說:“許多具有Web應用程序的企業沒有Web應用防火墻也能對付過去。”多數企業用SSL加密方法保護通信流量,而有些企業則使用SSL VPN來確保經過授權的人才能連接Web應用程序。
Whiteley認為,像金融服務這樣的企業通常會購買這種產品。“應用防火墻適合于那些不能承受出現任何問題的企業。他們不希望因為沒有應用防火墻而留下漏洞,”他說,“多為自己提供一些保護措施是正確的。”
Web應用防火墻將與負載均衡設備和確保Web應用程序可用性的應用交換機集成在一起,以創造出可同時解決可訪問性和安全性的產品。Yankee Group的分析師Andrew Jaquith認為,這樣的平臺可保持服務器對終端用戶的可用性和免受攻擊,還可確保進出數據中心的流量不受危害。
獨立的Web應用防火墻可在應用層檢查HTTP和HTTPS流量,在合法的應用程序運行時查找試圖蒙混過關的攻擊程序。Jaquith說:“這些產品可防范一些人運用惡意攻擊使一些網站泄露敏感信息或進行非法闖入。”
保護應用,殊途同歸
雖然Web應用防火墻廠商以不同的方式著手研究解決加速和保護Web應用程序流量的問題,但Web應用防火墻在網絡中的位置是不會變化的,它在應用服務器的前面,廠商所提供的功能可能包括服務器之間的流量負載均衡、壓縮、加密、HTTP和HTTPS流量的反向代理、檢查應用程序的一致性和匯聚TCP會話。
Citrix認為,就此而言,該公司的目標是將Web應用程序與應用交換機集成在一起, 這樣該設備就能為服務器分配流量,也能對流量進行仔細分析以查找應用層攻擊。
Barracuda-NetContinuum的產品負責人說:“預計NetContinuum明年將增加一些軟件工具,這些工具可使應用安全策略的配置更為容易。”該公司還在考慮,根據諸如安全聲明標記語言(Security Assertion Markup Language)之類的方案,應用網關應在身份識別和訪問管理方面發揮何種作用。
F5的產品管理和營銷副總裁Erik Giesa提到,該公司將依靠保護XML(可擴展標記語言)和SIP(會話初始化協議)流量來支持Web服務器和VoIP。它還正在求助于在其平臺中增加WAN加速技術和制作一種軟件開發者工具包,以鼓勵創建一旦發現入侵就能阻斷流量的自保護應用程序。該應用程序將與管理F5 Big IP應用交換機的軟件相結合,在Big IP內建立一個可阻斷可疑流量的規則。
Imperva的首席執行官Shlomo Kramer說:“Imperva 計劃開發一些審計和評估工具,這些工具可幫助客戶遵從這樣的一些規則:支付卡行業標準、HIPAA法案和用于保護私密信息的Sarbanes-Oxley法案。”據Protegrity的產品戰略和開發副總裁Jeannine Bartlett介紹,Protegrity期望將其數據庫安全裝置與通過Kavado得到的應用保護軟件結合在一起。她說:“我們明年的發布主要集中在后端報告、統計、度量、特定應用程序映射上,以滿足客戶遵從法規的各種需要。這才是較大型公司所真正需要的東西。”
Whitely認為,所有這一切活動都表明,應用防火墻正趨于成熟。這些設備多數是衍生于反向代理技術,利用這種技術,向Web服務器傳送的流量由代理終止后以單獨會話的方式傳送給服務器,然后服務器的響應又被代理。雖然流量經過了代理,但是該設備可對流量進行檢查,以確定它是否有利用應用程序漏洞的企圖。
普遍應用尚需時日
Pacific Northwest National Laboratory使用Barracuda-NetContinuum應用防火墻來保護其Web應用程序。該機構網絡安全組的研究科學家Mark Hadley說:“有時需要重寫應用程序以便它們能通過應用防火墻。”例如,如果一個應用協議的某個字段使用一個也用于Web應用程序URL的字符,如“forward slash”,那就表示它是一個可被攻擊者利用的漏洞。因此,用戶應對其應用程序有可能需要重寫一事作好準備。Hadley建議設立測試環境,在應用程序部署之前將它們運行一遍,鑒別和修正這樣的小毛病。
Whiteley認為,這種復雜性可能會使一些用戶認為應用防火墻復雜得難以部署,如果他們的應用程序對他們的業務不是關鍵性的,就更不愿意部署應用防火墻。他的觀點是,當廠商們把應用防火墻和應用交換機集成在同一個設備中,并開發一些軟件工具使它們更易于配置時,就會有更多的商業用戶使用它們。他說:“再過9到12個月,它就會被廣泛采用。”
【編輯推薦】
