一、缘起

　　早在2004年，国外一些安全厂商就提出了WEB应用防火墙(Web Application Firewall，简称WAF)的概念，并开始了逐步的尝试(例如梭子鱼网络有限公司将Netcontinuum公司纳入旗下，当时的Netcontinuum就是这一领域的先行者，其解决方案包含网站的网络应用安全、通信管理和SSL加速等)，但当时很多企业用户对此的认识还比较模糊。随着互联网的普及，企业的Web应用越来越多，而来自于Web的信息安全风险也越发突出。

　　由于美国的各种企业都有自己的Web应用系统来为客户提供在线支付，而这些Web应用系统中具有较高商业价值的数据引起了黑客的高度关注，出现了许多安全事件，包括信用卡信息被窃取。不但给企业造成了直接损失，还威胁到了整个银行卡在线支付业务模式的推广。

　　于是，支付卡行业安全标准委员会发布了支付卡行业数据安全标准(Payment Card Industry Data Security Standard，PCI DSS)。PCI DSS法规6.6要求机构检查自身Web应用程序的所有代码，或者安装一个WAF来防范已知的攻击方式。该法规对WAF产品的发展产生了持续、强大的驱动力。国外的所有WAF厂商都把符合PCI DSS法规看作是产品最重要的技术指标。

　　现在，在权威测试机构的WAF产品通用测试标准(并不针对某个行业)中，也把PCI DSS作为参照。凭借PCI DSS法规的大力支持，在2008年，国外WAF应用进入了成熟化与普及化时代。目前最新的PCI DSS是2009年8月发布的1.2.1版本。

　　由于WEB应用防火墙的名字中有“防火墙”三个字，所以有很多用户总是把WAF看作是一种新的防火墙。实际上，WEB应用防火墙、传统防火墙、Web安全网关这三者之间有很大的差别，它们在不同的层面保护企业安全。我们上文提到的梭子鱼网络有限公司，其中国区技术总监谷新先生就曾对此做过详细解释，传统防火墙专注在网络层面，提供IP、端口防护。Web安全网关保护企业的上网行为免受侵害。而WAF是专门为保护基于Web的应用程序而设计的，它不像传统的防火墙基于互联网地址和端口号来监控和阻止数据包。企业将WAF部署在Web服务器之前，就是从网站应用的角度去考虑安全问题。

　　WAF检查每一个传入的数据包的内容来检测SQL注入、跨站点脚本、会话劫持、篡改参数或URL等类型的攻击。例如，WAF会扫描SQL查询字符串，来检测和删除那些导致返回的数据多于应用程序要求的字符串。

　　二、概况

　　虽然Web应用防火墙(WEB应用防火墙)的名字中有“防火墙”三个字，但WEB应用防火墙和传统防火墙是完全不同的产品，和Web安全网关也有很大区别。梭子鱼公司技术总监谷新认为，传统防火墙只是针对一些底层(网络层、传输层)的信息进行阻断，而WEB应用防火墙则深入到应用层，对所有应用信息进行过滤，这是WEB应用防火墙和传统防火墙的本质区别。WEB应用防火墙与Web安全网关的差异在于，后者保护企业的上网行为免受侵害，而WEB应用防火墙是专门为保护基于Web的应用程序而设计的。

　　WEB应用防火墙位于Web客户端和Web服务器之间，分析应用程序层的通信，从而发现违反预先定义好的安全策略的行为。WEB应用防火墙具备事前预防、事中防护及事后补偿的综合能力。以WEB应用防火墙最为核心的事中防护能力为例，WEB应用防火墙作为一种专业的Web安全防护工具，基于对HTTP/HTTPS流量的双向解码和分析，可应对HTTP/HTTPS应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障Web应用的高可用性和可靠性。

　　一个标准的WEB应用防火墙至少需要具备三大功能：

　　第一，安全防护。不但对于针对Web服务器的攻击要具备防御能力，还要对数据泄密具备监管能力，可以进行IP审计。

　　第二，加速。除了防护以外，企业用户在网络之中，需要对应用的运转效率进行控制，比如对TCP协议的缓冲，对SSL VPN的加速，对访问管理的卸载，WEB应用防火墙必须能够提供相应的加速能力。

　　第三，可扩展性。WEB应用防火墙在后台连接的时候和Web服务器相关，但不能仅仅防护一台服务器。事实上很多企业的Web服务器数量庞大，WEB应用防火墙需要对应用交付和负载均衡提供支持。

　　WEB应用防火墙不仅可以检测已知类型的攻击，还可以发现异常的使用模式并阻止目前未知的攻击方法。例如，通常Web应用程序与Web客户端的信息交流数量是有限的。如果WEB应用防火墙检测到Web服务器正在返回一个比预期大很多的数据量，它就会及时切断传输，以防止更多的数据泄露。

　　三、误读

　　您购买的是WEB应用防火墙吗?

　　Web安全问题的技术根源和攻击方法的演进在全球范围内是一样的，所以不管在国内还是国外，WEB应用防火墙(WAF)必定会成为主流的Web应用安全解决方案。

　　不过，有些用户一度认为另外一个产品就是WEB应用防火墙，它就是网页防篡改系统。网页篡改始终是令国内网站头疼的Web安全问题。而且，此类攻击的数量还在呈现上升的趋势。政府门户网站、高校、企业、运营商的网站都出现过严重的网页篡改事件。因此，网页防篡改系统迅速流行起来。

　　网页防篡改系统是一种软件解决方案，它的防护效果直接，但是它的部署位置和基本原理决定了，它只能保护静态页面，而无法保护动态页面。梭子鱼公司中国总经理何平表示，为了解决这个问题，有些网页防篡改系统供应商提出在Web服务器上再安装诸如“SQL注入防护模块”的方案，但这会影响Web服务器性能，而且对动态页面的篡改方法远远不只是“SQL注入”，这种打补丁的方案从长远来看是不行的。

　　何平笑称网页防篡改系统是乞丐版的WEB应用防火墙。而网页防篡改系统的不足，恰恰是WEB应用防火墙的优势。它部署在网络中，深入分析HTTP协议流量，在全面防御各种Web安全威胁的同时，对Web服务器没有任何干扰，从根本上解决了包括网页篡改在内的主要Web安全问题。

　　还有一类名为Web实时监控与检测的硬件产品，具有Web漏洞检测、网页篡改识别、木马检测、Web内容审计等检测技术;实现了对各种Web攻击、威胁和事件的一体化综合监控，能够自动化完成大规模网站的集中监控和安全态势分析工作。虽然该产品可以在很大程度上解决网站安全问题，但它在侧重检测的同时却缺乏足够的防御能力。为了主动防御未知威胁，它也必将发展演进为WEB应用防火墙。

　　何平指出，目前中国的WEB应用防火墙市场仍处在市场培育期。由于中国认证中心、公安部等权威机构尚未出台WEB应用防火墙产品的标准，所以一些只具备部分WAF功能的产品也打着WEB应用防火墙的旗号进行销售，混淆用户的试听，希望用户在购买WEB应用防火墙产品时擦亮眼睛，多进行分析比较。

　　四、展望

　　混沌中的等待

　　众多政府对外服务网站、IDC托管服务器、电子交易网站等Web应用系统长期以来一直被Web应用攻击所困扰，随之而来的是名誉受损、客户投诉、法律纠纷、商业损失等一系列问题。部署专业的针对Web应用交互数据进行检测并提供防御的产品成为一种很有必要的选择。然而，迄今为止，前面提到的这种产品，也就是Web应用防火墙(WEB应用防火墙)在国内的成长之路并不平坦。

　　由于国内相关机构尚未WEB应用防火墙产品做出明确的定义，而又不能用传统防火墙的技术标准来对WEB应用防火墙进行检测，所以相关厂商在将WEB应用防火墙送检时只能将其称为“Web应用策略控制器”、“Web应用防护设备”，或者“Web应用安全网关”。

　　梭子鱼公司中国总经理何平说：“标准的缺失使得WEB应用防火墙产品之间没有可比性，也降低了市场进入的门槛。现在市场上存在着大量的伪WEB应用防火墙产品，加上不少用户对WEB应用防火墙的认识不够清晰，这两个因素直接导致WEB应用防火墙产品陷入了价格战。”目前，国内的WEB应用防火墙市场还处于一个混沌期，要想拿出一个比较成型的标准，还需要一两年的时间。何平表示，随着国内用户需求的逐渐清晰和细化，WEB应用防火墙产品的事实标准将逐渐形成。

　　在国外，WEB应用防火墙的评价标准正在逐步完善中。WASC(Web Application Security Consortium，Web应用安全协会)是一家非赢利的国际性专家社团，该组织推出了WAFEC(Web Application Firewall Evaluation Criteria，WEB应用防火墙评价标准)，目的是研究出一套WEB应用防火墙的评价标准，同时研究出一套测试方法，使得有经验的工程师可以使用WAFEC中提到的知识，独立地对WEB应用防火墙产品的优劣进行测试和评价。WAFEC现在被越来越多的厂家和用户用来评测WEB应用防火墙，该评价标准主要包括以下几个方面：部署模式、HTTP协议支持、检测技术、防御技术、审计、报告、管理、性能、XML、主动学习、认证等。

　　有了这个标准，用户就可以去准确地比较和评价WEB应用防火墙产品。据何平介绍，梭子鱼的WEB应用防火墙产品完全符合WAFEC的评估标准。同时，梭子鱼也在密切跟踪WASC的研究成果，时刻保持产品的技术领先性。