进化中的Web应用防火墙 2

　　Imperva的首席执行官Shlomo Kramer说：“Imperva 计划开发一些审计和评估工具，这些工具可帮助客户遵从这样的一些规则：支付卡行业标准、HIPAA法案和用于保护私密信息的Sarbanes-Oxley法案。”据Protegrity的产品战略和开发副总裁Jeannine Bartlett介绍，Protegrity期望将其数据库安全装置与通过Kavado得到的应用保护软件结合在一起。她说：“我们明年的发布主要集中在后端报告、统计、度量、特定应用程序映射上，以满足客户遵从法规的各种需要。这才是较大型公司所真正需要的东西。”

　　Whitely认为，所有这一切活动都表明，应用防火墙正趋于成熟。这些设备多数是衍生于反向代理技术，利用这种技术，向Web服务器传送的流量由代理终止后以单独会话的方式传送给服务器，然后服务器的响应又被代理。虽然流量经过了代理，但是该设备可对流量进行检查，以确定它是否有利用应用程序漏洞的企图。

　　Whiteley表示，厂商们销售这些设备的数量不是很多，他估计每个公司每年的收入最高也就是1000万美元。由于这些设备和应用交换机、负载均衡器、应用加速器占用网络中的同一个点，所以集成它们是很有意义的。

　　普遍应用尚需时日

　　一些客户已购买了应用交换机作为单独的设备，把它们与负载均衡器串联部署。例如，金融业应用服务提供商Baker Hill公司已部署了一个Teros应用防火墙，位置处于一台F5 Big IP设备的前面，而Big IP又处于Microsoft IIS服务器的前面。该公司的高级网络管理员Eric Beasley说：“客户们要求安装应用防火墙。在我们向较大型金融机构进行销售时，他们看了那个体系结构并说它是Microsoft的。客户了解Nimbda病毒、红色代码病毒，了解所有这些问题。除非我们把某种反向代理置于那个环境的前面，否则客户就不会与我们做交易。我们有些客户在合同中说：‘如果什么时候去掉了它，我们就与你们解除合同。’它就是如此重要。”

　　Pacific Northwest National Laboratory使用NetContinuum应用防火墙来保护其Web应用程序。该机构网络安全组的研究科学家Mark Hadley说：“有时需要重写应用程序以便它们能通过应用防火墙。”例如，如果一个应用协议的某个字段使用一个也用于Web应用程序URL的字符，如“forward slash”，那就表示它是一个可被攻击者利用的漏洞。因此，用户应对其应用程序有可能需要重写一事作好准备。Hadley建议设立测试环境，在应用程序部署之前将它们运行一遍，鉴别和修正这样的小毛病。

　　Whiteley认为，这种复杂性可能会使一些用户认为应用防火墙复杂得难以部署，如果他们的应用程序对他们的业务不是关键性的，就更不愿意部署应用防火墙。他的观点是，当厂商们把应用防火墙和应用交换机集成在同一个设备中，并开发一些软件工具使它们更易于配置时，就会有更多的商业用户使用它们。他说：“再过9到12个月，它就会被广泛采用。”