四大功能
对Web应用防火墙来说,2009年是幸运的一年,因为市场的井喷令所有安全企业兴奋异常。不过需要指出的是,并非对Web服务器提供保护的“盒子”都是Web应用防火墙。事实上,一个标准的Web应用防火墙至少需要具备四大功能。
第一,安全防护。这很好理解,对于针对Web服务器的攻击要具备防御能力,同时还要对数据泄密具备监管能力。
第二,加速。除了防护以外,企业用户在网络之中,需要对应用的运转效率进行控制,比如对TCP协议的缓冲,对SSL VPN的加速,对访问管理的卸载,Web应用防火墙必须能够提供相应的加速能力。
第三,可扩展性。Web应用防火墙在后台连接的时候和Web服务器相关,但不能仅仅防护一台服务器。事实上很多企业的Web服务器数量庞大,Web应用防火墙需要对应用交付和负载均衡提供支持。
第四,IP审计。Web应用防火墙本身对所有流量进行过滤的时候,本身必须具备一套策略----哪些流量需要阻断,哪些可以放过。这些相关的策略标准与策略模型需要对企业流行的应用进行支持。
三种技术
从技术上看,当前市场中的Web应用防火墙分为三种技术类型。第一类是加强型的IPS技术,相当于深度包检测。早期的IPS在包过滤上不是很细致,后来在Web上做了更深入的包检测功能。
第二类是基于黑名单的技术模型。一些安全公司根据以往的经验,统计全球范围内的攻击人和攻击地区,并基于已知威胁的黑名单进行过滤。
只要攻击是来自黑名单之上的,就可以进行过滤。
第三类是基于策略的技术模型。这种产品的设计出发点,是围绕Web应用去进行产品设计的,而不是单纯的去解决Web安全的某一方面问题。其产品设计思路本身基于策略,比如针对Gartner给出的十大类的策略模型。这类产品可以对整个后台系统进行自动监测。除了本身的黑名单,更多是策略。此外要集成应用加速和负载均衡的模块。
新的范畴
从技术发展上看,很多Web应用防火墙已经脱离了防火墙本身的范畴了。可以理解为一个Web应用交付平台了。目前真正基于策略的防火墙,还是国外厂商的天下,如F5、Citrix、梭子鱼Netcontinuum。遗憾的是,国内厂商目前还看不到类似的结构。
Web应用防火墙目前的挑战在于客户接受度。当用户听到Web应用防火墙的时候,必然会想到这种产品与传统防火墙的差异。从设计思路来说,Web应用防火墙与传统防火墙完全不一样。传统防火墙相对简单,可以当作一个硬件盒子进行销售。但是Web应用防火墙是基于策略的,不仅仅是硬件,它与企业的Web安全咨询密切相关,需要与咨询服务结合起来使用。
从渠道的情况看,普通防火墙基于传统的安全分销商。但是这些渠道去销售Web应用防火墙却很吃力,因为他们无法了解企业的应用,比如OA的特点,MIS是什么系统,ERP怎么运作等。
不难看出,Web应用防火墙的定义已经不能用传统的防火墙定义加以衡量了。为此,Gartner提出了应用交付的概念。其核心就是对整个企业安全的衡量,已经无法适用单一的标准了,需要将加速、平衡性、安全等各种要素融合在一起。此后还要进行细分,比如Web应用交付网络、邮件应用交付网络,这些都是针对企业的具体应用提供的硬件或解决方案平台。换言之,用户在面对Web应用防火墙的时候,需要考虑自身的应用特点,结合企业的实际情况获取安全价值。