目前在企業網路架構中，傳統式防火牆及入侵偵測系統已是基礎建設必備的設備，但經由網際網路的入侵行為還是時有耳聞。例如網購族常碰到詐騙集團假冒購物網站客服人員來電，雖然購物網站對外宣稱決無資料外洩的問題，但電話中詐騙人員卻能提供正確的購物金額、時間及個人資料，讓網購族實在很難相信自己的個資沒有外洩。尤其在個資法正式通過以後，究竟應如何確保自家網頁主機安全無虞，務使資料庫的資料存取行為正常，就成為企業IT人員的一大挑戰。

傳統式防火牆只偵測 IP位址、服務埠等，功能較強的防火牆可以針對網路協定進一定做檢測以確保該服務埠所連線之服務符合該網路協定，但是對於透過80埠所進行的攻擊卻無法有效阻擋或進行防護。另一方面，入侵偵測系統(IDS)只偵測已知的攻擊(signature base)，無法了解應用程式架構，誤判及漏失且沒有 session 及使用者追蹤的功能，在無特徵碼的情況下，無法有效阻擋針對網站原始碼漏洞之特定攻擊。

而就網站而言，網站管理人員只會將主機作業系統安裝修補程式，負責任的管理員還會針對主機上所有不對外提供的服務進行停用或移除，所以最終所有主機只為80埠及443提供服務。即使如此，傳統安全產品無法阻止網路應用程式的攻擊，仍有可能發生網頁遭到置換，甚至資料庫被一覽無遺的侵入事件。

圖一：應用層防火牆

為有效保護網路應用程式和敏感資料，建議採用網頁應用程式防火牆(Web Application Firewall, WAF)，阻擋來自網頁使用者對應用程式的攻擊。WAF透過動態建模技術(Dynamic Profiling)自動建立合法的行為模式並調整應用程式的變動，建置時不需更動應用程式及網路架構，即可保護各層級的應用程式

應用層防火牆的功能不但可以彌補傳統防火牆及入侵偵測系統的不足，而且其簡單又快速的部署方式可以讓企業IT人員在不花費大量的精神及時間下，輕鬆又快速的完成防護網頁主機及資料的動作。除此之外，搭配資料庫安全閘道器(Database Security Gateway, DSG)，稽核記錄所有資料庫存取行為，並即時防禦資料洩漏。

對許多企業的IT及安全管理人員而言，要滿足現今許多安全和法規的要求是一項辛苦的任務，如何在安全防護上作好整體的規劃，更重要的是在企業內做好管控要點，才能有效保護企業網路應用程式及資料庫等重要資產。

1.評估(Assess)：
自動找尋伺服器及資料
測試資料庫的設定
評估存在的風險
找出誰在使用資料及他們在做什麼(對資料做什麼動作)

2.設定政策／控制(Policy/Control)：
快速且自動的設定政策
隨時保持自動更新
可設定的政策及管理控制以應付不同的情況

3.計量(Measure)：
內建法規需求的報表
完全客制化報表
資料摺疊統整及展開細項
安全事件分析
多種報表格式

4.監控與執行(Monitor and Enforce)：
確保責任分離
確保使用行為可被紀錄作為證明
擷取所有的細節
提供所有階層的安全防護
即時告警／封鎖