如今，電子政務(wù)、電子商務(wù)、運營商的增值業(yè)務(wù)、社交網(wǎng)站等Web應(yīng)用已經(jīng)逐漸滲透到人們?nèi)粘５墓ぷ骱蜕钪?，隨之而來的Web安全問題也逐漸彰顯。如果不保障Web應(yīng)用的安全，輕則名譽受損、客戶投訴，重則可能引起法律糾紛、商業(yè)損失等問題。部署專業(yè)的針對Web應(yīng)用交互數(shù)據(jù)進(jìn)行檢測并提供防御的產(chǎn)品成為一種很有必要的選擇。

Web應(yīng)用日漸普及

如今，Web應(yīng)用日益普及，表現(xiàn)出以下幾大特點：

特點一，發(fā)展迅速。每秒鐘都有一個網(wǎng)頁相關(guān)的應(yīng)用產(chǎn)生，而且截止到11月，我國已經(jīng)有323萬個網(wǎng)站。

特點二，交互性應(yīng)用。以前，Web應(yīng)用通常都是網(wǎng)頁瀏覽，但現(xiàn)在越來越多的應(yīng)用將Web作為自己的舞臺，例如聊天、網(wǎng)購、炒股、社交網(wǎng)絡(luò)等。統(tǒng)計數(shù)據(jù)表明，網(wǎng)民中有1.42億人會進(jìn)行網(wǎng)絡(luò)購物，占總?cè)藬?shù)的33.8%；1.28億會進(jìn)行網(wǎng)上支付，占總?cè)藬?shù)的30.5%；而1.22億人會用到網(wǎng)上銀行，占總?cè)藬?shù)的29.1%。

特點三，用戶創(chuàng)造內(nèi)容。例如現(xiàn)在的微博應(yīng)用，用戶不僅使用瀏覽器觀看網(wǎng)頁，自己也變成Web應(yīng)用的主角。

特點四，遠(yuǎn)程用戶接入。例如通過筆記本電腦進(jìn)行遠(yuǎn)程接入。

特點五，移動終端。隨著3G普及，移動接入互聯(lián)網(wǎng)的內(nèi)容越來越多，形式也越來越豐富。

Web攻擊事件頻發(fā)

2010年3月，谷歌公司高級副總裁公開發(fā)表聲明，稱"一群黑客對使用Gmail服務(wù)的人權(quán)活動分子的電子郵箱進(jìn)行了有組織的、高水平的攻擊"。2010年1月，搜索引擎"百度"遭到黑客攻擊，導(dǎo)致其網(wǎng)站長時間無法正常訪問。2009年11月，國防部網(wǎng)站上線3個月遭230萬次攻擊……越來越多的Web攻擊開始映入我們的眼簾。

CNCERT/CC國家互聯(lián)網(wǎng)應(yīng)急中心對網(wǎng)絡(luò)安全事件報告類型的統(tǒng)計表明，2010年1-6月，57.57%的安全事件是惡意代碼（含網(wǎng)頁掛馬），漏洞事件占25.96%，而網(wǎng)頁仿冒事件占15.48%，拒絕服務(wù)攻擊占0.98%。

來自Gartner的數(shù)據(jù)表明，當(dāng)前網(wǎng)絡(luò)上75%的攻擊是針對Web應(yīng)用的，這些攻擊可能導(dǎo)致網(wǎng)站遭受聲譽損失、經(jīng)濟(jì)損失甚至政治影響。

這些數(shù)據(jù)清楚地告訴我們一個事實：Web安全事件正在變得越來越多。

應(yīng)用與安全的距離

為什么Web攻擊越來越多？在Web安全方面，我們還有哪些問題需要面對？

問題一，應(yīng)用和安全的鴻溝。安全專家不了解Web應(yīng)用的特點，而應(yīng)用開發(fā)者和QA 不了解安全重點，這也是導(dǎo)致Web應(yīng)用安全的根本原因

問題二，應(yīng)用安全的復(fù)雜性。Web應(yīng)用異常復(fù)雜，可能涉及不同的操作系統(tǒng)、不同的開發(fā)工具、不同的應(yīng)用程序、不同的軟硬件供應(yīng)商、嚴(yán)重的兼容性問題，如果對此沒有足夠的了解，是無法從根本上解決問題的。

問題三，對已知漏洞的防護(hù)延遲。由于采用一成不變的低效的"消防演習(xí)"模式，補丁總是不夠及時而且容易出錯，對于"零日攻擊"毫無辦法。

問題四，現(xiàn)有安全措施的局限性?，F(xiàn)有攻擊特點是大部分攻擊在應(yīng)用層，針對Web網(wǎng)站的惡意攻擊絕大部分都將其封裝為HTTP請求，許多類型的攻擊并不篡改網(wǎng)頁，黑客往往會將攻擊隱藏在SSL內(nèi)，攻擊手段發(fā)展迅猛，對于這些，防火墻、IPS、網(wǎng)頁防篡改等安全產(chǎn)品經(jīng)常無能為力。

WAF助力Web安全

越來越多的應(yīng)用開始基于Web應(yīng)用，越來越多的系統(tǒng)漏洞可以被利用，而傳統(tǒng)防火墻和IPS等安全設(shè)備對此卻無能為力。此時，我們應(yīng)該靠誰來保護(hù)Web應(yīng)用的安全？Web應(yīng)用防火墻（Web Application Firewall，簡稱WAF）應(yīng)運而生。

Web應(yīng)用防火墻致力于為Web站點和Web服務(wù)器提供強大的應(yīng)用層安全防護(hù)。例如梭子魚網(wǎng)絡(luò)有限公司的梭子魚WEB應(yīng)用防火墻，就可以保護(hù)Web應(yīng)用安全漏洞，幫助企業(yè)合規(guī)達(dá)標(biāo)，如PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)），能夠防止在線信用卡交易的數(shù)據(jù)竊取及欺詐行為，防止因服務(wù)突然中斷而給用戶造成的經(jīng)濟(jì)損失，確保用戶業(yè)務(wù)在安全底線之上穩(wěn)定運行。