Web應用防火墻(WAF)旨在保護Web應用程序免受常見攻擊(如跨站腳本攻擊和SQL注入攻擊等)的威脅。傳統(tǒng)防火墻主要用于保護網(wǎng)絡的外圍部分，而WAF則部署在Web客戶端與Web服務器之間。專家表示，Web應用防火墻的最大好處是，幫助分析應用層的流量以發(fā)現(xiàn)任何違反安全政策的安全問題。

雖然某些傳統(tǒng)的防火墻能夠提供某種程度的應用方面的保護。但是從針對性和范圍來看，都比不上WAF。舉例來說，WAF可以檢測出應用程序是否以其規(guī)定的方式在運行，并且能夠幫助你編寫更具體的安全政策以防止同樣的事情再次發(fā)生。

WAF與入侵防御系統(tǒng)(IPS)也存在差異，Gartner的分析師GregYoung表示，“這是一種非常不同的技術，它不是基于簽名。而是從行為來分析，它能夠幫助減少你自己無意中可能制造的漏洞問題?！?/p>

目前使用WAF的主要驅(qū)動力來自于支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)，該標準主要通過兩個辦法來審查是否合規(guī)：WAF和代碼審查。另外一個驅(qū)動力就是，大家越來越多地意識到攻擊已經(jīng)開始由網(wǎng)絡轉(zhuǎn)移到應用程序。WhiteHat Security在2006年到2008年12月間對877個網(wǎng)站進行了評估，結(jié)果發(fā)現(xiàn)82％至少存在某種重要的、緊急的系統(tǒng)嚴重性問題。

Web應用防火墻(WAF)的主要特性

Web應用防火墻市場仍然還不是很明確，有很多相似的產(chǎn)品被歸類到WAF范圍內(nèi)。專家指出。“很多產(chǎn)品能夠提供遠遠高于防火墻的功能，這使產(chǎn)品很難進行評估和比較?！贝送?，新的供應商也開始不斷涌入市場，主要通過將已有的非WAF產(chǎn)品整合為綜合產(chǎn)品。

那么Web應用防火墻應該具有哪些特性?以下這些特性是WAF應該具備的：

對HTTP有非常深入的理解。WAF必須能夠深入分析和解析HTTP的有效性。

提供積極的安全模型。積極的安全模型可以只允許已知流量通過，有時也被稱為“白名單”，這就給應用程序提供了一個有效的外部驗證盾牌保護。

應用層規(guī)則。由于高昂的維護成本，積極的安全模式應該還要配合基于簽名的系統(tǒng)來運作。但是由于Web應用程序都是自定義編碼的，傳統(tǒng)的針對已知漏洞的簽名都沒有效。WAF規(guī)則應該是通用的并且能夠檢測攻擊的任何變種，如SQL注入攻擊。

基于會話的保護：HTTP存在的最大缺點在于缺乏內(nèi)置的可靠會話機制，WAF必須補充應用程序會話管理的功能并保護它免受基于會話和超時的攻擊。

允許細粒度政策管理。應該對很少部分的應用程序執(zhí)行例外處理，否則，可能造成安全漏洞。(et)