Web應(yīng)用防火墻的功能與價值
隨著互聯(lián)網(wǎng)Web技術(shù)的全面應(yīng)用,對Web應(yīng)用防火墻來說,因為市場的井噴令所有安全企業(yè)興奮異常。不過需要指出的是,并非對Web服務(wù)器提供保護(hù)的“盒子”都是Web應(yīng)用防火墻。事實上,一個標(biāo)準(zhǔn)的Web應(yīng)用防火墻至少需要具備四大功能。
第一,安全防護(hù)。這很好理解,對于針對Web服務(wù)器的攻擊要具備防御能力,同時還要對數(shù)據(jù)泄密具備監(jiān)管能力。
第二,加速。除了防護(hù)以外,企業(yè)用戶在網(wǎng)絡(luò)之中,需要對應(yīng)用的運轉(zhuǎn)效率進(jìn)行控制,比如對TCP協(xié)議的緩沖,對SSLVPN的加速,對訪問管理的卸載,Web應(yīng)用防火墻必須能夠提供相應(yīng)的加速能力。
第三,可擴(kuò)展性。Web應(yīng)用防火墻在后臺連接的時候和Web服務(wù)器相關(guān),但不能僅僅防護(hù)一臺服務(wù)器。事實上很多企業(yè)的Web服務(wù)器數(shù)量龐大,Web應(yīng)用防火墻需要對應(yīng)用交付和負(fù)載均衡提供支持。
第四,IP審計。Web應(yīng)用防火墻本身對所有流量進(jìn)行過濾的時候,本身必須具備一套策略----哪些流量需要阻斷,哪些可以放過。這些相關(guān)的策略標(biāo)準(zhǔn)與策略模型需要對企業(yè)流行的應(yīng)用進(jìn)行支持。
三種技術(shù)
從技術(shù)上看,當(dāng)前市場中的Web應(yīng)用防火墻分為三種技術(shù)類型。第一類是加強型的IPS技術(shù),相當(dāng)于深度包檢測。早期的IPS在包過濾上不是很細(xì)致,后來在Web上做了更深入的包檢測功能。
第二類是基于黑名單的技術(shù)模型。一些安全公司根據(jù)以往的經(jīng)驗,統(tǒng)計全球范圍內(nèi)的攻擊人和攻擊地區(qū),并基于已知威脅的黑名單進(jìn)行過濾。
只要攻擊是來自黑名單之上的,就可以進(jìn)行過濾。
第三類是基于策略的技術(shù)模型。這種產(chǎn)品的設(shè)計出發(fā)點,是圍繞Web應(yīng)用去進(jìn)行產(chǎn)品設(shè)計的,而不是單純的去解決Web安全的某一方面問題。其產(chǎn)品設(shè)計思路本身基于策略,比如針對Gartner給出的十大類的策略模型。這類產(chǎn)品可以對整個后臺系統(tǒng)進(jìn)行自動監(jiān)測。除了本身的黑名單,更多是策略。此外要集成應(yīng)用加速和負(fù)載均衡的模塊。
新的范疇
從技術(shù)發(fā)展上看,很多Web應(yīng)用防火墻已經(jīng)脫離了防火墻本身的范疇了。可以理解為一個Web應(yīng)用交付平臺了。目前真正基于策略的防火墻,還是國外廠商的天下,如F5、Citrix、梭子魚Netcontinuum。遺憾的是,國內(nèi)廠商目前還看不到類似的結(jié)構(gòu)。
Web應(yīng)用防火墻目前的挑戰(zhàn)在于客戶接受度。當(dāng)用戶聽到Web應(yīng)用防火墻的時候,必然會想到這種產(chǎn)品與傳統(tǒng)防火墻的差異。從設(shè)計思路來說,Web應(yīng)用防火墻與傳統(tǒng)防火墻完全不一樣。傳統(tǒng)防火墻相對簡單,可以當(dāng)作一個硬件盒子進(jìn)行銷售。但是Web應(yīng)用防火墻是基于策略的,不僅僅是硬件,它與企業(yè)的Web安全咨詢密切相關(guān),需要與咨詢服務(wù)結(jié)合起來使用。
從渠道的情況看,普通防火墻基于傳統(tǒng)的安全分銷商。但是這些渠道去銷售Web應(yīng)用防火墻卻很吃力,因為他們無法了解企業(yè)的應(yīng)用,比如OA的特點,MIS是什么系統(tǒng),ERP怎么運作等。
不難看出,Web應(yīng)用防火墻的定義已經(jīng)不能用傳統(tǒng)的防火墻定義加以衡量了。為此,Gartner提出了應(yīng)用交付的概念。其核心就是對整個企業(yè)安全的衡量,已經(jīng)無法適用單一的標(biāo)準(zhǔn)了,需要將加速、平衡性、安全等各種要素融合在一起。此后還要進(jìn)行細(xì)分,比如Web應(yīng)用交付網(wǎng)絡(luò)、郵件應(yīng)用交付網(wǎng)絡(luò),這些都是針對企業(yè)的具體應(yīng)用提供的硬件或解決方案平臺。換言之,用戶在面對Web應(yīng)用防火墻的時候,需要考慮自身的應(yīng)用特點,結(jié)合企業(yè)的實際情況獲取安全價值。
【編輯推薦】
