Web時(shí)代安全如何突圍

隨著互聯(lián)網(wǎng)的普及，越來越多的應(yīng)用和業(yè)務(wù)開始依托Web展開，各種各樣的安全威脅和攻擊也滲透其中。要想揪出躲在這些應(yīng)用中的"毒瘤"，并不是一件容易的事情，至少傳統(tǒng)的針對(duì)網(wǎng)絡(luò)層的安全產(chǎn)品是無能為力的。那么，誰能保障我們的Web應(yīng)用安全？我們又該如何正確地認(rèn)識(shí)這類安全產(chǎn)品？帶著這樣的問題，記者采訪了杭州安恒信息技術(shù)有限公司總裁兼技術(shù)總監(jiān)范淵先生。

針對(duì)Web時(shí)代的安全威脅，什么樣的防護(hù)手段才是真正有效的？

范淵：目前，很多企業(yè)都是通過網(wǎng)絡(luò)安全防御技術(shù)對(duì)Web應(yīng)用進(jìn)行防護(hù)的，例如采用防火墻、IDS等產(chǎn)品，但它們無法對(duì)應(yīng)用層進(jìn)行深入地分析，很難找出隱藏在應(yīng)用中的安全威脅，無法有效阻止Web攻擊。

事實(shí)上，對(duì)于Web應(yīng)用進(jìn)行防護(hù)，只有Web應(yīng)用防火墻才是最有效的。

Web應(yīng)用防火墻（WAF）旨在保護(hù)Web應(yīng)用程序免受常見攻擊（如跨站腳本攻擊和SQL注入攻擊等）的威脅，對(duì)HTTP有非常深入的理解，能夠深入分析和解析HTTP的有效性，可以監(jiān)測(cè)往返流量，還能對(duì)Web流量進(jìn)行安全控制。

傳統(tǒng)防火墻主要在于保護(hù)網(wǎng)絡(luò)的外圍部分，而WAF則部署在Web客戶端與Web服務(wù)器之間，可以輕松分析出應(yīng)用層的流量，發(fā)現(xiàn)任何違反安全政策的安全問題。

那么，一款好的Web應(yīng)用防火墻，應(yīng)該具備哪些特性？

范淵：一款好的Web應(yīng)用防火墻，應(yīng)該能夠有效緩解針對(duì)Web業(yè)務(wù)的各類安全威脅，高效保障Web應(yīng)用的可用性和可靠性，還能夠滿足合規(guī)要求。同時(shí)，它對(duì)現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)還應(yīng)該是盡量無影響的，而且方便管理，不會(huì)對(duì)現(xiàn)有Web服務(wù)器的訪問速率造成太大的影響，不會(huì)對(duì)正常業(yè)務(wù)訪問進(jìn)行錯(cuò)誤的攔截阻斷。

以安恒信息明御Web應(yīng)用防火墻為例，是安恒信息結(jié)合多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上自主研發(fā)完成的，滿足各類法律法規(guī)如PCI、等級(jí)保護(hù)、企業(yè)內(nèi)部控制規(guī)范等要求。

明御Web應(yīng)用防火墻采用專利級(jí)Web入侵異常檢測(cè)引擎，能夠有效分析和識(shí)別各類已知和變形的應(yīng)用攻擊，如注入攻擊、跨站腳本攻擊(釣魚攻擊)、惡意編碼(網(wǎng)頁木馬)、緩沖區(qū)溢出、信息泄露、應(yīng)用層DoS/DDoS攻擊等，為防御的準(zhǔn)確性和高效性提供了基礎(chǔ)；支持全透明部署，無需更改原有的DNS或IP配置，對(duì)原有應(yīng)用不會(huì)造成任何影響；支持HTTPS，可實(shí)現(xiàn)各類高安全要求Web應(yīng)用系統(tǒng)的深度實(shí)時(shí)防護(hù)（如網(wǎng)銀、證券交易等）；支持多保護(hù)對(duì)象，包括不同域名不同IP、不同域名相同IP的情況；支持用戶自定義規(guī)則庫(kù)，用戶可以根據(jù)數(shù)據(jù)包的特征關(guān)鍵字等自定義安全策略規(guī)則，來實(shí)現(xiàn)安全檢測(cè)及過濾；統(tǒng)一日志平臺(tái)接口；支持阻斷、告警、By-Pass等多種應(yīng)用模式。

我們知道，安恒信息的產(chǎn)品不只是Web應(yīng)用防火墻一種。那么，在安全防護(hù)方面，安恒信息能夠?yàn)橛脩籼峁┠男�層面的幫助�?/strong>