導讀：阿喀琉斯是荷馬史詩《伊利亞特》中的英雄，是海洋女神忒提斯與國王佩琉斯的兒子。在阿喀琉斯出生后，他被母親握住腳踵倒浸在冥河水中，除了未沾到冥河水的腳踵外，全身刀槍不入。在特洛伊戰(zhàn)爭中，阿喀琉斯殺死特洛伊主將赫克托爾，使希臘軍轉敗為勝，但卻被暗箭射中腳踵而死。

這個故事告訴我們，任何一個強者都有弱點！

我們的安全防護體系也同樣如此，在搭建之初很可能因為當時的安全威脅特性而留下致命的“缺陷”。那么，安全的“阿克琉斯之踵”在哪里？怎樣才能削弱由此帶來的危險？

正文：

經(jīng)過幾十年的演變，互聯(lián)網(wǎng)早已從一個基于學術和軍事的專用網(wǎng)絡演變?yōu)槿蛑匾男畔⒒A設施，滲透到各個社會領域并產(chǎn)生巨大的影響。但是伴隨的是網(wǎng)絡威脅也安全威脅日益高級和復雜，傳統(tǒng)的安全產(chǎn)品“老三樣”在應對不斷變化的混合型安全威脅，處理豐富的互聯(lián)網(wǎng)應用時，已經(jīng)顯得力不從心。

這是一個應用程序越來越豐富的時代。很多BT下載可以隱藏在IPTV協(xié)議里面。無論是游戲、視頻對話還是下載，都需要做出判斷之后再做進一步管理。黑客之所以能夠攻擊用戶，都是利用了防火墻開放的端口，躲過防火墻的監(jiān)測，直接針對目標應用程序。他們想出復雜的攻擊方法，能夠繞過傳統(tǒng)防火墻。以前的防火墻采用的方式更多是阻斷，就像是一座墻，有墻里墻外之分。基于應用層的攻擊無疑是翻“墻”而過。據(jù)統(tǒng)計，目前70%的攻擊是發(fā)生在應用層，而不是網(wǎng)絡層。

為解決傳統(tǒng)防火墻的不足以及Gartner在其2009年的報告中使用“下一代防火墻”一詞來表述防火墻為了應對商業(yè)處理以及針對公司系統(tǒng)的攻擊而進行的演化。以梭子魚等為代表的安全廠商陸續(xù)在國內(nèi)發(fā)布下一代防火墻產(chǎn)品來解決應用層的問題。

下一代防火墻不是簡單地根據(jù)模式而是按照整體行為來判斷是否要進行阻斷。例如，如果想控制流媒體不要占用太多流量，在進行識別之后再確定是進行阻斷還是監(jiān)測帶寬，而后管理員可以根據(jù)公司的情況進行配置。然而，在傳統(tǒng)方式下，這種情況是無法識別的。大多數(shù)公司都有多條鏈路。所以，當?shù)谝粭l鏈路出問題的時候就會自動切換到另一條鏈路。當然，下一代防火墻支持無線鏈路，通過無線3G也可以進入。

梭子魚下一代防火墻將WEB和郵件安全網(wǎng)關、入侵檢測、應用安全防護以及流量管理等智能融合于一體，便于企業(yè)統(tǒng)一實施管理，不管信息管理人員身處何地，在家中、分支機構還是區(qū)域業(yè)務總部或是數(shù)據(jù)中心都可隨時遠程進行管理工作。

基于應用層的攻擊，web安全無疑是重中之重。由于黑客針對Web應用的攻擊手段和技術日趨高明、隱蔽，致使大多Web應用處在高風險環(huán)境下開展。網(wǎng)站遭受攻擊將直接沖破企業(yè)應用的安全底線，損害企業(yè)的社會形象，導致客戶流失。

雖說IDS，IPS通過使用深包檢測的技術檢查網(wǎng)絡數(shù)據(jù)中的應用層流量，和攻擊特征庫進行匹配，從而識別出已知的網(wǎng)絡攻擊，達到對web攻擊的防護。但是對于未知攻擊，和將來才會出現(xiàn)的攻擊，以及通過靈活編碼和報文分割來實現(xiàn)的web攻擊，IDS和IPS同樣不能有效的防護。

此時，WEB應用防火墻便應運而生，和傳統(tǒng)網(wǎng)絡防火墻的低層處理機制以及與IPS對于HTTP、HTTPS和FTP流量的簡單操作相比，梭子魚WEB應用防火墻則對HTTP流量進行代理，并全面掃描7層數(shù)據(jù)，確保攻擊在到達Web服務器之前就將其阻斷。許多Web應用由于斷斷續(xù)續(xù)的代碼加固及安全維護，致使這些Web應用通常存在嚴重的安全漏洞及隱患。 火墻能夠阻斷所有常見的Web攻擊。作為一個反向代理，在阻斷攻擊的同時，能夠對外發(fā)的HTTP響應進行全面的監(jiān)控，確保諸如信用卡卡號、社保卡卡號等敏感信息的泄露。結合動態(tài)學習功能，梭子魚應用防火墻能夠學習Web服務器的內(nèi)在結構并生成策略，確保網(wǎng)站的高安全性。