应用层攻击加剧 应用防火墙瞄准盲点

随着互联网的快速发展,企业的网络应用已经开始变的复杂多样,比如邮件处理、数据存储、网络管理软件的应用等,而网络攻击也开始转向应用层。据高盛统计数据表明,企业要面对75%的来自应用层的攻击,形势非常严峻。

在企业的IT安全管理中,Web应用安全是一个比较新的关注领域,企业还没有充分的认识,甚至有许多业内人士对这个问题也只是一知半解。而安全问题频发也让企业网管意识到原有的防火墙产品已经不能全面防御现在的各种网络攻击,于是,针对Web应用的防火墙横空出世。全球领先的应用安全厂商,梭子鱼网络有限公司技术总监谷新先生表示:现在很多攻击已经转向应用层,客户虽然已经装了防火墙,装了IPS但仍然会被攻击,这就是应用防火墙出现和存在的必要。

应用防火墙是一个比较新的概念,与以往防火墙的安全理念不同,目前在中国还只有少数几家企业提供这款产品。谷新认为:只要有网络就需要有一个防火墙,而原有的防火墙只是针对一些底层的信息,比如说网络层,传输层这样一些信息进行过滤,进行阻断,而应用防火墙是深究到应用层,会对所有应用信息进行过滤,这是本质的区别。

大家都有一个疑问,就是企业已经有IPS是不是还需要应用防火墙,谷新先生认为:这两款产品其实是一种互补的形式。区别在哪呢?举一个简单的例子,比如说有的公司,每一个人开车进入这家公司之前,他会对车进行一个扫描,如果是一辆奔驰就会让他进去。而我们的产品相当于是另外一种扫描,不仅看这辆车,也要看这个人是不是公司内部人员。也就是说应用防火墙设备会做更精细的分析和过滤。

在国内现阶段各级大型企业网站系统的安全措施还多数仅限于购置防火墙防毒墙等对病毒和IPS的防护,但是网页非法篡改行为是利用操作系统和应用程序的漏洞和管理的缺陷进行攻击,而这些公司原有的安全措施(如安装防火墙、入侵检测)则主要集中在网络层上,无法对网页篡改事件形成有效的监控和防护。

为什么我们说传统防火墙阻止不了这类攻击呢?因为这类攻击伪装成正常流量,没有特别大的数据包,地址和内容也没有可疑的不相配,所以不会触发警报。最让人害怕的一个例子就是SQL指令植入式攻击(SQL injection)。在这种攻击中,黑客利用你自己的其中一张HTML表单,未经授权就查询数据库。另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序,狡猾的黑客就可以在服务器上随意执行命令。另一些攻击比较简单。譬如说,HTML注释里面往往含有敏感信息,包括不谨慎的编程人员留下的登录信息。

WEB应用防火墙的出现就是为了专门解决这方面难题的,这种防火墙专门针对Web应用进行全面防护的设备,部署一个立体防护的层次,使其能自动智能化地对黑客的这些攻击手段进行判别和防护应用防火墙通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付,形象的来说相当于给原网站加上了一个安全的绝缘外壳。

应用防火墙实现的原理在于应用层访问控制列表,这不同于IPS和传统防火墙。整个应用层的访问控制列表所面对的对象是大家一般所熟知网站的地址,网站的参数,在整个网站互动过程中所提交一些内容,包括HTTP协议报文内容,由于对HTTP协议完全认知,通过这个协议分析就可知道它是恶意攻击还是非恶意攻击,IPS只是做部分的扫描,而应用防火墙会做完全深层次的扫描。

Gartner统计:目前75%攻击转移到应用层,当企业的网站不断遭到攻击,原有的防火墙已经不能满足企业对网络攻击的防御。因为应用层面非常广,比如说Web应用,邮件应用,中间件应用等,应用在不断增多,导致现在很多攻击在应用层。客户原有的防火墙,IPS不能进行全面的防御了。这就是梭子鱼网络有限公司现在推出应用防火墙的初衷,即帮助客户完全挡住应用层的攻击。