Web應(yīng)用防火墻怎樣為客戶(hù)提供防護(hù) 下篇
Web應(yīng)用防火墻檢查每一個(gè)傳入的數(shù)據(jù)包的內(nèi)容來(lái)檢測(cè)上述類(lèi)型的攻擊。例如,web應(yīng)用防火墻會(huì)掃描SQL查詢(xún)字符串,來(lái)檢測(cè)和刪除那些導(dǎo)致返回的數(shù)據(jù)多余應(yīng)用程序要求的字符串。增值廠商應(yīng)仔細(xì)監(jiān)測(cè)新發(fā)展的攻擊類(lèi)型并跟蹤檢測(cè)他們的最新產(chǎn)品。
Web應(yīng)用防火墻不僅檢測(cè)上述已知類(lèi)型的攻擊,而且還監(jiān)測(cè)異常的使用模式來(lái)檢測(cè)目前未知的攻擊方法。例如,通常Web應(yīng)用程序與web客戶(hù)端的信息交流數(shù)量是有限的。如果Web應(yīng)用防火墻檢測(cè)到Web服務(wù)器正在返回一個(gè)比預(yù)期大很多的數(shù)據(jù)量,它就會(huì)及時(shí)切斷傳輸,以防止更多的數(shù)據(jù)泄露。
目前有基于軟件和基于應(yīng)用程序的web應(yīng)用防火墻。基于軟件的產(chǎn)品布置在Web服務(wù)器上,而基于應(yīng)用程序的產(chǎn)品放置在Web服務(wù)器和互聯(lián)網(wǎng)接口之間。兩種類(lèi)型的防火墻都會(huì)在數(shù)據(jù)傳入和傳出web服務(wù)器之前檢查數(shù)據(jù)。
一般基于軟件的產(chǎn)品成本低于基于應(yīng)用程序的產(chǎn)品成本,基于軟件的產(chǎn)品供應(yīng)商聲稱(chēng)這類(lèi)防火墻具有更低的延遲和更高的吞吐量。但是在web服務(wù)器上安裝額外的軟件勢(shì)必會(huì)增加額外的處理負(fù)荷和系統(tǒng)上軟件的復(fù)雜性。
基于應(yīng)用程序的防火墻廠商聲稱(chēng),這類(lèi)防火墻安裝和使用簡(jiǎn)單,因?yàn)闆](méi)有額外的軟件安裝在Web服務(wù)器系統(tǒng)上。 Web服務(wù)器的性能不受Web應(yīng)用程序防火墻處理的影響。
除了商業(yè)產(chǎn)品外,也有許多開(kāi)放源碼的Web應(yīng)用防火墻可用。這些產(chǎn)品成本低于商業(yè)產(chǎn)品(就開(kāi)放的源代碼工具來(lái)說(shuō),他們是免費(fèi)的,或者就基于開(kāi)放源代碼的商業(yè)產(chǎn)品來(lái)說(shuō),極有可能降低成本)。過(guò)去開(kāi)源代碼關(guān)注的是,黑客們將檢查代碼并設(shè)法逃避保護(hù)措施。有了應(yīng)用Linux這類(lèi)開(kāi)源代碼軟件的豐富經(jīng)驗(yàn),這些都不是什么問(wèn)題。
所有的產(chǎn)品,不論是購(gòu)買(mǎi)的還是開(kāi)源代碼,無(wú)論是基于軟件的還是基于應(yīng)用程序的,都應(yīng)該得到支持。商業(yè)產(chǎn)品得到了供應(yīng)商的支持。開(kāi)放源代碼為增值廠商和系統(tǒng)集成商提供了一個(gè)整合安全知識(shí)的機(jī)會(huì)。為Web應(yīng)用程序防火墻提供持續(xù)的支持,確保合作伙伴與客戶(hù)保持密切的關(guān)系,給供應(yīng)商在未來(lái)為客戶(hù)提供更多產(chǎn)品和服務(wù)提供了機(jī)會(huì)。
因?yàn)槊總€(gè)客戶(hù)的環(huán)境和應(yīng)用程序設(shè)置是不同的,VARs和系統(tǒng)集成商必須評(píng)估每個(gè)客戶(hù)的獨(dú)特需求,以確定哪種類(lèi)型的Web應(yīng)用防火墻將是最合適的。但是,毫無(wú)疑問(wèn)所有客戶(hù)的Web應(yīng)用程序都應(yīng)該得到Web應(yīng)用防火墻的保護(hù)。如果用戶(hù)不理解這種需求或者不同意該做法,一定要介紹給他們Web應(yīng)用程序可能受到攻擊的多種方式。
仔細(xì)檢查應(yīng)用程序代碼是一種替代web應(yīng)用防火墻的方法。攻擊都是在編譯出錯(cuò)或者缺乏內(nèi)部數(shù)據(jù)檢查的地方取得成功。從理論上來(lái)講,一個(gè)通過(guò)代碼檢查員逐行檢查過(guò)錯(cuò)誤的web應(yīng)用程序,可以替代web應(yīng)用防火墻。
在實(shí)踐中,盡管軟件工程師通常不相信他們的代碼有缺陷,但對(duì)應(yīng)用程序的不斷更新使得詳細(xì)的代碼檢查變得幾乎不可能,更不用說(shuō)代碼檢查員很容易的就會(huì)忽略不安全的代碼,特別是那些沒(méi)有安全背景的檢查員。
此外,黑客技術(shù)迅速發(fā)展。網(wǎng)絡(luò)防火墻供應(yīng)商時(shí)時(shí)關(guān)注新攻擊類(lèi)型的新聞、及時(shí)更新它們的產(chǎn)品。有些客戶(hù)可能覺(jué)得經(jīng)過(guò)代碼審查的程序可以使他們避免實(shí)施一個(gè)web應(yīng)用防火墻所帶來(lái)的花費(fèi)和工作量,但解決方案供應(yīng)商應(yīng)幫助客戶(hù)認(rèn)識(shí)到安全代碼審查只能帶來(lái)虛假的安全感,實(shí)際上并不能代替Web應(yīng)用防火墻提供的全面安全保護(hù)。
【編輯推薦】
- Web應(yīng)用與Web應(yīng)用防火墻之Web應(yīng)用
- Web應(yīng)用安全日趨嚴(yán)重我們?cè)撃檬裁凑?/span>
- Web應(yīng)用防火墻怎樣為客戶(hù)提供防護(hù) 上篇
- Web應(yīng)用與Web應(yīng)用防火墻之網(wǎng)絡(luò)安全產(chǎn)品追述
