记者：Web2.0时代，像微博、SNS等已经开始进入企业中，这给做Web安全应用防火墙这些厂商带来了哪些机遇和挑战?

　　何平：Web2.0无论对整个Web服务商还是用户而言，都存在机遇和挑战。因为，对服务器端而言，以Web应用防火墙为例，Web2.0是存在着用户创造价值，就意味着以前Web更容易区分用户和提供商，而现在转化为用户本身也是内容提供商。这样以前Web安全是单线检查，现在变化双线检查，所以我觉得这在整个Web应用防火墙功能上以及安全设置有一些提升的要求。

　　对于公司内网Web内容安全的角度而言，以前很简单，Web应用基本是基于80端口，然后其他应用走不同端口号，而现在Web2.0存在一个问题，包括很多即时通讯以及视频，都是封装在http协议里面，这意味着端口号是一样的。这样管理的话，以前UTM就是将传统防火墙编进来，遇到80端口放行，遇到其他端口阻断。现在问题是80%都是80端口，所以对内容安全厂商而言，要区分出来同样走80端口它的应用具体是什么，这是对内容安全厂商的一个要求。所以，下一代防火墙已经可以针对到具体应用，而不是端口应用。

　　记者：随着Web安全概念的不断普及和升华，Web安全产品也进入一个高速发展时期，Web安全市场冒出的产品也比较多，首先问您一个比较简单的问题，企业用户是否需要Web应用防火墙?作为企业的IT管理者和采购者，在选购Web安全产品时应该注意哪些要素?

　　首先回答你的第一个问题，企业是否需要Web防火墙?先来看一个根本性问题，企业Web应用是否是受到过攻击或者是说这种攻击是否导致企业无法承受损失。很多Web网站也很简单，仅仅一个产品介绍页面，它也不附带数据库，第一、很少有人对此类网站感兴趣，也没什么值得攻击的地方;第二、即使被攻击，重新启动就可以搞定。这种情况下，Web应用防火墙对此类企业用户影响不是很大。

　　梭子鱼Web应用防火墙针对的用户是网站上呈现很多无论从经济角度来说，或者从政治角度来说，是存在很多重要信息;而且这些重要信息存在着有可能被感染或被篡改的可能性;而且这种篡改和感染会是企业经济损失或名誉损失比较大。在这种情况下，考虑Web应用防火墙是比较合适的一个定位，这是一个梭子鱼Web应用防火墙基于用户群定位的考虑。

　　第二，针对企业采购而言，因为Web应用防火墙目前来说全球也没有唯一标准，大家默认的标准比如要满足PCI安全标准，还有包括OWASP提出的有十个最重要的根源，大部分用户默认的这两个是基本性标准。

　　实际而言，Web应用防火墙在国际上流行的功能来说，其中包括三个部分：

　　第一、我们把它叫做网站隐身，即，网站在攻击者面前是隐藏的，不是显性的，就是攻击者无法看到Web服务器版本和应用服务器版本甚至数据库版本等，看不到则很难找到漏洞。比如微软IIS，相当于一个Web Server，比如8.0版本有7个漏洞，9.0版本有两个漏洞。对于黑客而言，查不到漏洞在哪里,但是如果不知道企业有Web服务器，攻击就变的很难。

　　第二、就是安全检查和校验。最主要的作用是帮企业把后台所有应用程序漏洞找出来，同时配置好相应防护策略，避免后台受到攻击。

　　第三，因为企业存在效率损失问题，不管是奥运安检还是世博安检，我们安全性提高了，但是进门人的效率就降低，本来一分钟能过10个人，现在一分钟就能过8个人，所以对Web应用防火墙而言，还有一个很重要的功能叫做应用加速。通过cache缓冲，使整个应用程序在安全上损失时间通过后台加速弥补，这实际是Web防火墙三大功能。