Web應(yīng)用防火墻(WAF)旨在保護(hù)Web應(yīng)用程序免受常見攻擊(如跨站腳本攻擊和SQL注入攻擊等)的威脅。傳統(tǒng)防火墻主要用于保護(hù)網(wǎng)絡(luò)的外圍部分，而WAF則部署在Web客戶端與Web服務(wù)器之間。專家表示，Web應(yīng)用防火墻的最大好處是，幫助分析應(yīng)用層的流量以發(fā)現(xiàn)任何違反安全政策的安全問(wèn)題。

雖然某些傳統(tǒng)的防火墻能夠提供某種程度的應(yīng)用方面的保護(hù)。但是從針對(duì)性和范圍來(lái)看，都比不上WAF。舉例來(lái)說(shuō)，WAF可以檢測(cè)出應(yīng)用程序是否以其規(guī)定的方式在運(yùn)行，并且能夠幫助你編寫更具體的安全政策以防止同樣的事情再次發(fā)生。

WAF與入侵防御系統(tǒng)(IPS)也存在差異，Gartner的分析師GregYoung表示，“這是一種非常不同的技術(shù)，它不是基于簽名。而是從行為來(lái)分析，它能夠幫助減少你自己無(wú)意中可能制造的漏洞問(wèn)題。”

目前使用WAF的主要驅(qū)動(dòng)力來(lái)自于支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)，該標(biāo)準(zhǔn)主要通過(guò)兩個(gè)辦法來(lái)審查是否合規(guī)：WAF和代碼審查。另外一個(gè)驅(qū)動(dòng)力就是，大家越來(lái)越多地意識(shí)到攻擊已經(jīng)開始由網(wǎng)絡(luò)轉(zhuǎn)移到應(yīng)用程序。WhiteHat Security在2006年到2008年12月間對(duì)877個(gè)網(wǎng)站進(jìn)行了評(píng)估，結(jié)果發(fā)現(xiàn)82％至少存在某種重要的、緊急的系統(tǒng)嚴(yán)重性問(wèn)題。

Web應(yīng)用防火墻(WAF)的主要特性

Web應(yīng)用防火墻市場(chǎng)仍然還不是很明確，有很多相似的產(chǎn)品被歸類到WAF范圍內(nèi)。專家指出?！昂芏喈a(chǎn)品能夠提供遠(yuǎn)遠(yuǎn)高于防火墻的功能，這使產(chǎn)品很難進(jìn)行評(píng)估和比較?！贝送猓碌墓?yīng)商也開始不斷涌入市場(chǎng)，主要通過(guò)將已有的非WAF產(chǎn)品整合為綜合產(chǎn)品。

那么Web應(yīng)用防火墻應(yīng)該具有哪些特性?以下這些特性是WAF應(yīng)該具備的：

對(duì)HTTP有非常深入的理解。WAF必須能夠深入分析和解析HTTP的有效性。

提供積極的安全模型。積極的安全模型可以只允許已知流量通過(guò)，有時(shí)也被稱為“白名單”，這就給應(yīng)用程序提供了一個(gè)有效的外部驗(yàn)證盾牌保護(hù)。

應(yīng)用層規(guī)則。由于高昂的維護(hù)成本，積極的安全模式應(yīng)該還要配合基于簽名的系統(tǒng)來(lái)運(yùn)作。但是由于Web應(yīng)用程序都是自定義編碼的，傳統(tǒng)的針對(duì)已知漏洞的簽名都沒(méi)有效。WAF規(guī)則應(yīng)該是通用的并且能夠檢測(cè)攻擊的任何變種，如SQL注入攻擊。

基于會(huì)話的保護(hù)：HTTP存在的最大缺點(diǎn)在于缺乏內(nèi)置的可靠會(huì)話機(jī)制，WAF必須補(bǔ)充應(yīng)用程序會(huì)話管理的功能并保護(hù)它免受基于會(huì)話和超時(shí)的攻擊。

允許細(xì)粒度政策管理。應(yīng)該對(duì)很少部分的應(yīng)用程序執(zhí)行例外處理，否則，可能造成安全漏洞。(et)