进化中的Web应用防火墙 1

　　今后几个月，厂商Citrix、F5 Networks、Imperva、NetContinuum和Protegrity 将对其产品增加一些功能，以使它们在保护联网的企业数据方面发挥更大的作用。

　　有效保卫应用程序

　　虽然传统的防火墙多年来在第三层有效地阻断了一些数据包，但它在阻止利用应用程序漏洞进行的攻击方面却无能为力。Web应用防火墙可检测应用程序异常情况和敏感数据（如信用卡和社会保险号等）是否正被窃取，并阻断攻击或隐蔽敏感数据。

　　Forrester Research的分析师Rob Whiteley说：“许多具有Web应用程序的企业没有Web应用防火墙也能对付过去。”多数企业用SSL加密方法保护通信流量，而有些企业则使用SSL VPN来确保经过授权的人才能连接Web应用程序。

　　Whiteley认为，像金融服务这样的企业通常会购买这种产品。“应用防火墙适合于那些不能承受出现任何问题的企业。他们不希望因为没有应用防火墙而留下漏洞，”他说，“多为自己提供一些保护措施是正确的。”

　　Web应用防火墙将与负载均衡设备和确保Web应用程序可用性的应用交换机集成在一起，以创造出可同时解决可访问性和安全性的产品。Yankee Group的分析师Andrew Jaquith认为，这样的平台可保持服务器对终端用户的可用性和免受攻击，还可确保进出数据中心的流量不受危害。

　　独立的Web应用防火墙可在应用层检查HTTP和HTTPS流量，在合法的应用程序运行时查找试图蒙混过关的攻击程序。Jaquith说：“这些产品可防范一些人运用恶意攻击使一些网站泄露敏感信息或进行非法闯入。”

　　殊途同归

　　虽然Web应用防火墙厂商以不同的方式着手研究解决加速和保护Web应用程序流量的问题，但Web应用防火墙在网络中的位置是不会变化的，它在应用服务器的前面，厂商所提供的功能可能包括服务器之间的流量负载均衡、压缩、加密、HTTP和HTTPS流量的反向代理、检查应用程序的一致性和汇聚TCP会话。

　　Citrix认为，就此而言,该公司的目标是将Web应用程序与应用交换机集成在一起, 这样该设备就能为服务器分配流量，也能对流量进行仔细分析以查找应用层攻击。NetContinuum的首席执行官Varun Nagaraj说：“预计NetContinuum明年将增加一些软件工具，这些工具可使应用安全策略的配置更为容易。”该公司还在考虑，根据诸如安全声明标记语言（Security Assertion Markup Language）之类的方案，应用网关应在身份识别和访问管理方面发挥何种作用。

F5的产品管理和营销副总裁Erik Giesa提到,该公司将依靠保护XML（可扩展标记语言）和SIP（会话初始化协议）流量来支持Web服务器和VoIP。它还正在求助于在其平台中增加WAN加速技术和制作一种软件开发者工具包，以鼓励创建一旦发现入侵就能阻断流量的自保护应用程序。该应用程序将与管理F5 Big IP应用交换机的软件相结合，在Big IP内建立一个可阻断可疑流量的规则。