Web應(yīng)用防火墻（WAF）是這兩年剛剛興起的、針對愈演愈烈的Web應(yīng)用層攻擊而衍生出的一種產(chǎn)品。按照國際上公認(rèn)的一種說法，WAF是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來保護Web應(yīng)用的產(chǎn)品。

目前市場上有諸如Web應(yīng)用防火墻、應(yīng)用防火墻、Web安全網(wǎng)關(guān)、下一代防火墻等多種易引起混淆的概念，用戶在選擇時往往會感到困惑。讓我們一一細述，首先從Web應(yīng)用防火墻說起。

隨著網(wǎng)絡(luò)購物和網(wǎng)上交易這種涉及到金錢交易的網(wǎng)上活動的流行，這些活動的安全性目前來看是用戶最為關(guān)注的問題。而Web應(yīng)用防火墻的目標(biāo)很簡單，就是保護應(yīng)用層的安全，且僅僅是Web應(yīng)用層面的安全。

Web應(yīng)用流行的征兆，對于普通的用戶來說，最直接的體現(xiàn)就是網(wǎng)站類型越來越豐富了，網(wǎng)站數(shù)量越來越多了，利用網(wǎng)站可以做的事情也越來越全面了。從生活瑣事到工作內(nèi)容都可以通過互聯(lián)網(wǎng)來滿足用戶的需求。那么，隨之而來的也就是黑客利用這些操作進行的牟利活動。這是WAF出現(xiàn)的背景之一。

梭子魚網(wǎng)絡(luò)有限公司（Barracuda Networks Inc.）中國區(qū)技術(shù)總監(jiān)谷新表示，WAF的出現(xiàn)，還是由于傳統(tǒng)的防火墻對于應(yīng)用層的攻擊是無法進行有效的抵抗的，迫切需要一種專門針對Web應(yīng)用的防火墻出現(xiàn)。以往的網(wǎng)絡(luò)安全往往是針對的第三層和第四層，因為針對這兩層的攻擊相對來說比較簡單。比如DoS攻擊，傳統(tǒng)防火墻可以識別這種針對IP的攻擊。但是，隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，還有黑客對于傳統(tǒng)防火墻逐漸生出的“免疫力”，以及黑客技術(shù)的迅速發(fā)展，傳統(tǒng)防火墻逐漸顯現(xiàn)出不足。谷新表示：“以往黑客是為了炫耀本身的技術(shù)，而現(xiàn)在更多的是為了利益，是為了獲取有用的信息。”這也是WAF出現(xiàn)的背景之一。

除去上述的幾個背景之外，WAF的出現(xiàn)還有一個客觀因素。在幾年之前，像IDS、IPS這類的設(shè)備也能起到一部分的防止應(yīng)用層攻擊的作用，但是不能從根本上防護應(yīng)用層的攻擊，因為這些設(shè)備的安全防護都是基于特征碼的。例如病毒庫，這種方式針對已知病毒可有效防護，但是對于未知的攻擊，例如零日攻擊卻無法進行有效防護。因為Web應(yīng)用層的攻擊往往是針對應(yīng)用系統(tǒng)的漏洞進行的，每個應(yīng)用在發(fā)布時往往帶著很多漏洞，而這些漏洞可能會在日后運行過程中不斷的出現(xiàn)。但黑客卻可以通過運行監(jiān)測程序發(fā)現(xiàn)用戶未知的漏洞，且往往很快就能發(fā)布攻擊。

例如，新浪微博就曾出現(xiàn)了一次比較大的web攻擊事件。微博用戶中招后會自動向自己的粉絲發(fā)送含毒私信和微博，有人點擊后會再次中毒，形成惡性循環(huán)。大量用戶自動發(fā)送“建黨大業(yè)中穿幫的地方”、“個稅起征點有望提到4000”、“郭美美事件的一些未注意到的細節(jié)”、“3D肉團團高清普通話版種子”等帶鏈接的微博與私信，并自動關(guān)注一位名為hellosamy的用戶。

而WAF的出現(xiàn)，即有效解決了這一問題。梭子魚網(wǎng)絡(luò)有限公司資深售前技術(shù)經(jīng)理肖作葵對此作了進一步的解釋，和傳統(tǒng)網(wǎng)絡(luò)防火墻的低層處理機制以及與IPS對于HTTP、HTTPS和FTP流量的簡單操作相比，梭子魚WEB應(yīng)用防火墻可對HTTP流量進行代理，并全面掃描7層數(shù)據(jù)，確保攻擊在到達Web服務(wù)器之前就將其阻斷。許多Web應(yīng)用由于斷斷續(xù)續(xù)的代碼加固及安全維護，致使這些Web應(yīng)用通常存在嚴(yán)重的安全漏洞及隱患。 梭子魚WEB應(yīng)用防火墻能夠阻斷所有常見的Web攻擊。作為一個反向代理，在阻斷攻擊的同時，能夠?qū)ν獍l(fā)的HTTP響應(yīng)進行全面的監(jiān)控，確保諸如信用卡卡號、社?？ㄌ柕让舾行畔⒌男孤?。結(jié)合動態(tài)學(xué)習(xí)功能，梭子魚應(yīng)用防火墻能夠?qū)W習(xí)Web服務(wù)器的內(nèi)在結(jié)構(gòu)并生成策略，從而確保網(wǎng)站的高安全性。