Web應(yīng)用的日益普及和Web攻擊的與日俱增，讓W(xué)eb安全問(wèn)題備受關(guān)注。但對(duì)于正常流量中的危險(xiǎn)分子，傳統(tǒng)的安全產(chǎn)品根本無(wú)能為力，此時(shí)，我們?cè)摽渴裁磥?lái)保護(hù)Web應(yīng)用？Web應(yīng)用防火墻無(wú)疑是最佳之選。但Web應(yīng)用防火墻究竟是什么？它和傳統(tǒng)的安全產(chǎn)品有什么不同？應(yīng)用起來(lái)又有要注意什么？請(qǐng)看《走出Web應(yīng)用防火墻認(rèn)識(shí)誤區(qū)》系列文章。

發(fā)揮作用需要一個(gè)過(guò)程

沒(méi)有任何兩個(gè)網(wǎng)絡(luò)的架構(gòu)和跑在上面的應(yīng)用會(huì)是完全相同的，所以，任何安全產(chǎn)品要想真正發(fā)揮出其作用，都不能簡(jiǎn)單地將它放入網(wǎng)絡(luò)就不管了，需要不斷地根據(jù)實(shí)際情況調(diào)整安全策略。Web應(yīng)用防火墻也是一樣。

要想讓W(xué)eb應(yīng)用防火墻很好地發(fā)揮作用，需要一個(gè)復(fù)雜的"過(guò)程"，要讓它逐漸適應(yīng)并摸清用戶(hù)的網(wǎng)絡(luò)環(huán)境以及可能涉及的各種Web應(yīng)用，同時(shí)判斷出網(wǎng)絡(luò)中可能存在哪些攻擊行為，可能遇到哪些安全風(fēng)險(xiǎn)，再逐一加以阻斷。

這個(gè)過(guò)程如果完全靠企業(yè)的IT管理人員手動(dòng)去做，將是一個(gè)非常漫長(zhǎng)而可怕的過(guò)程，不但費(fèi)時(shí)費(fèi)力，通常還會(huì)有很多被遺忘的角落。

主動(dòng)模式能夠簡(jiǎn)化部署

本著易于部署的原則，梭子魚(yú)的Web應(yīng)用防火墻在用戶(hù)部署之初就做了很多優(yōu)化，除了認(rèn)為干預(yù)，還增加了自動(dòng)模式，讓產(chǎn)品可以自動(dòng)學(xué)習(xí)后臺(tái)服務(wù)器的架構(gòu)，甚至自動(dòng)為用戶(hù)推薦合理的部署或防護(hù)的模式。

梭子魚(yú)Web應(yīng)用防火墻的易于使用，還體現(xiàn)在其強(qiáng)大的日志功能。通過(guò)日志，用戶(hù)可以看到某個(gè)網(wǎng)絡(luò)瀏覽行為為什么被阻斷，為什么被允許，這個(gè)動(dòng)作可能阻斷多少攻擊等詳細(xì)信息。而且，在梭子魚(yú)WAF產(chǎn)品的日志除了提供用戶(hù)關(guān)注的信息，還會(huì)給出可行性建議，例如修改哪些參數(shù)，做怎樣的優(yōu)化，可以阻斷被漏判的攻擊或避免誤判。用戶(hù)在使用梭子魚(yú)Web應(yīng)用防火墻的過(guò)程中，不斷查看日志信息，不斷修改優(yōu)化，很快就可以讓它全面發(fā)揮作用。

被動(dòng)模式可以校正策略

對(duì)于某些重要的Web應(yīng)用，如果不斷地調(diào)整Web應(yīng)用防火墻的策略，不停地試驗(yàn)，很可能會(huì)影響到關(guān)鍵應(yīng)用的正常使用，甚至?xí)a(chǎn)生用戶(hù)投訴等不良后果。因此，自動(dòng)模式雖好，但卻并不一定適合每一個(gè)網(wǎng)絡(luò)環(huán)境。

那么，在Web應(yīng)用防火墻的部署過(guò)程中，除了自己手動(dòng)一條一條地添加策略，或者靠系統(tǒng)自己學(xué)習(xí)來(lái)提供建議策略，是否還有更穩(wěn)妥的模式，將部署過(guò)程中產(chǎn)生的風(fēng)險(xiǎn)降到最低？

正是因?yàn)榭紤]到這個(gè)層面，為了讓用戶(hù)可以更順暢地應(yīng)用Web應(yīng)用防火墻，梭子魚(yú)的Web應(yīng)用防火墻還提供了被動(dòng)工作模式。在被動(dòng)模式下，Web應(yīng)用防火墻只進(jìn)行日志記錄，記錄訪(fǎng)問(wèn)中可能存在的攻擊行為，而不采取任何阻斷行為，完全不會(huì)影響到用戶(hù)的正常使用。一定時(shí)間后，用戶(hù)可以通過(guò)查看日志，來(lái)判斷先前所設(shè)的策略是否存在問(wèn)題，是否需要修改，直到明確不會(huì)出現(xiàn)問(wèn)題為止。

被動(dòng)模式只是讓用戶(hù)知道網(wǎng)絡(luò)上有什么，讓用戶(hù)明白在正常使用時(shí)可能收到什么樣的攻擊或威脅，便于用戶(hù)檢驗(yàn)初期配置是否準(zhǔn)確，從而設(shè)定最佳的防護(hù)策略。否則，如果用戶(hù)的策略一開(kāi)始就存在漏判或誤判問(wèn)題，前期工作壓力會(huì)很大，還可能增加很多不必要的麻煩。

事實(shí)上，安全本身就是一個(gè)管理的過(guò)程，只有不斷優(yōu)化策略，才能達(dá)到最佳的防護(hù)效果。

更多梭子魚(yú)下一代防火墻產(chǎn)品信息及成功案例，請(qǐng)登陸官方主頁(yè): www.barracudanetworks.com.cn 。