通過(guò)Imperva的眾包威脅情報系統——社區防御（Community Defense）對近期的應用攻擊速率進(jìn)行了簡(jiǎn)要分析。從今年5月8日至今，全球共發(fā)生了近32萬(wàn)（319915）起SQL注入攻擊事件。為了更好地理解這個(gè)數字之下的意義，我們將通過(guò)下圖來(lái)說(shuō)明網(wǎng)絡(luò )應用流量的基本構成，無(wú)論它們是基于云端還是本地。

當用戶(hù)從網(wǎng)站請求網(wǎng)頁(yè)或數據時(shí)，流量路徑中的一些通用組件可對流量進(jìn)行解碼和檢驗，并針對網(wǎng)絡(luò )應用及其數據做出安全決策，保護其免遭黑客攻擊。

上圖是流量導入網(wǎng)絡(luò )應用的過(guò)程，我們再來(lái)看看攻擊的順序：從NGFW，到IPS，再到WAF（有時(shí)還有緩沖隔層）。當攻擊者使用SQL注入查詢(xún)數據時(shí)，表面看起來(lái)跟一般的Web頁(yè)面訪(fǎng)問(wèn)沒(méi)什么區別，所以前兩層防火墻并不會(huì )對它發(fā)出警報。這意味著(zhù)，SQL注入會(huì )一路暢通，只有到達WAF防護層時(shí)，才會(huì )被視作惡意攻擊，因為NGFWs和IPSs并不是為網(wǎng)絡(luò )應用和數據庫所設。

所以，只有WAF才能阻止SQL注入攻擊，人們以為NGFWs和IPSs就可以防護網(wǎng)絡(luò )應用攻擊純粹是一個(gè)誤解。