如果说2009年安全哪个领域最有潜力,答案可能非Web应用防火墙莫属。记者对此的感觉是,Web应用防火墙真的是一个相当与时俱进的安全产物。
早在2004年,国外一些安全厂商就提出了Web应用防火墙的理念,但当时很多企业用户对此的认识还比较模糊。但随着互联网的普及,企业的Web应用越来越多,而来自于Web的信息安全风险却越发突出。
在此情况下,企业界逐渐形成了一种共识:随着Web应用越来越广泛,上面运行的内容越来越关键,如果不进行安全性保护的话,已经无法满足企业正常的要求了。可以说正是这样一种刚性需求的存在,导致Web应用防火墙市场在今年开始爆发。
对此,梭子鱼中国区总经理何平在接受本报独家专访时表示,Web应用防火墙和传统防火墙和Web安全网关有很大差别。传统防火墙专注在网络层面,提供IP、端口防护;Web安全网关保护企业的上网行为免受侵害。但Web应用防火墙主要致力于提供应用层保护。企业将Web应用防火墙部署子在Web服务器之前,就是从网站的角度去考虑安全问题。
“这种考虑问题的转变,体现了现阶段IT投资方向的转变。归纳来看,IT投资分为两个阶段,第一阶段是IT基础投资,第二阶段是IT应用投资,也可以称作项目导向的IT投资。现在国内各个行业、企业,都在考虑信息系统的整体建设,从单纯的基础性建设过渡到全方位应用。而Web应用防火墙恰恰是解决用户关键应用的安全交付与加速。换句话说,Web应用防火墙属于项目应用导向的投资。”何平如是说。
另外一个令记者感到吃惊的是,此前众多安全专家都认为Web应用防火墙从概念到市场化操作,还没有达到理想状态,应用范畴方面还不是很广。这样可能导致安全企业的一些投入在短期内无法收回。但目前的情况是,Web应用防火墙市场的增长极其迅速。
据介绍,仅从国内的项目机会看,2009年一季度的百万级项目机会多达60个。很明确的一点是,只有大型企业才会购买Web应用防火墙。目前银行是Web应用防火墙的主要客户。随着网络银行的发展,Web应用防火墙已经列为银行的采购项目之一。另外,一些大型电子交易网站,如协程、芒果、阿里巴巴这些,以及一些高度敏感的政府网站都对Web应用安全非常关注,因为这些网站已经和后台数据库挂钩,而非简单的静态页面,因此普遍希望投入预算保证安全。最后,随着今年3G网络开始部署,很多3G应用开始以手机浏览器为基础,之后Web方式的应用将会越来越多,这一块也是市场增长的重点。
最后,目前Web应用防火墙主要是基于PCI标准设计(信用卡支付的数据安全标准)
事实上,如果企业应用的安全标准能达到PCI的水平,那么企业的信息安全保护就可以在相当程度上“高枕无忧”了。