對(duì)Web應(yīng)用防火墻來(lái)說(shuō)，2009年是幸運(yùn)的一年，因?yàn)槭袌?chǎng)的井噴令所有安全企業(yè)興奮異常。不過(guò)需要指出的是，并非對(duì)Web服務(wù)器提供保護(hù)的“盒 子”都是Web應(yīng)用防火墻。事實(shí)上，一個(gè)標(biāo)準(zhǔn)的Web應(yīng)用防火墻至少需要具備四大功能。

第一，安全防護(hù)。這很好理解，對(duì)于針對(duì)Web服務(wù)器的攻擊要具備防御能力，同時(shí)還要對(duì)數(shù)據(jù)泄密具備監(jiān)管能力。

第二，加速。除了防護(hù)以外，企業(yè)用戶在網(wǎng)絡(luò)之中，需要對(duì)應(yīng)用的運(yùn)轉(zhuǎn)效率進(jìn)行控制，比如對(duì)TCP協(xié)議的緩沖，對(duì)SSLVPN的加速，對(duì)訪問(wèn)管理的卸 載，Web應(yīng)用防火墻必須能夠提供相應(yīng)的加速能力。

第三，可擴(kuò)展性。Web應(yīng)用防火墻在后臺(tái)連接的時(shí)候和Web服務(wù)器相關(guān)，但不能僅僅防護(hù)一臺(tái)服務(wù)器。事實(shí)上很多企業(yè)的Web服務(wù)器數(shù)量龐大，Web 應(yīng)用防火墻需要對(duì)應(yīng)用交付和負(fù)載均衡提供支持。

第四，IP審計(jì)。Web應(yīng)用防火墻本身對(duì)所有流量進(jìn)行過(guò)濾的時(shí)候，本身必須具備一套策略----哪些流量需要阻斷，哪些可以放過(guò)。這些相關(guān)的策略標(biāo) 準(zhǔn)與策略模型需要對(duì)企業(yè)流行的應(yīng)用進(jìn)行支持。

三種技術(shù)

從技術(shù)上看，當(dāng)前市場(chǎng)中的Web應(yīng)用防火墻分為三種技術(shù)類(lèi)型。第一類(lèi)是加強(qiáng)型的IPS技術(shù)，相當(dāng)于深度包檢測(cè)。早期的IPS在包過(guò)濾上不是很細(xì)致， 后來(lái)在Web上做了更深入的包檢測(cè)功能。

第二類(lèi)是基于黑名單的技術(shù)模型。一些安全公司根據(jù)以往的經(jīng)驗(yàn)，統(tǒng)計(jì)全球范圍內(nèi)的攻擊人和攻擊地區(qū)，并基于已知威脅的黑名單進(jìn)行過(guò)濾。

只要攻擊是來(lái)自黑名單之上的，就可以進(jìn)行過(guò)濾。

第三類(lèi)是基于策略的技術(shù)模型。這種產(chǎn)品的設(shè)計(jì)出發(fā)點(diǎn)，是圍繞Web應(yīng)用去進(jìn)行產(chǎn)品設(shè)計(jì)的，而不是單純的去解決Web安全的某一方面問(wèn)題。其產(chǎn)品設(shè)計(jì) 思路本身基于策略，比如針對(duì)Gartner給出的十大類(lèi)的策略模型。這類(lèi)產(chǎn)品可以對(duì)整個(gè)后臺(tái)系統(tǒng)進(jìn)行自動(dòng)監(jiān)測(cè)。除了本身的黑名單，更多是策略。此外要集成 應(yīng)用加速和負(fù)載均衡的模塊。

新的范疇

從技術(shù)發(fā)展上看，很多Web應(yīng)用防火墻已經(jīng)脫離了防火墻本身的范疇了。可以理解為一個(gè)Web應(yīng)用交付平臺(tái)了。目前真正基于策略的防火墻，還是國(guó)外廠 商的天下，如F5、Citrix、梭子魚(yú)Netcontinuum。遺憾的是，國(guó)內(nèi)廠商目前還看不到類(lèi)似的結(jié)構(gòu)。

Web應(yīng)用防火墻目前的挑戰(zhàn)在于客戶接受度。當(dāng)用戶聽(tīng)到Web應(yīng)用防火墻的時(shí)候，必然會(huì)想到這種產(chǎn)品與傳統(tǒng)防火墻的差異。從設(shè)計(jì)思路來(lái)說(shuō)，Web應(yīng) 用防火墻與傳統(tǒng)防火墻完全不一樣。傳統(tǒng)防火墻相對(duì)簡(jiǎn)單，可以當(dāng)作一個(gè)硬件盒子進(jìn)行銷(xiāo)售。但是Web應(yīng)用防火墻是基于策略的，不僅僅是硬件，它與企業(yè)的 Web安全咨詢密切相關(guān)，需要與咨詢服務(wù)結(jié)合起來(lái)使用。

從渠道的情況看，普通防火墻基于傳統(tǒng)的安全分銷(xiāo)商。但是這些渠道去銷(xiāo)售Web應(yīng)用防火墻卻很吃力，因?yàn)樗麄儫o(wú)法了解企業(yè)的應(yīng)用，比如OA的特 點(diǎn)，MIS是什么系統(tǒng)，ERP怎么運(yùn)作等。

不難看出，Web應(yīng)用防火墻的定義已經(jīng)不能用傳統(tǒng)的防火墻定義加以衡量了。為此，Gartner提出了應(yīng)用交付的概念。其核心就是對(duì)整個(gè)企業(yè)安全的 衡量，已經(jīng)無(wú)法適用單一的標(biāo)準(zhǔn)了，需要將加速、平衡性、安全等各種要素融合在一起。此后還要進(jìn)行細(xì)分，比如Web應(yīng)用交付網(wǎng)絡(luò)、郵件應(yīng)用交付網(wǎng)絡(luò)，這些都 是針對(duì)企業(yè)的具體應(yīng)用提供的硬件或解決方案平臺(tái)。換言之，用戶在面對(duì)Web應(yīng)用防火墻的時(shí)候，需要考慮自身的應(yīng)用特點(diǎn)，結(jié)合企業(yè)的實(shí)際情況獲取安全價(jià)值。