解析Web站点和Web服务器的终极防护方案

随着企业管理与应用的不断“Web”化,Web安全威胁愈演愈烈,这给企业用户带来不小的压力,然而对于安全厂商而言Web安全或许是一次不错的试金石。总体来看,Web安全市场可以分为两大支流,其中一个叫内容安全管理,另外一个叫应用安全管理。内容安全管理主要以上网行为管理产品为代表,主要侧重于企业web应用,是用户端的一个管理;另外一块就是以Web应用防火墙为代表。

伴随着Web应用的不断发展,市面上的Web应用防火墙品牌与功能也越来越多,什么样的Web应用防火墙才是一款好的安全设备?很荣幸采访到梭子鱼网络有限公司中国区总经理何平(Arron He)一同探讨Web应用防火墙采购与部署情况。

记者:时间过的好快,2011年已经走进我们的工作中,2010年Web安全市场给您留下哪些深刻印象?

何平:2011年我感觉上网行为管理这个市场已经相对成熟,进入到一个相对平稳期,该采购的企业用户已经采购,而且部署得比较充分,尤其在中国市场,规模增长也很难。对于Web内容安全管理来说,表现得比较好的还是在服务, Web应用安全是以Web应用防火墙为代表,在2010年发展比较迅速。

记者:前段时间微博上有人说,国内某一个内容安全厂商将与应用安全厂商合并,您怎么看待这样的合并?

何平:我个人觉得这是一个趋势,因为,从Web安全的角度来说,以前是分为内容安全和应用安全,只是说原来老的一个差别,因为各个厂商在这个市场上切入点不一样。但是,从长期的发展规律来看,我相信最终整体性安全厂商会越来越多。

记者:就Web安全来说,您觉得中国市场跟国外市场在2010年有什么特别差别呢?

何平:在此,我想先讲一下整个市场发展思路,美国、日本包括欧洲在Web安全市场发展相对成熟,起码比中国早几年。中国市场在整个内容安全管理市场起步比较快,尤其是过去的三、四年成长非常快。而在整个应用安全市场方面,起步应该是晚一点,起码我认为和国际相比晚三年以上。

2010年,从全球整体趋势来看,侧重点已经从内容安全管理向整个应用安全管理过渡,中国市场也一样,但是从发展阶段来看,国际应用安全市场可能早于国内大概三四年的样子。

记者:梭子鱼在内容安全方面有没有新产品上市?

何平:梭子鱼在内容安全管理方面,最早的产品是2004年推出的垃圾邮件防火墙,2004年下半年和2005年初梭子鱼推出Web Filter,国内叫上网行为管理,国际上叫Web Filter。

梭子鱼最早是一个内容安全管理厂商,在2007年收购一家Web应用防火墙厂商,梭子鱼实际是从内容安全转向应用安全。内容安全管理的范畴发生了变化,以前更多的是针对单一应用管理,比如对垃圾邮件、上网行为管理甚至包括对整个即时通讯管理。

现在是一种融合趋势,这种趋势体现在两个载体上,一个载体就是以前所说的UTM,本身把一些模块或者功能整合到一款产品中;还有一个载体是针对企业级应用,与广域网优化和应用安全一体化整合得比较多。

记者:Web2.0时代,像微博、SNS等已经开始进入企业中,这给做Web安全应用防火墙这些厂商带来了哪些机遇和挑战?

何平:Web2.0无论对整个Web服务商还是用户而言,都存在机遇和挑战。因为,对服务器端而言,以Web应用防火墙为例,Web2.0是存在着用户创造价值,就意味着以前Web更容易区分用户和提供商,而现在转化为用户本身也是内容提供商。这样以前Web安全是单线检查,现在变化双线检查,所以我觉得这在整个Web应用防火墙功能上以及安全设置有一些提升的要求。

对于公司内网Web内容安全的角度而言,以前很简单,Web应用基本是基于80端口,然后其他应用走不同端口号,而现在Web2.0存在一个问题,包括很多即时通讯以及视频,都是封装在http协议里面,这意味着端口号是一样的。这样管理的话,以前UTM就是将传统防火墙编进来,遇到80端口放行,遇到其他端口阻断。现在问题是80%都是80端口,所以对内容安全厂商而言,要区分出来同样走80端口它的应用具体是什么,这是对内容安全厂商的一个要求。所以,下一代防火墙已经可以针对到具体应用,而不是端口应用。

记者:随着Web安全概念的不断普及和升华,Web安全产品也进入一个高速发展时期,Web安全市场冒出的产品也比较多,首先问您一个比较简单的问题,企业用户是否需要Web应用防火墙?作为企业的IT管理者和采购者,在选购Web安全产品时应该注意哪些要素?

首先回答你的第一个问题,企业是否需要Web防火墙?先来看一个根本性问题,企业Web应用是否是受到过攻击或者是说这种攻击是否导致企业无法承受损失。很多Web网站也很简单,仅仅一个产品介绍页面,它也不附带数据库,第一、很少有人对此类网站感兴趣,也没什么值得攻击的地方;第二、即使被攻击,重新启动就可以搞定。这种情况下,Web应用防火墙对此类企业用户影响不是很大。

梭子鱼Web应用防火墙针对的用户是网站上呈现很多无论从经济角度来说,或者从政治角度来说,是存在很多重要信息;而且这些重要信息存在着有可能被感染或被篡改的可能性;而且这种篡改和感染会是企业经济损失或名誉损失比较大。在这种情况下,考虑Web应用防火墙是比较合适的一个定位,这是一个梭子鱼Web应用防火墙基于用户群定位的考虑。

第二,针对企业采购而言,因为Web应用防火墙目前来说全球也没有唯一标准,大家默认的标准比如要满足PCI安全标准,还有包括OWASP提出的有十个最重要的根源,大部分用户默认的这两个是基本性标准。

实际而言,Web应用防火墙在国际上流行的功能来说,其中包括三个部分:

第一、我们把它叫做网站隐身,即,网站在攻击者面前是隐藏的,不是显性的,就是攻击者无法看到Web服务器版本和应用服务器版本甚至数据库版本等,看不到则很难找到漏洞。比如微软IIS,相当于一个Web Server,比如8.0版本有7个漏洞,9.0版本有两个漏洞。对于黑客而言,查不到漏洞在哪里,但是如果不知道企业有Web服务器,攻击就变的很难。

第二、就是安全检查和校验。最主要的作用是帮企业把后台所有应用程序漏洞找出来,同时配置好相应防护策略,避免后台受到攻击。

第三,因为企业存在效率损失问题,不管是奥运安检还是世博安检,我们安全性提高了,但是进门人的效率就降低,本来一分钟能过10个人,现在一分钟就能过8个人,所以对Web应用防火墙而言,还有一个很重要的功能叫做应用加速。通过cache缓冲,使整个应用程序在安全上损失时间通过后台加速弥补,这实际是Web防火墙三大功能。

记者:我顺着您刚才的问题,用户在考虑安全产品的时候,其一考虑功能,其二、考虑性能。企业应该如何权衡这两者之间的关系,您有没有一些好的建议呢?

何平:我个人觉得对于Web应用防火墙而言,企业用户首先关注的可能还是功能。Web应用防火墙是基于用户可配置的系统,它有100个功能,但是用户可以开几个功能。这就意味着可以在功能上和效率上,自己做一个平衡。你把100个功能全部打开,检查有可能会影响Web安全防火墙的性能;但是可以根据企业具体情况,根据受攻击的方式不同,只针对前三名攻击策略进行防护,很多偶然性攻击,可以把策略设置范围小些,这样完成整个系统的性能比较高。

记者:根据您的经验,梭子鱼Web应用防火墙进入中国已经有几年,您觉得中国用户对哪些功能比感兴趣,或者哪些功能比较符合中国市场需求?

何平:对客户来说,用户可能更感兴趣的是事前控制,Web应用防火墙最重要的是通过策略性配置来防止攻击。

国内当然有一些新的产品,比如网页防篡改,被攻击之后能够快速恢复。它是两个不同的产品,这是第一点。

第二点,中国用户从一开始对安全性需求,逐步考虑到对安全和效率相结合。以前更多考虑安全,不被攻击,后来发现安全是有代价的,时间的代价,可能牺牲效率。现在很多人会考虑,我本身有没有应用加速,这是用户选择的一个理性化过程。

另外从实际的行业市场来看,目前Web应用防火墙市场和国际上有些差别。国际上最早用Web应用防火墙的是银行和电子支付网站,而国内最早上Web应用防火墙的反而是政府、教育包括一些公共服务行业水电煤以及通讯行业。反而在银行、电子商务网站中采用Web应用防火墙的很少。

记者:您觉得金融、电子商务网站等行业,中国市场为什么跟国外市场不一样?它在这方面是没有需求还是已经做到很好的防护?

何平:最核心的问题是中国金融机构和国际金融机构相比还比较弱。国外的可能一个城市有100家银行,如果提供服务比别人差的话,用户不会选择我,所以要给用户提供便利的服务,尤其是网上服务,网上支付、网上转帐等。

但是国内用户可以不提供相关服务,所以就没有安全性问题。确实因为市场竞争导致服务灵活性和便利性,这样服务内容越多,便利性越高,安全隐患就越大,我觉得可能主要原因在这,再加上市场属性有点区别。

记者:最后一个问题,您如何看待2011年Web安全市场,梭子鱼在今年市场上还有什么新的动作?

何平:2011年,我认为整个市场还延续2009年和2010年的趋势,也就是说内容安全市场会存在一个功能性扩充,就是它产品升级。而应用安全市场是存在着量的过程,也就是说内容安全市场原来单纯的上网行为管理这样的市场,可能比较难有大的市场。反而,内容安全管理和广域网优化相结合包括应用控制为一体这样的安全设备,相当于产品的升级。整个应用安全市场存在着一个扩容过程,以前只有两三个行业,今天可能扩展到更多行业。

2011年,梭子鱼在整个应用安全市场尤其Web应用防火墙市场上,今年应该是在第三季度之前推出梭子鱼最高型号Web应用防火墙,也就是说它除了性能以外,在功能上包含广域网应用加速以及外围令牌接口的一个Web安全设备。它已经不是单纯的一个盒子、一个产品的概念,它本身是一个公司的安全平台,令牌甚至第三方的认证接口都会结合在这个平台里面。