学习让WAF进步

　　面对日趋精细化和复杂化的Web攻击手法，厂商对Web攻击的持续研究实力将充分体现在WAF的防护能力上，同时对WAF提出了需要与业务结合更为紧密的要求。WAF需要了解数据流向、应用的业务逻辑、用户访问习惯等，在此基础上进行安全建模，采用一种白名单的方式，即只有符合此安全建模的输入，WAF才予以放行。另一方面，WAF与其他安全产品的有效结合也是一种很好的思路，如WAF与Web扫描工具结合，Web扫描工具的扫描结果可以形成WAF的防护规则;WAF与蜜罐结合，由蜜罐捕获到的新型恶意行为特征，同样可以转化为WAF的防护规则，从而在这类攻击广为流行之前，WAF能预先提供有效的应对措施。

　　云安全是现有安全架构的自然发展和有利补充。作为可能的发展方向，将WAF集成于云安全体系中，会让WAF提前对Web安全威胁进行响应，同时，开放和实时的云安全服务也将显着改善最终用户体验。

　　应对Web安全威胁与满足合规要求(如PCI DSS合规要求)是目前客户采购WAF的主要驱动力。与前几年相比，2009年WAF技术有两方面的变化。一方面，核心技术的加强、功能的横向扩展以及产品性能的提升，如正向安全模型(白名单)及反向安全模型(黑名单)相结合、双向内容检测、集成Web扫描功能、单一平台整合Web应用安全与交付功能，采用具备应用层高吞吐能力的平台。另一方面体现为降低管理开销，提供集中管理、面向特定应用的策略模板、自学习模型、简单易用且功能强大的报表系统(体现网站合规状态及安全状态)等。

　　WAF在保护云计算的安全方面也可尽一份力。赵旭认为，云计算服务架构自上而下包括SaaS(软件作为服务)、PaaS(平台作为服务)及IaaS(基础设施作为服务)。WAF可以应用于解决云计算服务架构的自身安全问题，如在SaaS层面提供应用及数据安全，保护数据中心，确保云计算服务的质量。另一方面，WAF本身也可以融于云安全平台，以灵活的产品形态(不拘泥于现今市场比较主流的硬件盒子)提供Web应用安全服务。

　　“为了给云计算提供安全保护，必须将WAF对应用服务器的防护扩展到云系统中的大型数据中心，允许在托管的应用间灵活地分配资源(包括网络带宽、服务请求等)，并且能够根据每个托管应用程序提供完整的虚拟化服务(包括安全、日志、审计、应用交付等)。”谷新说。

　　Internet计算环境出现了这样的矛盾：业务资源集中化，资源端计算能力强;在网络边界访问业务资源的客户端通常带宽、计算能力都较弱，同时客户端也经常成为安全威胁的宿主。这种矛盾导致了客户端的体验差，业务资源无法充分发挥效能。未来，Web安全和Web应用交付融合的趋势日趋明显，对于机构的IT决策者来说，面临的最大挑战在于如何缓解针对Web业务的各类安全威胁，高效保障Web应用的可用性和可靠性、优化业务资源和提高应用系统敏捷性。

　　从技术发展来说，WAF需要确保Web业务在安全和性能两方面的收益最大化。一方面，WAF需提供增强的安全功能，应对日趋复杂且针对性强的高风险Web攻击，另一方面，WAF还需要确保Web应用的可用性、可伸缩性、高性能，降低服务响应时间、显着改善终端用户体验，优化业务资源和提高应用系统敏捷性，提高数据中心的效率和服务器的投资回报率。

　　此外，从产品向服务的演变也是一种趋势。下一步，WAF厂商可与MSSP(托管安全服务提供商)合作，面向用户按需提供基于网络的WAF服务或者虚拟化的WAF服务。

部署很简单，防火墙和Web应用防火墙一起，赵明的问题就可以解决了。