应用防火墙 让黑客碰壁

编看编想：等待花开中国的网站有多少？接近70万个。据我了解，很多知名网站的重要数据都可以被轻而易举的窃取，他们也苦于没有很好的解决办法，应用防火墙正是他们所需要的产品。可是我知道的在国内推广应用防火墙的厂商只有两家，对于应用防火墙这种非常有价值的产品来说，这个数字未免有点少，让我有些想不通。不过黑格尔说过：存在即合理。

F5网络公司市场渠道总监柯文说：“国内的应用防火墙市场还没起来，推产品非常困难。因为很多用户不理解这个产品，需要去做大量的解释工作，灌输新概念。”华城技术有限公司的杨磊说：“我们在给客户介绍产品时，只能举国外的案例，因为在国内还没有实际用户。2005年，我们已经作好了一分不挣的准备。估计到2006年，应用防火墙会有少量的销售，2007年会有其他厂商跟进。”

好消息是国内已经有著名网站在试用应用防火墙，也许只要有一个星星之火，就能形成燎原之势。

不久前发生的美国4000万个信用卡用户资料被盗的事件也可能会诱发用户购买应用防火墙的意愿。国外有一种应用防火墙产品，可以针对信用卡制定策略，它判断所有从服务器出来的流量，如果含有信用卡的信息，根本就不会放行，黑客不可能把信息拿到手。

为了您的Web应用安全，我想套用一句已经流行过的广告语吆喝一声：读过看过不要错过。

表2 3种技术比较

防火墙深度检测技术 Check Point Web Intelligence技术 应用防火墙

原理 预先定义规则，用规则和报文数据（不仅仅是报文头信息）做匹配，从而实现针对协议内容的过滤功能。另外，也可以预先定义协议描述网络攻击的特征规则，实现轻量级的IDS功能 针对已知的基于HTTP的攻击，形成HTTP攻击特征库，对HTTP流量进行协议还原，通过HTTP协议合法性检查以及查找攻击特征码来判断是否是HTTP攻击数据 通过机器学习形成描述正常商业应用的规则集，对HTTP流量还原。除了判断HTTP协议信息，还要提取应用信息，判断是否符合正常应用规则的描述，确定是否是HTTP正常数据

主要功能 内容过滤，也可以实现轻量级IDS HTTP恶意网页过滤、HTTP蠕虫病毒保护 保护Web服务器不受到非法攻击

保护的范围 主要用于保护内部网络，对访问内部网络的数据进行内容控制，如URL过滤、邮件标题过滤等 避免恶意网页代码对用户造成危害。也可以保护Web服务器，防范针对Web服务器的已知攻击 保护Web服务器和后台应用服务器

可以保护的协议 HTTP、FTP、SMTP、POP3等 HTTP HTTP

是否需要预先定义规则 需要 需要 不需要

能否防范未知攻击 不能 可以防范基于HTTP的已知攻击，可以防范少部分具有HTTP异常协议字段的未知攻击 只允许正常应用通过，能够防范未知攻击以及非授权访问行为

是否需要升级攻击特征库 不需要，规则功能通过手工配置或者预先定义 需要定期升级攻击特征库 没有攻击特征库

防御模型 消极模型 消极模型 积极模型

注：表中所提到的深度检测技术，是指在现有商业产品中已经实现的技术。