Web應用防火牆之前世今生

Web安全問題的技術根源和攻擊方法的演進在全球範圍内是一樣的，是以不管在國内還是國外，WEB應用防火牆（WAF）必定會成為主流的Web應用安全解決方案。

不過，有些使用者一度認為另外一個産品就是Web應用防火牆，它就是網頁防篡改系統。網頁篡改始終是令國内網站頭疼的Web安全問題。而且，此類攻擊的數量還在呈現上升的趨勢。政府門戶網站、高校、企業、營運商的網站都出現過嚴重的網頁篡改事件。是以，網頁防篡改系統迅速流行起來。

網頁防篡改系統是一種軟體解決方案，它的防護效果直接，但是它的部署位置和基本原理決定了，它隻能保護靜态頁面，而無法保護動态頁面。梭子魚公司中國總經理何平表示，為了解決這個問題，有些網頁防篡改系統供應商提出在Web伺服器上再安裝諸如“SQL注入防護子產品”的方案，但這會影響Web伺服器性能，而且對動态頁面的篡改方法遠遠不隻是“SQL注入”，這種打更新檔的方案從長遠來看是不行的。

何平笑稱網頁防篡改系統是乞丐版的Web應用防火牆。而網頁防篡改系統的不足，恰恰是Web應用防火牆的優勢。它部署在網絡中，深入分析HTTP協定流量，在全面防禦各種Web安全威脅的同時，對Web伺服器沒有任何幹擾，從根本上解決了包括網頁篡改在内的主要Web安全問題。

還有一類名為Web實時監控與檢測的硬體産品，具有Web漏洞檢測、網頁篡改識别、木馬檢測、Web内容審計等檢測技術；實作了對各種Web攻擊、威脅和事件的一體化綜合監控，能夠自動化完成大規模網站的集中監控和安全态勢分析工作。雖然該産品可以在很大程度上解決網站安全問題，但它在側重檢測的同時卻缺乏足夠的防禦能力。為了主動防禦未知威脅，它也必将發展演進為WEB應用防火牆。

何平指出，目前中國的Web應用防火牆市場仍處在市場培育期。由于中國認證中心、公安部等權威機構尚未出台WEB應用防火牆産品的标準，是以一些隻具備部分WAF功能的産品也打着Web應用防火牆的旗号進行銷售，混淆使用者的試聽，希望使用者在購買Web應用防火牆産品時擦亮眼睛，多進行分析比較。