Imperva的首席執(zhí)行官Shlomo Kramer說：“Imperva 計劃開發(fā)一些審計和評估工具，這些工具可幫助客戶遵從這樣的一些規(guī)則：支付卡行業(yè)標準、HIPAA法案和用于保護私密信息的Sarbanes-Oxley 法案。”據(jù)Protegrity的產(chǎn)品戰(zhàn)略和開發(fā)副總裁Jeannine Bartlett介紹，Protegrity期望將其數(shù)據(jù)庫安全裝置與通過Kavado得到的應用保護軟件結(jié)合在一起。她說：“我們明年的發(fā)布主要集中在后端報告、統(tǒng)計、度量、特定應用程序映射上，以滿足客戶遵從法規(guī)的各種需要。這才是較大型公司所真正需要的東西。”

Whitely認為，所有這一切活動都表明，應用防火墻正趨于成熟。這些設備多數(shù)是衍生于反向代理技術(shù)，利用這種技術(shù)，向Web服務器傳送的流量由代理終止后以單獨會話的方式傳送給服務器，然后服務器的響應又被代理。雖然流量經(jīng)過了代理，但是該設備可對流量進行檢查，以確定它是否有利用應用程序漏洞的企圖。

Whiteley表示，廠商們銷售這些設備的數(shù)量不是很多，他估計每個公司每年的收入最高也就是1000萬美元。由于這些設備和應用交換機、負載均衡器、應用加速器占用網(wǎng)絡中的同一個點，所以集成它們是很有意義的。

普遍應用尚需時日

一些客戶已購買了應用交換機作為單獨的設備，把它們與負載均衡器串聯(lián)部署。例如，金融業(yè)應用服務提供商Baker Hill公司已部署了一個Teros應用防火墻，位置處于一臺F5 Big IP設備的前面，而Big IP又處于Microsoft IIS服務器的前面。該公司的高級網(wǎng)絡管理員Eric Beasley說：“客戶們要求安裝應用防火墻。在我們向較大型金融機構(gòu)進行銷售時，他們看了那個體系結(jié)構(gòu)并說它是Microsoft的?？蛻袅私?Nimbda病毒、紅色代碼病毒，了解所有這些問題。除非我們把某種反向代理置于那個環(huán)境的前面，否則客戶就不會與我們做交易。我們有些客戶在合同中說： ‘如果什么時候去掉了它，我們就與你們解除合同。’它就是如此重要。”

Pacific Northwest National Laboratory使用NetContinuum應用防火墻來保護其Web應用程序。該機構(gòu)網(wǎng)絡安全組的研究科學家Mark Hadley說：“有時需要重寫應用程序以便它們能通過應用防火墻。”例如，如果一個應用協(xié)議的某個字段使用一個也用于Web應用程序URL的字符，如 “forward slash”，那就表示它是一個可被攻擊者利用的漏洞。因此，用戶應對其應用程序有可能需要重寫一事作好準備。Hadley建議設立測試環(huán)境，在應用程序部署之前將它們運行一遍，鑒別和修正這樣的小毛病。

Whiteley認為，這種復雜性可能會使一些用戶認為應用防火墻復雜得難以部署，如果他們的應用程序?qū)λ麄兊臉I(yè)務不是關鍵性的，就更不愿意部署應用防火墻。他的觀點是，當廠商們把應用防火墻和應用交換機集成在同一個設備中，并開發(fā)一些軟件工具使它們更易于配置時，就會有更多的商業(yè)用戶使用它們。他說： “再過9到12個月，它就會被廣泛采用。”

雖然應用防火墻可保護應用程序免受利用漏洞進行的緩沖區(qū)溢出或格式化字符串攻擊，但它們是一種目標防衛(wèi)機制，不能解決所有的Web安全問題。應用防火墻的一些不足在于：
● 可能需要調(diào)整某些Web應用程序或客戶機/服務器應用程序以便能正確地工作；
● 不能取代傳統(tǒng)的網(wǎng)絡層防火墻或入侵檢測/防護系統(tǒng)；
● 可能需要重新配置以對付針對最新發(fā)現(xiàn)的應用程序漏洞的攻擊；
● 可能不符合關于數(shù)據(jù)保護方面的法規(guī)要求。

wangliang