早在2004年，國外一些安全廠商就提出了WEB應(yīng)用防火墻（Web Application Firewall，簡稱WAF）的概念，并開始了逐步的嘗試，但當(dāng)時(shí)很多企業(yè)用戶對此的認(rèn)識(shí)還比較模糊。隨著互聯(lián)網(wǎng)的普及，企業(yè)的Web應(yīng)用越來越多，而來自于Web的信息安全風(fēng)險(xiǎn)也越發(fā)突出。

由于美國的各種企業(yè)都有自己的Web應(yīng)用系統(tǒng)來為客戶提供在線支付，而這些Web應(yīng)用系統(tǒng)中具有較高商業(yè)價(jià)值的數(shù)據(jù)引起了黑客的高度關(guān)注，出現(xiàn)了許多安全事件，包括信用卡信息被竊取。不但給企業(yè)造成了直接損失，還威脅到了整個(gè)銀行卡在線支付業(yè)務(wù)模式的推廣。

于是，支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)發(fā)布了支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（Payment Card Industry Data Security Standard，PCI DSS）。PCI DSS法規(guī)6.6要求機(jī)構(gòu)檢查自身Web應(yīng)用程序的所有代碼，或者安裝一個(gè)WAF來防范已知的攻擊方式。該法規(guī)對WAF產(chǎn)品的發(fā)展產(chǎn)生了持續(xù)、強(qiáng)大的驅(qū)動(dòng)力。國外的所有WAF廠商都把符合PCI DSS法規(guī)看作是產(chǎn)品最重要的技術(shù)指標(biāo)。

現(xiàn)在，在權(quán)威測試機(jī)構(gòu)的WAF產(chǎn)品通用測試標(biāo)準(zhǔn)（并不針對某個(gè)行業(yè)）中，也把PCI DSS作為參照。憑借PCI DSS法規(guī)的大力支持，在2008年，國外WAF應(yīng)用進(jìn)入了成熟化與普及化時(shí)代。目前最新的PCI DSS是2009年8月發(fā)布的1.2.1版本。

由于WEB應(yīng)用防火墻的名字中有"防火墻"三個(gè)字，所以有很多用戶總是把WAF看作是一種新的防火墻。實(shí)際上，WEB應(yīng)用防火墻、傳統(tǒng)防火墻、Web安全網(wǎng)關(guān)這三者之間有很大的差別，它們在不同的層面保護(hù)企業(yè)安全。我們上文提到的梭子魚網(wǎng)絡(luò)有限公司，其中國區(qū)技術(shù)總監(jiān)谷新先生就曾對此做過詳細(xì)解釋，傳統(tǒng)防火墻專注在網(wǎng)絡(luò)層面，提供IP、端口防護(hù)。Web安全網(wǎng)關(guān)保護(hù)企業(yè)的上網(wǎng)行為免受侵害。而WAF是專門為保護(hù)基于Web的應(yīng)用程序而設(shè)計(jì)的，它不像傳統(tǒng)的防火墻基于互聯(lián)網(wǎng)地址和端口號(hào)來監(jiān)控和阻止數(shù)據(jù)包。企業(yè)將WAF部署在Web服務(wù)器之前，就是從網(wǎng)站應(yīng)用的角度去考慮安全問題。

WAF檢查每一個(gè)傳入的數(shù)據(jù)包的內(nèi)容來檢測SQL注入、跨站點(diǎn)腳本、會(huì)話劫持、篡改參數(shù)或URL等類型的攻擊。例如，WAF會(huì)掃描SQL查詢字符串，來檢測和刪除那些導(dǎo)致返回的數(shù)據(jù)多于應(yīng)用程序要求的字符串。

【編輯推薦】

1. 解讀Web應(yīng)用防火墻
2. 應(yīng)對復(fù)雜網(wǎng)絡(luò)攻擊我有WEB應(yīng)用防火墻
3. Web應(yīng)用防火墻將瞄準(zhǔn)0day攻擊防御不得不看
4. WEB應(yīng)用防火墻網(wǎng)站整體防護(hù)的破解方法