在SOX, HIPAA, GLBA 和 CA SB-1386等網絡安全標準推行的年代，一次成功的攻擊將會給您的商務網站帶來多大的損失？合法的保護企業敏感的數據需要解決以下幾個問題：保護Web資源的關鍵資源有哪些方法？保護這些有價值的應用程序資源需要多大的投資？如何知道我們已經得到防護，特別是應用程序本身只能提供有限的安全記錄時？我們如何對客戶化的應用程序進行防護？

Web瀏覽器現在成了內外部訪問及應用程序的標準的用戶界面，比起為每個應用編寫肥客戶端程序，Web方式大大節省投資，因此，Web應用在IT界被迅速的推廣。

起初設計Web應用程序使用Web瀏覽的目的是共享或訪問靜態的信息，而并不注重安全設計。由相對安全的肥客戶端過渡到相對不安全的瀏覽器—瘦客戶端帶來了兩個挑戰：應用程序安全性的降低以及如提升安全需要花費更高的成本。很多暴露在web前端的應用在開發時甚至都沒有考慮到被攻擊的情況。

在這種背景下，一種新的技術，Web應用防火墻產生了。它能有效的降低網站安全的實施成本。而梭子魚應用防火墻則是這一新興產品的領導產品。

早期，在DMZ區部署靜態的Web服務器是標準的安全模型，Web數據中心建立在企業防火墻之外以便于訪問者能自由的訪問Web站點，但卻不能隨意訪問企業的內部網絡和系統?，F在，通過Web來訪問Web應用系統不僅僅是企業內部的用戶，更是直接暴露在Internet上以便于Internet用戶訪問，傳統的DMZ區的概念已經不適用于現在的安全需求。




今天，關于Web應用安全的最佳方法發展為保護少數關鍵Web事務應用程序。所謂的最佳方法可以用一句話概括——修補代碼。Web應用的安全完全依賴開發者對程序不斷的更新。




但是，除非開發者能夠在黑客之前發現并及時的修補了程序的漏洞，否則web系統總是處于黑客的威脅之下。當程序數量較少時，補丁模式維護應用程序安全是可行的；但如果一個應用中有數十數百個應用程序，修補代碼的工作成本將極其高昂，這種安全維護模型幾乎是行不通的。然而，Web應用防火墻能夠預防未知的應用程序漏洞，從而減少維護成本提高可用性。

鑒于程序的復雜性，特別是那些程序數量巨大的系統，Web應用程序的開發者不能或無力識別并對所有的程序漏洞進行修補。而絕大多數企業，無論是內部使用還是外部用戶訪問，運行程序運行時，往往有許多安全漏洞。因為不安全代碼造成的損失的案例媒體幾乎每天都在報道，除了這些公開的消息，還有很多沒有報道的攻擊。除此之外，甚至還有更多的攻擊沒有檢測到---而其中可能有非常重要的信息被黑客獲取。




通過阻斷那些黑客用來訪問應用程序的方法，應用防火墻能防止黑客闖入那些易受攻擊的程序，而不需要更改應用程序的代碼！這樣：

• 減少客戶數據、商業機密、員工信息、財務信息及其他敏感數據泄露的可能性
• 減少因泄露信息而產生法律訴訟的可能性
• 減少因安全問題造成公司股價下跌、形象受損、客戶信譽降低的可能性
• 更早的遵從有關法規對企業網絡安全的規定如： (SOX, GLB, HIPAA, CA SB -386)

阻止黑客用來攻擊的方法避免將需要對程序立即修補，并最大程序阻止攻擊減少損失。

當前，一個新的web應用需要經過漏洞檢測工具測試之后才能使用。而通常這樣的檢測總能發現應用程序中的許多漏洞，但更為重要的是這可能造成客戶的流失。如果沒有應用防火墻，你必須對程序中的每一個漏洞進行修補，然后反復測試，直到確信沒有漏洞，應用程序才推向市場；這可能導致錯失商機。而如果部署了應用防火墻，您可以立即在測試，如果發現漏洞被應用防火墻保護，你可以先行發布應用，而不必擔心被攻擊，然后您可以從容安排漏洞的修復計劃，并在后期的版本中修正這些漏洞。這意味著您能夠更早的發布應用，一邊這些應用更早的產生經濟效益。




試想，投資50萬元開發了一個web應用，早3個月投入使用會為您帶來多大的經濟效應？

如果一個應用產生的經濟價值，它將會升級并固化成產品。應用防火墻對應用程序升級和產品化有兩個重要的作用：




首先，很明顯，應用防火墻可以防止對系統的攻擊。其次，如果您正在遭受攻擊或者您通過審計與評估，發現您的系統存在漏洞，您可能需要將應用系統離線，直到漏洞得到修復，補丁得到測試并應用。但是如果有應用防火墻保護您的漏洞，您可以在修補系統的同時繼續運行應用系統。例如：根據法律，德國金融行業的用戶對于補丁需要經過7天的測試。這樣才能避免應用程序在補丁期被黑。只有應用防火墻才能即遵從法規又能不中斷應用。




再比如一個老的應用程序，如果當初開發維護它的團隊已經不在了，如果在后來的審計或測試中發現了一個嚴重的漏洞，那么修復這個漏洞的成本可能高到無法承受。但如果有應用防火墻的防護，我們仍然可以繼續在線使用這個看起來修復無望的應用程序。

補丁管理

軟件平臺的提供商(如OS, DBMS, App Server, packaged applications) 需要不斷的為他們的產品提供安全補丁，有時候這些補丁非常重要需要立即升級，否則將遭受巨大的破環造成重大損失，應用防火墻能保護這些應用直到漏洞得以修復。這樣，您不用7*24小時的擔驚受怕，可以從容的設定補丁升級計劃例如使用windows的計劃管理器。

日志合并和管理

應用防火墻能記錄所有web流量的數據：合法的或阻斷的攻擊記錄。這些日志按序排列，含有時間戳和數據標記。這使得這些數據非常安全。其好處是您有了一個整合在一起的應用使用日志，這樣查詢日志時不必到每臺服務器中查詢日志。您因此可能每天可能解決2-3小時的工作時間。更何況，低安全級別的日志其精確性值得您信任嗎？

隱蔽內部結構，易于發布應用

應用防火墻通過Web地址轉換將內部的目錄轉換為外部的訪問地址，而不需要暴露或重新配置內部的域名。內部的地址被轉換為無關聯的外部名稱后，惡意的訪問者將難以知道自己訪問路徑和攻擊目標。這樣您能更快的發布應用。

安全策略的有效管理

新的服務其加入到web應用中將自動繼承體系中的安全策略，而新web應用的安全策略則可以復制粘貼別的應用的安全策略，然后進行適當的修改就行了，提高了安全策略的管理效率。

梭子魚web應用防火墻具備SSL加解密的功能。




初始化SSL

梭子魚應用防火墻能夠加密應用，設置方法很簡單，啟用一下初始化SSL的功能，這個功能將對應用進行SSL加密。這樣，你就不必在應用中進行修改使其支持SSL，也不必通過給服務器增加硬件來解決，同時也不會造成服務響應變慢。

證書授權&證書合并

梭子魚web應用防火墻能發布和管理SSL證書。您可以給梭子魚購買一個公共證書，用于面向Internet發布，而內部的系統則無須單獨購買。您可以將證書頒布給您的商業伙伴以便他們能使用SSL訪問某個授權的應用。

以上的描述是梭子魚應用防火墻的一般特性，此外，其高端型號的產品NetContinuum 還具備特別的性能。




基于ASIC架構

梭子魚應用防火墻的高端系列——NetContinuum 是目前市場上唯一基于ASIC芯片的應用防火墻，極高的配置將帶來：

• 減少客戶數據、商業機密、員工信息、財務信息及其他敏感數據泄露的可能性
• 減少因泄露信息而產生法律訴訟的可能性
• 減少因安全問題造成公司股價下跌、形象受損、客戶信譽降低的可能性
• 更早的遵從有關法規對企業網絡安全的規定如： (SOX, GLB, HIPAA, CA SB -386)



增強功能

梭子魚NC-1000是唯一通過ICSA認證的應用防火墻和網絡防火墻。它包含了完整的防火墻功能，支持FTP和SSL安全FTP，對數據中心而言，它是唯一支持2-7層安全的防火墻。

NC-1000支持流量管理功能，這樣web數據中心能方便的擴充服務器和應用，快速提高性能。同時安全性也得到加強。