随着web安全威胁的凸显,越来越多的用户开始对应用层的安全问题,是否会影响到企业应用的正常、顺畅而担忧。而老三样的安全架构已经成为企业安全架构的短板,也对企业如何保证4-7层安全,提出了更高的要求。而一直致力于保证企业应用安全的厂商,比如梭子鱼、F5 Networks、blue coat等专注于应用安全的厂商,以及传统的全产品线网络设备提供商纷纷发力这一领域。在融合应用安全,保证企业应用交付的需求下,对其旗下产品Web应用防火墙增加新功能,以使它们在保护联网的企业数据方面发挥更大的作用。
应用多一些保证无可厚非
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,到取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别,传统的防火墙对于这些攻击变得毫无作用。我们知道老三样的传统安全设备,一直在底层保证传输数据的安全,随着企业应用的多样化、新的应用漏洞层出不穷,各种攻击利用僵尸网络、恶意软件、病毒变种等等威胁的结合体钻传统安全架构的空当,这时传统防火墙、IDS/IPS设备的短板日益显现。
Forrester Research的分析师Rob Whiteley说:“许多具有Web应用程序的企业没有Web应用防火墙也能对付过去。”多数企业用SSL加密方法保护通信流量,而有些企业则使用SSL VPN来确保经过授权的人才能连接Web应用程序。而对于那些不能承受任何安全问题的企业,如金融、电力、医疗等等行业不得不对现有的安全架构、设备、解决方案做出调整。
Web应用防火墙可检测应用程序异常情况和敏感数据(如信用卡和社会保险号等)是否正被窃取,并阻断攻击或隐蔽敏感数据,独立的Web应用防火墙可在应用层检查HTTP和HTTPS流量,在合法的应用程序运行时查找试图蒙混过关的攻击程序。同时Web应用防火墙将与负载均衡设备和确保Web应用程序可用性的应用交换机集成在一起,以创造出可同时解决可访问性和安全性的解决方案。
正如Whiteley所说,“像金融服务这样的企业通常会购买WEB应用防火墙产品。“因为应用防火墙适合于那些不能承受出现任何问题的企业。他们不希望自身的网络留下漏洞,影响企业应用的交付,所以多为自己提供一些保护措施无可厚非。”
保护应用各显其能
很显然在目前经济不景气的情况下,应用交付网络是企业提升网络应用性能,而且投入成本较低的选择。因为企业不需要对整体架构做出大的调整,可利用优化设备提升传输带宽,可利用负载均衡设备让更多设备协同工作,避免资源浪费,可利用应用安全产品保证企业应用正常运转。而作为应用交付安全功能的尖兵——WEB应用防火墙,它的作用不容置疑。所以专注于应用交付安全功能的供应商的角逐已经展开,为保护企业应用各显其能。
其实,各家都在着手解决保护Web应用程序流量的问题。因为Web应用防火墙在网络中的位置是不会变化的,它在应用服务器的前面,厂商所提供的功能可能包括服务器之间的流量负载均衡、压缩、加密、HTTP和HTTPS流量的反向代理、检查应用程序的一致性和汇聚TCP会话等。
梭子鱼网络有限公司亚太总裁Niall King在接受记者采访时表示:“梭子鱼将进一步开发其在安全防护和应用交付方面的性能工具,这些工具可使应用安全策略的配置更为容易。”同时梭子鱼还在考虑,根据诸如安全声明标记语言(Security Assertion Markup Language)之类的方案,使应用网关应在身份识别和访问管理方面发挥作用。
Citrix认为,将Web应用程序与应用交换机集成在一起, 这样该设备就能为服务器分配流量,也能对流量进行仔细分析以查找应用层攻击。
F5的产品管理和营销副总裁Erik Giesa提到,F5将依靠保护XML(可扩展标记语言)和SIP(会话初始化协议)流量来支持Web服务器和VoIP,在其平台中增加WAN加速技术和制作一种软件开发者工具包,以鼓励创建一旦发现入侵就能阻断流量的自保护应用程序。该应用程序将与管理F5 Big IP应用交换机的软件相结合,在Big IP内建立一个可阻断可疑流量的规则。
诚如Whitely所言,安全设备厂商发力应用防火墙技术和产品的研发,正在推动这一市场走向成熟。而目前看来,早在2006年就瞄准了这一市场并成功收购了ICSA在该领域唯一认证的Netcotinuum的梭子鱼网络有限公司似乎成竹在胸。
2009年注定不是平静的一年。