随着互联网的发展演变,基于Web和数据库架构的应用系统已经逐渐成为主流,广泛应用于企业内部和外部的业务系统中。但是,黑客也将攻击目标瞄准了Web应用,目前常见的网络攻击大多数都是针对应用自身的弱点,其中最常用的攻击技术就是针对Web应用的SQL注入和跨站攻击。而且黑客通过相应的攻击工具可以轻松实现入侵,并可直接实现篡改页面内容,甚至进入数据库修改内容等等。对Web应用的攻击增多刺激了Web应用防火墙市场的增长。
2009年是中国Web应用防火墙启动元年。从09年开始,Web应用防火墙开始进入培育期,从目前市场发展情况来看,Web应用防火墙的发展还是很被看好的。梭子鱼中国区总经理何平在接受IT专家网记者采访时表示,目前国内的Web应用 防火墙 市场从辅导阶段进入了实际长成阶段。未来三到五年内,Web应用 防火墙 年增长率应该是200%以上。
刚性的需求
为什么Web应用防火墙受到重视?随着互联网技术的迅猛发展,许多政府和企业的关键业务活动越来越多地依赖于WEB应用,在向客户提供通过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
根据 Gartner 的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上。同时,数据也显示,2/3的Web站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web业务本身的安全,才给了黑客可乘之机。
Web攻击可导致的后果极为严重,完全可以使用多种攻击手段将一个合法正常网站攻陷,利用获取到的相应权限在网页中嵌入恶意代码,将恶意程序下载到存在客户端漏洞的主机上,从而实现攻击目的。由此可见,Web安全已经成为信息时代最大的“杀手”!
何平指出,当网站已经和后台数据库挂钩,而非简单的静态页面时,就应该关注Web应用安全。另外随着今年3G网络开始部署,很多3G应用开始以手机、平板电脑为基础,之后Web方式的应用将会越来越多,由此,用户对Web安全的刚性需求会越来越大。
挑战来自何方?
当一个新东西的出现,要经过一个认知过程,Web应用防火墙亦是如此。Web应用防火墙在国外出现的时间比国内早,市场的认知度相对比国内要早3-5年左右。何平坦言,对于目前梭子鱼而言,最大的挑战不是来自竞争对手,而是来自用户的认知的挑战。在整个行业的推动,仍然需要花很大的力气进行市场教育和引导。
另外,国内的Web应用防火墙市场还处于一个混沌期,要想拿出一个比较成型的标准,还需要一两年的时间。何平介绍到,Web应用防火墙最早的标准来自于PCI-DSS标准设计(信用卡支付的数据安全标准),但随着业务和应用需求的变化以及面对危胁的变化,目前标准的参考主要是来自于OWASP-开放式Web应用程序安全项目。OWASP是一个开放社群、非营利性组织,其主要目标是研议Web安全的标准。从防护能力来说,Web应用防火墙用于防御应用层的如SQL注入攻击、跨站脚本攻击等传统安全设备无法防御的安全威胁。
但是技术是和市场是联动的,来自Web危胁日益严重的刚性需求,以及随着国内用户需求的逐渐清晰和细化,Web应用防火墙产品的事实标准将逐渐形成。
Web应用防火墙和传统防火墙及Web安全网关有很大差别。传统防火墙专注在网络层面,提供IP、端口防护;Web应用防火墙主要致力于提供应用层保护。主要是对Web特有入侵方式的加强防护,如SQL注入、XSS等。Web应用 防火墙 可以有效阻断来自黑客的Web攻击,建立起安全的第一道防线。
梭子鱼Web应用防火墙是基于2007年收购的NetContinuum公司的NC系列防火墙开发出来的新一代Web应用防火墙,不仅继承了NC系列防火墙的强大功能,而且利用新的硬件平台大大提升了产品的性能,同时利用梭子鱼产品的一贯优势——操作简单、易于部署,改善了产品的操作界面和部署模式。
何平指出,由于目前没有统一的WAF标准,供应商的产品功能和性能差异非常大。Web应用防火墙直接关联到用户核心应用,用户需谨慎选择产品,并建议在打算部署此类产品前先询问专业的安全公司或者系统集成商,多进行分析比较。