各种网页被挂马、网站SQL 注入，导致网页被篡改、网站被查封，甚至被利用成为传播木马给浏览网站用户的一个载体。不仅在于各个传统防火墙存在不足和缺陷，也因为用户没有正面理解防火墙和使用防火墙。

    传统防火墙的不足主要体现在：

    1.主要工作在OSI 模型三、四层，基于IP 报文进行检测，控制对网络的访问。

    2.在设计之初，就无需理解Web 应用程序语言如HTML 及XML，也无法理解HTTP 会话。

    3.无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。

    4.为了保障对web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用。

    5.状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器。

    梭子鱼的Web防火墙应用以其功能强大，操作简便，性价比高等优势继成为全球邮件安全和负载均衡市场领导者后，梭子鱼WEB应用防火墙通过在技术上的不断突破，占据市场的主体地位。以WAF配置为例，梭子鱼建议：

    1. 配置服务：配置VIP地址和真实服务器地址。

    2. 配置安全策略：开启主动防护模式。

    3. 开启URL防护策略：例如阻断SQL注入，跨站攻击等。

    4. 系统告警：一旦网站被攻击，梭子鱼马上能通过邮件进行告警。

    用户在使用过程中，不仅需要认识到传统防火墙的不足，寻根究据对症下药，完成防火墙的更新换代，更要妥善采取博弈手段，跟“恶势力”抗争到底。
 
[page]　    注重过程，才能发挥作用

    要想让Web应用防火墙很好地发挥作用，如果完全靠企业的IT管理人员手动去做，将是一个非常漫长而可怕的过程，不但费时费力，通常还会有很多被遗忘的角落。

   没有任何两个网络的架构和跑在上面的应用会是完全相同的，所以，任何安全产品要想真正发挥出其作用，都不能简单地将它放入网络就不管了，需要不断地根据实际情况调整安全策略。Web应用防火墙也是一样。

   这样一个复杂的“过程”，要让它逐渐适应并摸清用户的网络环境以及可能涉及的各种Web应用，同时判断出网络中可能存在哪些攻击行为，可能遇到哪些安全风险，再逐一加以阻断。

　　主动迎击，化繁为简

    本着易于部署的原则，梭子鱼的Web应用防火墙在用户部署之初就做了很多优化，除了认为干预，还增加了自动模式，让产品可以自动学习后台服务器的架构，甚至自动为用户推荐合理的部署或防护的模式。

    梭子鱼Web应用防火墙的易于使用，还体现在其强大的日志功能。通过日志，用户可以看到某个网络浏览行为为什么被阻断，为什么被允许，这个动作可能阻断多少攻击等详细信息。而且，在梭子鱼WAF产品的日志除了提供用户关注的信息，还会给出可行性建议，例如修改哪些参数，做怎样的优化，可以阻断被漏判的攻击或避免误判。用户在使用梭子鱼Web应用防火墙的过程中，不断查看日志信息，不断修改优化，很快就可以让它全面发挥作用。

    被动模式，安全优化

    对于某些重要的Web应用，如果不断地调整Web应用防火墙的策略，不停地试验，很可能会影响到关键应用的正常使用，甚至会产生用户投诉等不良后果。因此，自动模式虽好，但却并不一定适合每一个网络环境。

    那么，在Web应用防火墙的部署过程中，除了自己手动一条一条地添加策略，或者靠系统自己学习来提供建议策略，是否还有更稳妥的模式，将部署过程中产生的风险降到最低？

    正是因为考虑到这个层面，为了让用户可以更顺畅地应用Web应用防火墙，梭子鱼的Web应用防火墙还提供了被动工作模式。在被动模式下，Web应用防火墙只进行日志记录，记录访问中可能存在的攻击行为，而不采取任何阻断行为，完全不会影响到用户的正常使用。一定时间后，用户可以通过查看日志，来判断先前所设的策略是否存在问题，是否需要修改，直到明确不会出现问题为止。

    被动模式只是让用户知道网络上有什么，让用户明白在正常使用时可能收到什么样的攻击或威胁，便于用户检验初期配置是否准确，从而设定最佳的防护策略。否则，如果用户的策略一开始就存在漏判或误判问题，前期工作压力会很大，还可能增加很多不必要的麻烦。

    事实上，安全本身就是一个管理的过程，只有不断优化策略，才能达到最佳的防护效果。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。