赵明的安全问题很常见，从2008年开始，大量企业、政府的网站遭遇Web攻击，甚至有黑客通过攻击企业网站勒索钱财。众多的事例使企业逐渐认识到，由于很多攻击已经转向应用层，传统的防火墙、IPS、网页防篡改设备都无法彻底阻止此类攻击，必须要安装Web应用防火墙(以下简称WAF)来保护Web应用。

　　只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层(网络层、传输层)的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。

　　WAF的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。

　　从攻击发生的时间轴来看，WAF应具备事前预防、事中防护及事后补偿的综合能力。对最为核心的事中防护能力而言，WAF作为一种专业的Web安全防护工具，基于对HTTP/HTTPS流量的双向解码和分析，可应对HTTP/HTTPS应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障Web应用的高可用性和可靠性。

　　对于事中疏漏的攻击，可用事前的预发现和事后的弥补，形成环环相扣的动态安全防护。事前是用扫描方式主动检查网站，而事后的防篡改可以保证即使出现疏漏也让攻击的步伐止于此，不能进一步修改和损坏网站文件，对于要求高信誉和完整性的用户来说，这是尤为重要的环节。

　　WAF的核心技术在于对HTTP本质的理解以及Web攻击防护的能力。前者要求WAF能完整地解析HTTP，包括报文头部、参数及载荷;支持各种HTTP 编码(如chunked encoding);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备HTTP Response过滤能力。从降低安全风险的角度而言，后者要求WAF能有效影响攻击者因素中的机会、群体因子以及漏洞因素中的发现难易度、利用难易度、入侵检测与觉察度因子。

　　下面我们来看看WAF是如何防御Web攻击的。CSRF是一类被广泛利用的Web应用安全漏洞，该攻击通过伪造来自受信任用户的服务请求，诱使用户按照攻击者的意图访问网站信息，或者执行一些恶意的操作，比如登出网站，购买物品，改变账户信息，获取账号，或其他任何网站授权给该用户的操作等。

　　除了上述用户输入类型的攻击，还有一类影响Web应用可用性的攻击也比较典型，即应用层DDoS攻击，在国内更习惯称为CC攻击。不同于网络层带宽耗尽型的DDoS攻击，此类攻击构思更为精巧，意在以相对较小的代价耗尽Web服务器侧的系统资源，如磁盘存储、数据库连接、线程等。2009年6月18日，国际安全组织SANS报导了一种新型Apache HTTP DoS工具。运用此工具，一个带宽很小的用户都可能对一台高速服务器发起攻击。该工具对Apache 1.x和 Apache 2.x 版本以及Squid都有效。攻击原理为：如果向服务器发送不完整的HTTP请求报文，会让HTTP连接一直处于开放状态。工具可在Web服务器超时时间内频繁发起这样的连接，导致连接耗尽。其构思精巧之处还在于，GET请求是不带数据的，而攻击者恶意构造了Content-Length字段、表示后续有数据，哄骗Web服务器持续等待后续数据的到达，从而占用连接。

　　基于规则的DoS防护或者调整Apache配置(如增加MaxClients值，只是增加攻击的难度)均很难应对这种攻击工具。而应用了多种防护技术(重定向、HTTP头部解析会话超时机制以及请求方法识别等)的WAF产品，可天然应对基于这类工具的攻击。