Web應(yīng)用防火墻（WAF）是這兩年剛剛興起的、針對(duì)愈演愈烈的Web應(yīng)用層攻擊而衍生出的一種產(chǎn)品。按照國(guó)際上公認(rèn)的一種說(shuō)法，WAF是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)保護(hù)Web應(yīng)用的產(chǎn)品。

目前市場(chǎng)上有諸如Web應(yīng)用防火墻、應(yīng)用防火墻、Web安全網(wǎng)關(guān)、下一代防火墻等多種易引起混淆的概念，用戶在選擇時(shí)往往會(huì)感到困惑。讓我們一一細(xì)述，首先從Web應(yīng)用防火墻說(shuō)起。

隨著網(wǎng)絡(luò)購(gòu)物和網(wǎng)上交易這種涉及到金錢交易的網(wǎng)上活動(dòng)的流行，這些活動(dòng)的安全性目前來(lái)看是用戶最為關(guān)注的問(wèn)題。而Web應(yīng)用防火墻的目標(biāo)很簡(jiǎn)單，就是保護(hù)應(yīng)用層的安全，且僅僅是Web應(yīng)用層面的安全。

Web應(yīng)用流行的征兆，對(duì)于普通的用戶來(lái)說(shuō)，最直接的體現(xiàn)就是網(wǎng)站類型越來(lái)越豐富了，網(wǎng)站數(shù)量越來(lái)越多了，利用網(wǎng)站可以做的事情也越來(lái)越全面了。從生活瑣事到工作內(nèi)容都可以通過(guò)互聯(lián)網(wǎng)來(lái)滿足用戶的需求。那么，隨之而來(lái)的也就是黑客利用這些操作進(jìn)行的牟利活動(dòng)。這是WAF出現(xiàn)的背景之一。

梭子魚網(wǎng)絡(luò)有限公司（Barracuda Networks Inc.）中國(guó)區(qū)技術(shù)總監(jiān)谷新表示，WAF的出現(xiàn)，還是由于傳統(tǒng)的防火墻對(duì)于應(yīng)用層的攻擊是無(wú)法進(jìn)行有效的抵抗的，迫切需要一種專門針對(duì)Web應(yīng)用的防火墻出現(xiàn)。以往的網(wǎng)絡(luò)安全往往是針對(duì)的第三層和第四層，因?yàn)獒槍?duì)這兩層的攻擊相對(duì)來(lái)說(shuō)比較簡(jiǎn)單。比如DoS攻擊，傳統(tǒng)防火墻可以識(shí)別這種針對(duì)IP的攻擊。但是，隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，還有黑客對(duì)于傳統(tǒng)防火墻逐漸生出的“免疫力”，以及黑客技術(shù)的迅速發(fā)展，傳統(tǒng)防火墻逐漸顯現(xiàn)出不足。谷新表示：“以往黑客是為了炫耀本身的技術(shù)，而現(xiàn)在更多的是為了利益，是為了獲取有用的信息。”這也是WAF出現(xiàn)的背景之一。

除去上述的幾個(gè)背景之外，WAF的出現(xiàn)還有一個(gè)客觀因素。在幾年之前，像IDS、IPS這類的設(shè)備也能起到一部分的防止應(yīng)用層攻擊的作用，但是不能從根本上防護(hù)應(yīng)用層的攻擊，因?yàn)檫@些設(shè)備的安全防護(hù)都是基于特征碼的。例如病毒庫(kù)，這種方式針對(duì)已知病毒可有效防護(hù)，但是對(duì)于未知的攻擊，例如零日攻擊卻無(wú)法進(jìn)行有效防護(hù)。因?yàn)閃eb應(yīng)用層的攻擊往往是針對(duì)應(yīng)用系統(tǒng)的漏洞進(jìn)行的，每個(gè)應(yīng)用在發(fā)布時(shí)往往帶著很多漏洞，而這些漏洞可能會(huì)在日后運(yùn)行過(guò)程中不斷的出現(xiàn)。但黑客卻可以通過(guò)運(yùn)行監(jiān)測(cè)程序發(fā)現(xiàn)用戶未知的漏洞，且往往很快就能發(fā)布攻擊。

例如，新浪微博就曾出現(xiàn)了一次比較大的web攻擊事件。微博用戶中招后會(huì)自動(dòng)向自己的粉絲發(fā)送含毒私信和微博，有人點(diǎn)擊后會(huì)再次中毒，形成惡性循環(huán)。大量用戶自動(dòng)發(fā)送“建黨大業(yè)中穿幫的地方”、“個(gè)稅起征點(diǎn)有望提到4000”、“郭美美事件的一些未注意到的細(xì)節(jié)”、“3D肉團(tuán)團(tuán)高清普通話版種子”等帶鏈接的微博與私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶。

而WAF的出現(xiàn)，即有效解決了這一問(wèn)題。梭子魚網(wǎng)絡(luò)有限公司資深售前技術(shù)經(jīng)理肖作葵對(duì)此作了進(jìn)一步的解釋，和傳統(tǒng)網(wǎng)絡(luò)防火墻的低層處理機(jī)制以及與IPS對(duì)于HTTP、HTTPS和FTP流量的簡(jiǎn)單操作相比，梭子魚WEB應(yīng)用防火墻可對(duì)HTTP流量進(jìn)行代理，并全面掃描7層數(shù)據(jù)，確保攻擊在到達(dá)Web服務(wù)器之前就將其阻斷。許多Web應(yīng)用由于斷斷續(xù)續(xù)的代碼加固及安全維護(hù)，致使這些Web應(yīng)用通常存在嚴(yán)重的安全漏洞及隱患。 梭子魚WEB應(yīng)用防火墻能夠阻斷所有常見(jiàn)的Web攻擊。作為一個(gè)反向代理，在阻斷攻擊的同時(shí)，能夠?qū)ν獍l(fā)的HTTP響應(yīng)進(jìn)行全面的監(jiān)控，確保諸如信用卡卡號(hào)、社?？ㄌ?hào)等敏感信息的泄露。結(jié)合動(dòng)態(tài)學(xué)習(xí)功能，梭子魚應(yīng)用防火墻能夠?qū)W習(xí)Web服務(wù)器的內(nèi)在結(jié)構(gòu)并生成策略，從而確保網(wǎng)站的高安全性。