随着互聯網的普及，越來越多的應用和業務開(kāi)始依托Web展開(kāi)，各種各樣的安全威脅和攻擊也滲透其中(zhōng)。要想揪出躲在這些應用中(zhōng)的"毒瘤"，并不是一(yī)件容易的事情，至少傳統的針對網絡層的安全産品是無能爲力的。那麽，誰能保障我(wǒ)(wǒ)們的Web應用安全？我(wǒ)(wǒ)們又(yòu)該如何正确地認識這類安全産品？帶着這樣的問題，記者采訪了杭州安恒信息技術有限公司總裁兼技術總監範淵先生(shēng)。

針對Web時代的安全威脅，什麽樣的防護手段才是真正有效的？

範淵：目前，很多企業都是通過網絡安全防禦技術對Web應用進行防護的，例如采用防火(huǒ)牆、IDS等産品，但它們無法對應用層進行深入地分(fēn)析，很難找出隐藏在應用中(zhōng)的安全威脅，無法有效阻止Web攻擊。

事實上，對于Web應用進行防護，隻有Web應用防火(huǒ)牆才是最有效的。

Web應用防火(huǒ)牆（WAF）旨在保護Web應用程序免受常見攻擊（如跨站腳本攻擊和SQL注入攻擊等）的威脅，對HTTP有非常深入的理解，能夠深入分(fēn)析和解析HTTP的有效性，可以監測往返流量，還能對Web流量進行安全控制。

傳統防火(huǒ)牆主要在于保護網絡的外(wài)圍部分(fēn)，而WAF則部署在Web客戶端與Web服務器之間，可以輕松分(fēn)析出應用層的流量，發現任何違反安全政策的安全問題。

那麽，一(yī)款好的Web應用防火(huǒ)牆，應該具備哪些特性？

範淵：一(yī)款好的Web應用防火(huǒ)牆，應該能夠有效緩解針對Web業務的各類安全威脅，高效保障Web應用的可用性和可靠性，還能夠滿足合規要求。同時，它對現有的網絡拓撲結構還應該是盡量無影響的，而且方便管理，不會對現有Web服務器的訪問速率造成太大(dà)的影響，不會對正常業務訪問進行錯誤的攔截阻斷。

以安恒信息明禦Web應用防火(huǒ)牆爲例，是安恒信息結合多年應用安全的攻防理論和應急響應實踐經驗積累的基礎上自主研發完成的，滿足各類法律法規如PCI、等級保護、企業内部控制規範等要求。

明禦Web應用防火(huǒ)牆采用專利級Web入侵異常檢測引擎，能夠有效分(fēn)析和識别各類已知(zhī)和變形的應用攻擊，如注入攻擊、跨站腳本攻擊(釣魚攻擊)、惡意編碼(網頁木馬)、緩沖區溢出、信息洩露、應用層DoS/DDoS攻擊等，爲防禦的準确性和高效性提供了基礎；支持全透明部署，無需更改原有的DNS或IP配置，對原有應用不會造成任何影響；支持HTTPS，可實現各類高安全要求Web應用系統的深度實時防護（如網銀、證券交易等）；支持多保護對象，包括不同域名不同IP、不同域名相同IP的情況；支持用戶自定義規則庫，用戶可以根據數據包的特征關鍵字等自定義安全策略規則，來實現安全檢測及過濾；統一(yī)日志(zhì)平台接口；支持阻斷、告警、By-Pass等多種應用模式。

我(wǒ)(wǒ)們知(zhī)道，安恒信息的産品不隻是Web應用防火(huǒ)牆一(yī)種。那麽，在安全防護方面，安恒信息能夠爲用戶提供哪些層面的幫助？

範淵：事實上，安恒信息是應用安全及數據庫安全整體(tǐ)解決方案提供商(shāng)，專注于應用安全前沿趨勢的研究和分(fēn)析，核心團隊擁有多年應用安全和數據庫安全的深厚技術背景以及最佳安全攻防實踐經驗，目前擁有明鑒、明禦兩大(dà)系列自主研發産品，可以爲客戶提供應用安全、數據庫安全、不良網站監測、安全管理平台等整體(tǐ)解決方案。

需要強調的是，除了幫助用戶防範外(wài)部的Web應用風險，安恒信息還能夠幫助客戶解決針對内部的數據庫風險。安恒信息的明禦數據庫審計與風險控制系統以獨立硬件審計的工(gōng)作模式、靈活的審計策略配置，解決企業核心數據庫面臨的"越權使用、權限濫用、權限盜用"等安全威脅，滿足各類法令法規對數據庫審計的要求，真正實現數據庫全業務運行可視化、日常操作可監控、危險操作可控制、所有行爲可審計、安全事件可追溯。

與此同時，安恒信息還可以爲用戶提供全面、深度的安全服務，包括安全咨詢服務、風險評估服務、安全外(wài)包服務等内容。

一(yī)句話(huà)，安恒信息能夠從事前、事中(zhōng)、事後等多角度入手，幫助用戶建立一(yī)個可靠、有效的安全防護體(tǐ)系。