随着应用数据流量的增长以及针对应用层攻击的日益增多,越来越多的用户需要在网络中部署专用安全设备。这些设备包括保护HTTP和HTTPS数据流的应用防火墙,执行加解密功能的安全套接层加速器,翻译敏感内部URL地址并隐藏平台信息的代理服务器以及管理TCP连接的I/O加速器。
由于Web服务容易受到与HTML应用相同的攻击,IT部门需要部署一种单功能设备来保护XML数据流,应用安全网关应运而生。这类专用设备除了保护HTML和XML应用之外,同时还提供目前由专用产品完成的网络功能。
应用安全网关使用户可以减少网络设备的数量。这种整合由于减少了数据流到达Web服务器必须经过的中继段数量,因而改进了总体性能,并且降低了运营成本。
运行在7层上的应用安全网关在数据流到达Web服务器之前和之后,截获和检测数据流。它检验每个用户请求和服务器响应是否遵守规定应用语言(HTML或XML)的参数和结构。
应用安全网关预先定义了什么是正确的参数和结构,因此任何偏离正确应用的访问都被立即阻止。例如,一旦某位用户打开某一网站的主页,应用安全网关将阻止没有被授权给用户的URL请求,这就挫败了浏览攻击,这种攻击试图非法访问受保护的应用资源和文件。除了保护HTML和XML应用外,应用安全网关还可以执行以下功能。
SSL加速:解密和分析SSL数据流,防止黑客将攻击隐藏在加密的有效载荷中。网关执行SSL加速,可以提高吞吐量和缩短响应时间。
业务对象保护:分析输出应用数据流,以识别信用卡、社会保险号和账号等敏感信息,保护它们不从Web应用或后端数据库中被提取。
Web I/O加速:免除Web服务器执行TCP连接建立与拆除操作,改进应用性能和缩短响应时间。应用安全网关终止所有的输入客户连接,将它们整合成一个通向Web服务器的持续连接的集合。
应用隐蔽:防止黑客采用有关Web服务器、数据库、操作系统、内部域名等敏感信息。多层隐蔽措施使黑客无法采集发起攻击的信息。
应用代理: URL的双向翻译使企业可以公布界面友好的URL,而不管内部的URL命名结构如何复杂。
防止篡改网页:检测对网页的改动,阻止被篡改的网页提供给访问者。
应用安全网关为HTML和XML应用提供了一道集成的防线,不仅减少了网络设备的数量,而且提供更快的性能,并且降低了管理成本。