2004年之后，經(jīng)濟利益成為安全攻擊的驅(qū)動力，這改變了整個互聯(lián)網(wǎng)的安全圖景，攻擊變得“工業(yè)化”，具有龐大的組織、資金，更聚焦，并具有自動化能力。在此圖景下，Web安全事件不斷暴露出來，WAF解決方案應運而生，而為了更系統(tǒng)地進行Web安全防護，各類法規(guī)、政策陸續(xù)出現(xiàn)，這更有力地推動了WAF的需求和技術(shù)發(fā)展。但國內(nèi)、國外（主要指美國）對WAF的需求特點并不完全一樣，所以國內(nèi)、國外廠商的WAF技術(shù)發(fā)展也不完全一樣，產(chǎn)品走出了不一樣的發(fā)展軌跡，本文將在這方面做一些分析。

國外

美國研究WAF最早，尤其是銀行卡行業(yè)看重WAF的價值，因為美國的電子商務(wù)（在線支付）非常發(fā)達，各種企業(yè)都有自己的Web應用系統(tǒng)來為客戶提供在線支付，而這些Web應用系統(tǒng)中具有較高商業(yè)價值的數(shù)據(jù)引起了黑客的高度關(guān)注，一度出現(xiàn)了許多安全事件，包括信用卡信息被竊取。這些事件，損害了企業(yè)聲譽，動搖了客戶信心，給企業(yè)造成了直接的銷售損失。甚至威脅到了整個銀行卡在線支付業(yè)務(wù)模式的推廣。

于是，2004年12月15日，Visa、Master、American Express、Discover、JCB，五家企業(yè)聯(lián)合起來，成立了一個組織：支付卡行業(yè)安全標準委員會（Payment Card Industry Security Standards Council，縮寫PCI SSC）。此時，這個委員會中的企業(yè)已經(jīng)有了各自的信息安全策略，他們在這個委員會中對信息安全策略進行了統(tǒng)一，發(fā)布了：支付卡行業(yè)數(shù)據(jù)安全標準（Payment Card Industry Data Security Standard，縮寫PCI DSS）。這就是對WAF產(chǎn)品發(fā)展產(chǎn)生持續(xù)、強大驅(qū)動力的PCI DSS，最早是Version 1.0，2006年9月升級為Version 1.1，2008年10月升級為Version 1.2，目前最新的PCI DSS是2009年8月發(fā)布的Version 1.2.1。

PCI DSS這一新的數(shù)據(jù)安全標準要求任何處理支付卡數(shù)據(jù)的零售商都必須滿足一系列嚴格的標準，如果不能做到“法規(guī)遵從”，則可能會遭受嚴厲的處罰和高額罰金。例如：

1、每個數(shù)據(jù)安全案件高達 500,000美元的罰款

2、由于未能符合頒布的標準而每天面臨 50,000 美元的罰金

3、對因賬號被盜用而造成的所有欺詐損失負責

4、對因信用卡被盜用而造成的重新發(fā)卡的成本負責

5、暫停商業(yè)賬戶

PCI DSS對WAF提出了明確要求：”All public-facing Web applications subject to either reviews of applications via manual or automated vulnerability assessment tools or methods, or installation of an application-layer firewall in front of public-facing Web applications.”

關(guān)于PCI DSS這個法規(guī)對WAF的驅(qū)動，還有兩個方面需要注意：第一、PCI DSS除了提出了“部署WAF”的要求之外，還描述了許多詳細的功能要求（雖然并沒有說一定要通過WAF來實現(xiàn)，但很多功能用WAF來實現(xiàn)明顯是最理想的方法），這些功能要求成了WAF廠商，尤其是國外WAF廠商，技術(shù)發(fā)展的最重要考量（即PCI DSS合規(guī)）。第二、PCI DSS的影響力大大超出了支付卡行業(yè)，甚至在權(quán)威測試機構(gòu)的WAF產(chǎn)品通用測試標準（并不針對某個行業(yè)）中，也把PCI DSS作為參照?？梢哉f，PCI DSS是驅(qū)動WAF技術(shù)發(fā)展最重要的法規(guī)。

國內(nèi)

在大洋彼岸的中國，對WAF的需求又是怎樣的特點呢？現(xiàn)在回頭來看，真的就像我們中國人常說的：“具有中國特色”。

中國沒有完善的信用體系，信用卡在線支付到現(xiàn)在也不是很普及，其應用成熟度跟美國根本無法相比（這一度令人們懷疑中國電子商務(wù)的發(fā)展，當然，支付寶一類的方式解決了這個問題）。也許就是因為中國企業(yè)遭遇“信用卡信息被竊取”這樣的情況比較少，在銀行業(yè)并沒有產(chǎn)生類似PCI DSS的法規(guī)，沒有對WAF產(chǎn)生強力驅(qū)動。但是，“西方不亮東方亮”，網(wǎng)頁篡改事件在中國的大面積出現(xiàn)，成了WAF的主要驅(qū)動力（這中間還有一個 “插曲”，就是“網(wǎng)頁防篡改系統(tǒng)”的一度流行，這在后面會講到）。

CNCERT/CC（國家互聯(lián)網(wǎng)應急中心）每個月都會發(fā)布《我國網(wǎng)站被篡改情況月度報告》，我們隨意抽取2010年2月的情況來看一下：

“2010年2月，我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量為2304個，與上月的1881個相比增長22%?！?/P>

“2010年2月，大陸地區(qū)政府網(wǎng)站被篡改的數(shù)量為403個，較上月的361個增長12%?！?/P>

網(wǎng)頁篡改的社會敏感性極高，尤其是對于政府門戶網(wǎng)站來說，此外，高校、企業(yè)、運營商的網(wǎng)站也都出現(xiàn)過嚴重的網(wǎng)頁篡改事件。一時間，在中國大陸，“網(wǎng)頁篡改”就代表了Web安全威脅，迫切地需要解決方案。這時，先出現(xiàn)的解決方案是前面提到的“網(wǎng)頁防篡改系統(tǒng)”。

“網(wǎng)頁防篡改系統(tǒng)”是一套軟件，包括：Agent程序（安裝在Web服務(wù)器上）和集中管理程序（安裝在單獨的一臺服務(wù)器上，管理Agent的策略）。起初，這種解決方案很受歡迎，因為它直接，但是它的部署位置和基本原理決定了：它只對保護靜態(tài)頁面有很好的效果，而對于動態(tài)頁面沒辦法保護，為此，有些“網(wǎng)頁防篡改”廠商提出在Web服務(wù)器上再安裝諸如“SQL注入防護模塊”的方案，但這會影響Web服務(wù)器性能，而且對動態(tài)頁面的篡改方法遠遠不只是“SQL注入”，這種打補丁的方案從長遠來看是不行的。而“網(wǎng)頁防篡改系統(tǒng)”的不足，恰恰是WAF的優(yōu)勢，它部署在網(wǎng)絡(luò)中，深入分析HTTP協(xié)議流量，全面防御各種Web安全威脅的同時，對Web服務(wù)器沒有任何干擾，實際上是治本的網(wǎng)頁防篡改解決方案。

無論如何，“網(wǎng)頁篡改”是中國大陸最顯著的Web安全事件，就好比在美國最顯著的Web安全事件是“信用卡信息竊取”一樣，加上2008年奧運、2010年世博的大背景，國內(nèi)Web安全的焦點幾乎全聚集在防篡改上面了。在法規(guī)方面，2006年3月1日起施行的“互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定（公安部令第82號）”是影響比較大的國內(nèi)法規(guī)，其第九條、第三款規(guī)定：“開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的，能夠防范網(wǎng)站、網(wǎng)頁被篡改，被篡改后能夠自動恢復”。這是國內(nèi)最接近對WAF產(chǎn)生驅(qū)動力的法規(guī)描述了。在國內(nèi)部分行業(yè)Web應用系統(tǒng)的安全規(guī)范中，例如：銀行業(yè)的網(wǎng)上銀行系統(tǒng)、運營商網(wǎng)上營業(yè)廳系統(tǒng)，也都沒有對WAF提出明確的要求，要么還在要求傳統(tǒng)的“防火墻+IPS”方案，要么在要求治標不治本的“網(wǎng)頁防篡改系統(tǒng)”方案?？梢哉f，缺乏法規(guī)推動，使得國內(nèi)WAF的應用和發(fā)展落后于國外，但WAF在全面解決Web安全問題中的技術(shù)優(yōu)勢和潛力已經(jīng)在實踐中得到了越來越多的認可，相信法規(guī)的出臺和推動僅僅是時間問題。

分析

Web安全問題的技術(shù)根源和攻擊方法演進在全球范圍內(nèi)是一樣的，但WAF成為Web安全問題主流解決方案的過程在國內(nèi)外走出了不同的軌跡。

在國外：信用卡信息竊?。ㄊ录稰CI DSS（法規(guī)）——》WAF

在國內(nèi)：網(wǎng)頁篡改（事件）——》82號令（法規(guī)）——》網(wǎng)頁防篡改產(chǎn)品——》WAF

事出必有因，國內(nèi)WAF的發(fā)展雖然看似比國外“慢了一拍”，但在這其中確實有特殊的需求，比如一旦網(wǎng)頁被篡改如何避免不良社會影響擴散，這在國內(nèi)是極其重要的需求。綠盟科技的WAF產(chǎn)品在技術(shù)上具備國際先進水平（PCI DSS合規(guī)），但因為首先服務(wù)的是國內(nèi)客戶，所以認真考慮了國內(nèi)客戶的關(guān)切，做出了許多創(chuàng)新的技術(shù)方案，例如：在綠盟科技WAF中運用了基于“內(nèi)容預取”的網(wǎng)頁防篡改技術(shù)，在具備WAF一般功能的同時，著重解決了客戶“避免不良社會影響擴散”的關(guān)切，可以說是一款“中西合璧”的WAF產(chǎn)品。

相信，WAF在國內(nèi)還會基于客觀的需求，走出一條具有中國特色的發(fā)展道路。

【編輯推薦】

1. 綠盟科技WAF解讀OWASP TOP10安全威脅
2. WAF vs IPS 誰更適合防護Web應用？
3. web應用防火墻(WAF)的安全原理與技術(shù)分析
4. Web Application Firewall(WAF)入門
5. 微軟ASP.NET爆高危漏洞 安恒信息明御WAF為您保駕護航