應用層攻擊加劇　WEB應用防火墻瞄準盲點防御

　　為什么我們說傳統防火墻阻止不了這類攻擊呢?因為這類攻擊偽裝成正常流量，沒有特別大的數據包，地址和內容也沒有可疑的不相配，所以不會觸發警報。最讓人害怕的一個例子就是SQL指令植入式攻擊(SQL injection)。在這種攻擊中，黑客利用你自己的其中一張HTML表單，未經授權就查詢數據庫。另一種威脅就是命令執行。只要Web應用把命令發送到外殼程序，狡猾的黑客就可以在服務器上隨意執行命令。另一些攻擊比較簡單。譬如說，HTML注釋里面往往含有敏感信息，包括不謹慎的編程人員留下的登錄信息。

　　WEB應用防火墻的出現就是為了專門解決這方面難題的，這種防火墻專門針對Web應用進行全面防護的設備，部署一個立體防護的層次，使其能自動智能化地對黑客的這些攻擊手段進行判別和防護應用防火墻通過執行應用會話內部的請求來處理應用層，它專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊，一些強大的應用防火墻甚至能夠模擬代理成為網站服務器接受應用交付，形象的來說相當于給原網站加上了一個安全的絕緣外殼。

　　應用防火墻實現的原理在于應用層訪問控制列表，這不同于IPS和傳統防火墻。整個應用層的訪問控制列表所面對的對象是大家一般所熟知網站的地址，網站的參數，在整個網站互動過程中所提交一些內容，包括HTTP協議報文內容，由于對HTTP協議完全認知，通過這個協議分析就可知道它是惡意攻擊還是非惡意攻擊，IPS只是做部分的掃描，而應用防火墻會做完全深層次的掃描。

　　Gartner統計：目前75%攻擊轉移到應用層，當企業的網站不斷遭到攻擊，原有的防火墻已經不能滿足企業對網絡攻擊的防御。因為應用層面非常廣，比如說Web應用，郵件應用，中間件應用等，應用在不斷增多，導致現在很多攻擊在應用層�？蛻粼�有的防火墻，IPS不能進行全面的防御了。這就是博威特現在推出應用防火墻的初衷，即幫助客戶完全擋住應用層的攻擊。

文章來源于領測軟件測試網 http://www.kjueaiud.com/