過去的幾十年，企業以部署網絡安全、身份訪問管理、終端保護為主，如今，應用程序及其處理的數據成為企業的最寶貴資產。對于保護應用程序，網絡級的安全有不足之處，其中網絡過濾器對應用程序的行為、數據流、組成等都知之甚少。

而且，基于網絡的保護要求僅適應基于外圍的技術，但近幾年來所謂的“外圍”已經消亡。公司防火墻也提供了保護，但在員工們使用移動設備時，就會發生動態改變。外圍不復存在，所以我們如何期望防火墻保護員工呢?防火墻如何保護移動設備上的應用呢?因此，企業既要利用網絡級的保護，更要重視利用應用級的保護。

企業需要雙重保護

網絡和應用級的安全都非常重要，因為其著重點不同。網絡級的防御是根據源地址、目的地址、源端口以及目標端口來做出安全決策的。雖然這種安全機制運行很快，但它并不檢查數據包的應用層，因而就有可能遺漏針對應用層的攻擊。

應用層的防御工作要跨越OSI參考模型的全部七層。一般來說，應用層的防御在編制時是針對具體應用的，并且要掌控大量的應用信息。雖然應用層防御一般相對較慢，但它可以有效地過濾哪些命令與相關應用結合使用，并執行有效的應用分析。所以，如果一個應用程序表現出異常行為，安全管理者就有可能在第一時間防止其造成破壞。由于其速度和處理海量通信的能力，我們建議將網絡防御放在企業的網關，然后在需要保護的服務之前部署應用層防御。

任何企業都有可能面臨應用層和網絡層的攻擊。如今，企業越來越能夠理解針對應用程序的威脅與基于網絡的威脅一樣可帶來嚴重威脅，甚至其危害更大。而且，攻擊者正在使用一種新型攻擊：可在應用層和網絡層之間切換的多階攻擊。

攻擊者通過訪問第三方承包商的訪問入口，使用合法的憑據訪問企業網絡。企業使用應用程序控制檢測可疑的登錄，可以檢測或防止此行為。由此，攻擊會通過網絡轉而訪問其它系統。在這里，入侵防御系統(IPS)或基于網絡的威脅檢測工具就有可以檢測和阻止攻擊。雖然有些企業并不知道自己如何成了靶子，但通過應用程序和網絡的安全控制使防御者挫敗攻擊者。

攻擊方法

因為網絡層防御并不了解應用層，所以它無法防護常見的應用層攻擊，如緩沖區溢出、SQL注入、跨站腳本攻擊等。網絡層防御擅長的是入口過濾、阻止IT禁止的IP地址、出口過濾、防止通信離開網絡，等等。由于應用層產品要執行更大數量級的負載檢查，所以將其用作網關設備并且檢查通過網關的每個數據包是很不現實的。

從網絡方面看，防火墻仍是必須的，而且能夠檢查應用程序通信的下一代防火墻是非常關鍵的。從應用程序方面看，在外圍和在一些高風險的應用服務器的前面部署WEB安全網關和應用防火墻都非常重要，特權賬戶的管理產品可以檢測并限制或終止可疑的登錄或對應用程序的訪問。在終端和網絡上的威脅檢測產品會越來越重要，因為它擅長檢測繞過外圍的攻擊。

下一階段

應用程序的安全領域最先出現的是應用程序安全檢測。其中有三種檢測技術還是不錯的，即靜態應用安全測試(SAST)、動態應用安全測試(DAST)、交互式應用安全測試(IAST)。這些測試可以在企業部署應用程序之前就分析其代碼和查找安全漏洞，并模仿黑客的攻擊行為，查找在WEB應用程序中有漏洞的控制。

但是，我們還必須強調應用程序的自我保護技術。近年出現的就是運行時應用程序的自我保護(RASP)。在應用程序運行時，這種技術實際上可以檢測并識別攻擊，并在攻擊者利用應用程序的漏洞之前就加以阻止。這種有重要價值的技術勢必對技術和市場有所改變。