拿什么来拯救你我们的应用权衡

Web应用日渐普及

如今，Web应用日益普及，表现出以下几大特点：

努力防范重特大事故不断优化完善矿井通风系统 特点一，发展迅速。每秒钟都有一个页相关的应用产生，而且截止到11月，我国已经有323万个站。

特点二，交互性应用。以前，Web应用通常都是页浏览，但现在越来越多的应用将Web作为自己的舞台，例如聊天、购、炒股、社交络等。统计数据表明，民中有1.42亿人会进行络购物，占总人数的33.8%；1.28亿会进行上支付，占总人数的30.5%；而1.22亿人会用到上银行，占总人数的29.1%。

特点三，用户创造内容。例如现在的微博应用，用户不仅使用浏览器观看页，自己也变成Web应用的主角。

特点四，远程用户接入。例如通过笔记本电脑进行远程接入。

特点五，移动终端。随着3G普及，移动接入互联的内容越来越多，形式也越来越丰富。

Web攻击事件频发

2010年3月，谷歌公司高级副总裁公开发表声明，称一群黑客对使用Gmail服务的人权活动分子的电子邮箱进行了有组织的、高水平的攻击。2010年1月，搜索引擎百度遭到黑客攻击，导致其站长时间无法正常访问。2009年11月，国防部站上线3个月遭230万次攻击越来越多的Web攻击开始映入我们的眼帘。

CNCERT/CC国家互联应急中心对络安全事件报告类型的统计表明，2010年月，57.57%的安全事件是恶意代码（含页挂马），漏洞事件占25.96%，而页仿冒事件占15.48%，拒绝服务攻击占0.98%。

来自Gartner的数据表明，当前络上75%的攻击是针对Web应用的，这些攻击可能导致站遭受声誉损失、经济损失甚至政治影响。

这些数据清楚地告诉我们一个事实：Web安全事件正在变得越来越多。

应用与安全的距离

为什么Web攻击越来越多？在Web安全方面，我们还有哪些问题需要面对？

问题一，应用和安全的鸿沟。安全专家不了解Web应用的特点，而应用开发者和QA 不了解安全重点，这也是导致Web应用安全的根本原因

问题二，应用安全的复杂性。Web应用异常复杂，可能涉及不同的操作系统、不同的开发工具、不同的应用程序、不同的软硬件供应商、严重的兼容性问题，如果对此没有足够的了解，是无法从根本上解决问题的。

问题三，对已知漏洞的防护延迟。由于采用一成不变的低效的消防演习模式，补丁总是不够及时而且容易出错，对于零日攻击毫无办法。

问题四，现有安全措施的局限性。现有攻击特点是大部分攻击在应用层，针对Web站的恶意攻击绝大部分都将其封装为HTTP请求，许多类型的攻击并不篡改页，黑客往往会将攻击隐藏在SSL内，攻击手段发展迅猛，对于这些，防火墙、IPS、页防篡改等安全产品经常无能为力。

WAF助力Web安全

越来越多的应用开始基于Web应用，越来越多的系统漏洞可以被利用，而传统防火墙和IPS等安全设备对此却无能为力。此时，我们应该靠谁来保护Web应用的安全？Web应用防火墙（Web Application Firewall，简称WAF）应运而生。

Web应用防火墙致力于为Web站点和Web服务器提供强大的应用层安全防护。例如梭子鱼络有限公司的梭子鱼WEB应用防火墙，就可以保护Web应用安全漏洞，帮助企业合规达标，如PCI DSS（支付卡行业数据安全标准），能够防止信用卡交易的数据窃取及欺诈行为，防止因服务突然中断而给用户造成的经济损失，确保用户业务在安全底线之上稳定运行。