应用防火墙——足以保证当前网络服务的安全

一年前，我开始着眼于研究网络服务安全；一年后，安全所涉及的问题仍然是客户不能接受网络服务配置的主要原因之一。网络服务安全标准仍然在发展之中，相对较少的客户正在使用网络服务，他们所依赖的是一种靠得住的新版本工具：防火墙。

当防火墙用于网络中时，它会检查数据包，比如，检查数据包是否来自一个可接受的IP地址或者网址。当用于网络服务环境中时，防火墙会检查用可扩展标记语言（XML）编写的网络服务请求，或者简单对象访问协议（SOAP）所传输的网络服务请求。

所谓的应用防火墙、XML防火墙或者XML通信网关，它们或者作为软件出售，可以在服务器上运行；或者作为专用的、严格安装的设备出售。许多产品将检测网络服务信息的功能与其它功能结合起来，比如专业芯片可以加速XML信息（XML信息比网络防火墙扫描的数据包要大得多）的进程，或者提高执行身份管理的能力。

诸如身份管理之类的功能将会越来越重要。Jason Bloomberg是马萨诸塞州瑟姆福雷斯特市的一家网络服务研究公司ZapThink LLC的高级分析家，他说：“如果有人仅仅能查看SOAP信息的内容，并获得你的信用卡号码，这并不会起到多大作用。”

Bloomberg说：“可以防止这种偷窃行为的主要经销商有Forum Systems公司、Westbridge Technology公司、Reactivity公司、Vordel公司、Sarvega公司和 DataPower Technology公司。每家公司都自夸将安全、加速度和策略管理性能进行了不同结合。比如，DataPower公司的XS40 XML安全网关设备结合了一些安全特性：如将带有加密、解密功能的XML/SOAP防火墙与安全套接层(SSL)通信量的加速度结合起来。

KaVaDo公司的创始人之一、技术总监Yuval Ben-Itzhak说：“KaVaDo公司将其InterDo应用层防火墙与ScanDo网络服务安全扫描器结合起来，该网络安全扫描器可以分析配置在网络服务器上的应用程序，并构建一个可接受行为或者用户请求的框架。”他还提到：“仅仅允许特殊准许的信息流通过，这样InterDo就减少了误报，否则误报会使安全管理员不安。使用ScanDo不仅仅为每个网络服务加速了创建合适安全策略的进程，也同时为网络服务中的特殊操作（诸如“核查目录级别”）加速了进程。”MagniFire WebSystems公司对其TrafficShield设备也采取了类似的方法，TrafficShield设备使用“智能、履带式技术”来编写应用程序，并自动创建一个策略来保护应用程序。