F5的產(chǎn)品管理和營銷副總裁Erik Giesa提到,該公司將依靠保護(hù)XML(可擴(kuò)展標(biāo)記語言)和SIP(會話初始化協(xié)議)流量來支持Web服務(wù)器和VoIP���。它還正在求助于在其平臺中增加 WAN加速技術(shù)和制作一種軟件開發(fā)者工具包���,以鼓勵創(chuàng)建一旦發(fā)現(xiàn)入侵就能阻斷流量的自保護(hù)應(yīng)用程序��。該應(yīng)用程序?qū)⑴c管理F5 Big IP應(yīng)用交換機(jī)的軟件相結(jié)合���,在Big IP內(nèi)建立一個可阻斷可疑流量的規(guī)則�。
Imperva的首席執(zhí)行官Shlomo Kramer說:“Imperva 計劃開發(fā)一些審計和評估工具��,這些工具可幫助客戶遵從這樣的一些規(guī)則:支付卡行業(yè)標(biāo)準(zhǔn)���、HIPAA法案和用于保護(hù)私密信息的Sarbanes-Oxley 法案���。”據(jù)Protegrity的產(chǎn)品戰(zhàn)略和開發(fā)副總裁Jeannine Bartlett介紹,Protegrity期望將其數(shù)據(jù)庫安全裝置與通過Kavado得到的應(yīng)用保護(hù)軟件結(jié)合在一起����。她說:“我們明年的發(fā)布主要集中在后端報告、統(tǒng)計�����、度量�、特定應(yīng)用程序映射上,以滿足客戶遵從法規(guī)的各種需要��。這才是較大型公司所真正需要的東西���。”
Whitely認(rèn)為�����,所有這一切活動都表明���,應(yīng)用防火墻正趨于成熟。這些設(shè)備多數(shù)是衍生于反向代理技術(shù)�����,利用這種技術(shù)��,向Web服務(wù)器傳送的流量由代理終止后以單獨會話的方式傳送給服務(wù)器���,然后服務(wù)器的響應(yīng)又被代理���。雖然流量經(jīng)過了代理,但是該設(shè)備可對流量進(jìn)行檢查���,以確定它是否有利用應(yīng)用程序漏洞的企圖��。
Whiteley表示��,廠商們銷售這些設(shè)備的數(shù)量不是很多����,他估計每個公司每年的收入最高也就是1000萬美元。由于這些設(shè)備和應(yīng)用交換機(jī)���、負(fù)載均衡器�、應(yīng)用加速器占用網(wǎng)絡(luò)中的同一個點����,所以集成它們是很有意義的。
普遍應(yīng)用尚需時日
一些客戶已購買了應(yīng)用交換機(jī)作為單獨的設(shè)備���,把它們與負(fù)載均衡器串聯(lián)部署����。例如����,金融業(yè)應(yīng)用服務(wù)提供商Baker Hill公司已部署了一個Teros應(yīng)用防火墻,位置處于一臺F5 Big IP設(shè)備的前面���,而Big IP又處于Microsoft IIS服務(wù)器的前面�。該公司的高級網(wǎng)絡(luò)管理員Eric Beasley說:“客戶們要求安裝應(yīng)用防火墻�。在我們向較大型金融機(jī)構(gòu)進(jìn)行銷售時�����,他們看了那個體系結(jié)構(gòu)并說它是Microsoft的����?���?蛻袅私?Nimbda病毒��、紅色代碼病毒���,了解所有這些問題�����。除非我們把某種反向代理置于那個環(huán)境的前面���,否則客戶就不會與我們做交易。我們有些客戶在合同中說: ‘如果什么時候去掉了它�,我們就與你們解除合同。’它就是如此重要�����。”
Pacific Northwest National Laboratory使用NetContinuum應(yīng)用防火墻來保護(hù)其Web應(yīng)用程序。該機(jī)構(gòu)網(wǎng)絡(luò)安全組的研究科學(xué)家Mark Hadley說:“有時需要重寫應(yīng)用程序以便它們能通過應(yīng)用防火墻��。”例如��,如果一個應(yīng)用協(xié)議的某個字段使用一個也用于Web應(yīng)用程序URL的字符�,如 “forward slash”,那就表示它是一個可被攻擊者利用的漏洞����。因此,用戶應(yīng)對其應(yīng)用程序有可能需要重寫一事作好準(zhǔn)備����。Hadley建議設(shè)立測試環(huán)境,在應(yīng)用程序部署之前將它們運行一遍���,鑒別和修正這樣的小毛病�����。
Whiteley認(rèn)為��,這種復(fù)雜性可能會使一些用戶認(rèn)為應(yīng)用防火墻復(fù)雜得難以部署��,如果他們的應(yīng)用程序?qū)λ麄兊臉I(yè)務(wù)不是關(guān)鍵性的����,就更不愿意部署應(yīng)用防火墻。他的觀點是�����,當(dāng)廠商們把應(yīng)用防火墻和應(yīng)用交換機(jī)集成在同一個設(shè)備中���,并開發(fā)一些軟件工具使它們更易于配置時���,就會有更多的商業(yè)用戶使用它們���。他說: “再過9到12個月���,它就會被廣泛采用。”
雖然應(yīng)用防火墻可保護(hù)應(yīng)用程序免受利用漏洞進(jìn)行的緩沖區(qū)溢出或格式化字符串攻擊��,但它們是一種目標(biāo)防衛(wèi)機(jī)制�,不能解決所有的Web安全問題。應(yīng)用防火墻的一些不足在于:
● 可能需要調(diào)整某些Web應(yīng)用程序或客戶機(jī)/服務(wù)器應(yīng)用程序以便能正確地工作����;
● 不能取代傳統(tǒng)的網(wǎng)絡(luò)層防火墻或入侵檢測/防護(hù)系統(tǒng)��;
● 可能需要重新配置以對付針對最新發(fā)現(xiàn)的應(yīng)用程序漏洞的攻擊�����;
● 可能不符合關(guān)于數(shù)據(jù)保護(hù)方面的法規(guī)要求�。
