為了提供更為便捷和多樣化的服務，銀行將越來越多的業務搬到了網絡上，以網上銀行為代表的在線業務在極大地提高了銀行業務效率的同時，也為銀行系統的安全帶來了巨大的挑戰：對用戶的信息和資金提供足夠的保護是所有銀行業務的基礎。

    與普通網站一樣，銀行的在線業務面臨著以OWASP十大威脅（OWASP Top 10）為代表的各種網絡攻擊。按照受到攻擊對象的不同，我們可以將惡意攻擊歸納為四大類：注入攻擊、會話攻擊、拒絕服務攻擊和其他類型攻擊。注入攻擊表現為通過合法數據輸入區傳遞惡意攻擊命令，具體包括SQL注入、跨站腳本、遠程文件注入、系統命令注入等等——值得特別注意的是，注入攻擊是造成用戶信息泄漏的最主要原因；會話攻擊表現為對用戶訪問權限的偽造或篡改，因此可能會對目標受害者造成巨大的實際財產損失，常見攻擊包括會話竊聽、會話劫持、跨站請求偽造等等；拒絕服務攻擊的目的是惡意占用和消耗系統資源，使網站不能為正常用戶提供基本服務，包括長度攻擊、速率控制攻擊和基于會話的攻擊等等；其他攻擊包括暴力破解、密碼攔截、日志篡改和緩沖區溢出等等。

    另一方面，銀行業務還有其特殊性。目前銀行的網絡業務，尤其是網上銀行業務，一般都基于SOAP／WSDL／UDDI的Web服務構建，處于其核心的是XML表達，因此除了一般網站各種應用，銀行用戶還需要有專門針對XML內容的防護。此外，由于銀行所面對的用戶非常廣泛，而且其提供的業務等級也很多，銀行為了應對網絡訪問，需要對Web資產進行分級，并提供良好的身份和訪問控制。

    防范Web攻擊、具有XML防火墻并提供全面的身份和訪問控制，這是某銀行對其網站安全設備的主要要求。經過多方對比和仔細測評，在與梭子魚工程師進行了深入交流之后，該銀行最終選擇了梭子魚WEB應用防火墻。該客戶在一天之內迅速完成了梭子魚Web防火墻的安裝和部署，目前包括該銀行網站在內的多種Web應用都在梭子魚的保護之下，而且每周只需要花費很少的時間去維護。自部署以來，梭子魚WEB應用防火墻成功抵御了各種網絡攻擊，為該銀行的網上業務提供了完善的安全保障。“梭子魚WEB應用防火墻消除了我們的一切后顧之憂”，該銀行CIO說。

    在該案例中，客戶選擇梭子魚的原因主要包括：

· 容易使用

· 實際測試中表現出高的性能

· 梭子魚的品牌和信譽

· 最豐富的產品特性

· 可靠的硬件平臺

· 其他用戶的推薦

    自部署以來，梭子魚WEB應用防火墻抵御的主要攻擊包括：

· SQL注入

· 跨站腳本攻擊

§ 拒絕服務攻擊

·非授權人試圖訪問公司資產