Web2.0的廣泛采用，使越來越多的企業(yè)網(wǎng)站把用戶生成內(nèi)容、在線直播、交互式內(nèi)容與傳統(tǒng)的圖片、文本混合在一起。但Web2.0對企業(yè)安全的影響也是巨大的。許多Web2.0網(wǎng)站使用來自多個(gè)源的不同元素和功能的混搭，因而幾乎無法驗(yàn)證其代碼。此外，隨著Web2.0網(wǎng)站的成熟且變得越來越動(dòng)態(tài)化，企業(yè)越來越難以確認(rèn)正常的通信模式(可用作設(shè)置使用策略或防火墻規(guī)則的標(biāo)準(zhǔn))，由此導(dǎo)致的結(jié)果是，網(wǎng)站容易遭受攻擊。

Web應(yīng)用防火墻就是為應(yīng)對這種威脅而產(chǎn)生的。它不像傳統(tǒng)的防火墻那樣保護(hù)整個(gè)網(wǎng)絡(luò)，而是僅僅保護(hù)Web服務(wù)器的安全。Web應(yīng)用防火墻位于Web客戶端和Web服務(wù)器之間，它可以監(jiān)視應(yīng)用程序的每一個(gè)請求和響應(yīng)。它查找特定的“攻擊特征”，用以識(shí)別進(jìn)入的具體的攻擊，同時(shí)監(jiān)測違反以前正常通信行為的異常行為。

雖然Web應(yīng)用防火墻對于任何Web應(yīng)用程序安全都極為重要，但只有配置正確才能真正有效。多數(shù)問題是由錯(cuò)誤的初始配置而不是操作引起的，但只要安全管理者采取幾個(gè)簡單步驟就可以避免很多常見問題。

協(xié)調(diào)Web應(yīng)用程序防火墻配置與Web更新周期的關(guān)系

配置Web應(yīng)用防火墻與更新Web應(yīng)用程序的周期結(jié)合起來可以防止許多重大問題。配置Web應(yīng)用防火墻的最佳時(shí)間是更新網(wǎng)站或打補(bǔ)丁的時(shí)候。如果這兩種操作不同時(shí)進(jìn)行，就會(huì)有部分或全部應(yīng)用程序不受保護(hù)。此時(shí)，Web應(yīng)用防火墻會(huì)把部分應(yīng)用程序識(shí)別為欺詐元素并阻止它。對于該網(wǎng)站的用戶來說，其后果很嚴(yán)重，他們將經(jīng)歷諸如消息不能上傳、內(nèi)容無法訪問等問題。

檢查第三方代碼的漏洞和缺陷

混搭、聚合等是Web2.0的本質(zhì)，但是如果這些功能有漏洞，就會(huì)導(dǎo)致整個(gè)Web的基礎(chǔ)架構(gòu)面臨遭受攻擊的危險(xiǎn)。在網(wǎng)站前面放置Web應(yīng)用防火墻可以保護(hù)網(wǎng)站，但要實(shí)現(xiàn)更強(qiáng)健的安全，就必須檢查Web的安全漏洞。這種評估可以在危險(xiǎn)發(fā)生之前提供網(wǎng)站將要發(fā)生問題的詳細(xì)信息。

評估工具有專用的，也有非專用的。雖然這些評估工具都可以掃描漏洞，但最合適的工具是由它與Web應(yīng)用防火墻的兼容性決定的。評估工具有人工和自動(dòng)兩種版本。人工版是由外部的機(jī)構(gòu)或顧問實(shí)施的，并且要滿足PCI DSS的要求，而自動(dòng)評估是由外部的掃描軟件處理的。為穩(wěn)妥起見，既運(yùn)行人工測試又執(zhí)行自動(dòng)測試是非常明智的。把漏洞檢查的結(jié)果反饋給廠商也很值得;廠商們很愿意知道自己需要在哪里做出改進(jìn)。

使用自帶加速功能的Web應(yīng)用防火墻

IT部門經(jīng)常擔(dān)心Web應(yīng)用防火墻意味著延遲，因而會(huì)影響到用戶體驗(yàn)和工作效率。如果這是一種嚴(yán)重問題，企業(yè)不妨選擇具有加速功能的Web應(yīng)用防火墻，從而減少Web的延遲并提高整體的通信性能。

別忘了保護(hù)好“后門”

在利用Web應(yīng)用防火墻保護(hù)“前門”(或稱應(yīng)用程序)后，IT部門往往會(huì)忽略“后門”(其中包括數(shù)據(jù)庫和后端應(yīng)用程序)的保護(hù)。如果Web應(yīng)用防火墻遺漏了什么，那么整個(gè)網(wǎng)站都易遭受攻擊。要想保護(hù)好這兩個(gè)“門”，企業(yè)應(yīng)當(dāng)借助于數(shù)據(jù)庫活動(dòng)監(jiān)視產(chǎn)品、正確的Web應(yīng)用防火墻配置和漏洞評估手段。

這種做法可能代價(jià)較高，但全方位的解決方案可以在問題帶來真正的損害之前就解決所有問題。與重大Web事件所帶來的財(cái)務(wù)、運(yùn)營、聲譽(yù)等成本相比，上述方法的成本簡直微不足道。