Web浏览器现在成了内外部访问及应用程序的标准的用户界面,比起为每个应用编写肥客户端程序,Web方式大大节省投资,因此,Web应用在IT界被迅速的推广。
起初设计Web应用程序使用Web浏览的目的是共享或访问静态的信息,而并不注重安全设计。由相对安全的肥客户端过渡到相对不安全的浏览器—瘦客户端带来了两个挑战:应用程序安全性的降低以及如提升安全需要花费更高的成本。很多暴露在web前端的应用在开发时甚至都没有考虑到被攻击的情况。.
在这种背景下,一种新的技术,Web应用防火墙产生了。它能有效的降低网站安全的实施成本。而梭子鱼应用防火墙则是这一新兴产品的领导产品。
老方法行不通
早期,在DMZ区部署静态的Web服务器是标准的安全模型,Web数据中心建立在企业防火墙之外以便于访问者能自由的访问Web站点,但却不能随意访问企业的内部网络和系统。现在,通过Web来访问Web应用系统不仅仅是企业内部的用户,更是直接暴露在Internet上以便于Internet用户访问,传统的DMZ区的概念已经不适用于现在的安全需求。
今天,关于Web应用安全的最佳方法发展为保护少数关键Web事务应用程序。所谓的最佳方法可以用一句话概括——修补代码。Web应用的安全完全依赖开发者对程序不断的更新。
但是,除非开发者能够在黑客之前发现并及时的修补了程序的漏洞,否则web系统总是处于黑客的威胁之下。当程序数量较少时,补丁模式维护应用程序安全是可行的;但如果一个应用中有数十数百个应用程序,修补代码的工作成本将极其高昂,这种安全维护模型几乎是行不通的。然而,Web应用防火墙能够预防未知的应用程序漏洞,从而减少维护成本提高可用性。
减少不安全造成的损失
鉴于程序的复杂性,特别是那些程序数量巨大的系统,Web应用程序的开发者不能或无力识别并对所有的程序漏洞进行修补。而绝大多数企业,无论是内部使用还是外部用户访问,运行程序运行时,往往有许多安全漏洞。因为不安全代码造成的损失的案例媒体几乎每天都在报道,除了这些公开的消息,还有很多没有报道的攻击。除此之外,甚至还有更多的攻击没有检测到而其中可能有非常重要的信息被黑客获取。
通过阻断那些黑客用来访问应用程序的方法,应用防火墙能防止黑客闯入那些易受攻击的程序,而不需要更改应用程序的代码!这样:
减少客户数据、商业机密、员工信息、财务信息及其他敏感数据泄露的可能性。
减少因泄露信息而产生法律诉讼的可能性。
减少因安全问题造成公司股价下跌、形象受损、客户信誉降低的可能性。
更早的遵从有关法规对企业网络安全的规定如: (SOX, GLB, HIPAA, CA SB -386)
阻止黑客用来攻击的方法避免将需要对程序立即修补,并最大程序阻止攻击减少损失。
加快应用的使用
当前,一个新的web应用需要经过漏洞检测工具测试之后才能使用。而通常这样的检测总能发现应用程序中的许多漏洞,但更为重要的是这可能造成客户的流失。如果没有应用防火墙,你必须对程序中的每一个漏洞进行修补,然后反复测试,直到确信没有漏洞,应用程序才推向市场;这可能导致错失商机。而如果部署了应用防火墙,您可以立即在测试,如果发现漏洞被应用防火墙保护,你可以先行发布应用,而不必担心被攻击,然后您可以从容安排漏洞的修复计划,并在后期的版本中修正这些漏洞。这意味着您能够更早的发布应用,一边这些应用更早的产生经济效益。
试想,投资50万元开发了一个web应用,早3个月投入使用会为您带来多大的经济效应?
便于维护
如果一个应用产生的经济价值,它将会升级并固化成产品。应用防火墙对应用程序升级和产品化有两个重要的作用:
首先,很明显,应用防火墙可以防止对系统的攻击。其次,如果您正在遭受攻击或者您通过审计与评估,发现您的系统存在漏洞,您可能需要将应用系统离线,直到漏洞得到修复,补丁得到测试并应用。但是如果有应用防火墙保护您的漏洞,您可以在修补系统的同时继续运行应用系统。例如:根据法律,德国金融行业的用户对于补丁需要经过7天的测试。这样才能避免应用程序在补丁期被黑。只有应用防火墙才能即遵从法规又能不中断应用。
再比如一个老的应用程序,如果当初开发维护它的团队已经不在了,如果在后来的审计或测试中发现了一个严重的漏洞,那么修复这个漏洞的成本可能高到无法承受。但如果有应用防火墙的防护,我们仍然可以继续在线使用这个看起来修复无望的应用程序。
优化运营
补丁管理
软件平台的提供商(如OS, DBMS, App Server, packagedapplications)需要不断的为他们的产品提供安全补丁,有时候这些补丁非常重要需要立即升级,否则将遭受巨大的破环造成重大损失,应用防火墙能保护这些应用直到漏洞得以修复。这样,您不用7*24小时的担惊受怕,可以从容的设定补丁升级计划例如使用windows的计划管理器。