WAF：Web应用防火墙是最近两年刚刚兴起的、针对愈演愈烈的Web应用层攻击而衍生出的一种产品。利用国际上公认的一种说法，WAF是通过执行一系列针对HTTP/HTTPS的安全策略来保护Web应用的产品。

　　目前市场上有诸如Web应用防火墙、应用防火墙、Web安全网关、下一代防火墙等多种易引起混淆的概念，用户在选择时往往会感到困惑。这几种概念有何区别和联系，将在下文中继续介绍。

　　随着网络购物和网上交易这种涉及到金钱交易的网上活动的流行，这些活动的安全性目前来看是用户最为关注的问题。而Web应用防火墙的目标很简单，就是保护应用层的安全，且仅仅是Web应用层面的安全。

　　应用层危机催生WAF的出现

　　Web应用流行的征兆，对于普通的用户来说，最直接的体现就是网站类型越来越丰富了，网站数量越来越多了，利用网站可以做的事情也越来越全面了。从生活琐事到工作内容都可以通过互联网满足用户的需求。那么，随之而来的也就是黑客利用这些操作进行的牟利活动。这是WAF出现的背景之一。

　　梭子鱼技术总监谷新表示，WAF的出现，还是由于传统的防火墙对于应用层的攻击是无法进行有效的抵抗的的，迫切需要一种专门针对Web应用的防火墙出现。以往的网络安全往往针对是第三层和第四层的，因为针对这两层的攻击相对来说比较简单，比如DoS攻击，传统防火墙可以识别这种针对IP的攻击。但是，随着网络攻击技术的发展，还有黑客对于传统防火墙逐渐生出的“免疫力”，以及黑客技术的迅速发展，传统防火墙逐渐显现出不足。谷新表示：“以往黑客是为了炫耀本身的技术，而现在更多的是为了利益，是为了获取有用的信息，”这也是WAF出现的背景之一。

　　除去上述的几个背景之外，WAF的出现还有一个客观因素。在几年之前，像IDS、IPS这类的设备也能起到一部分的防止应用层的攻击，但是不能从根本上防护应用层的攻击，因为这些设备的安全防护都是基于特征码的。例如病毒库，这种方式针对已知病毒可有效防护，但是对于未知的攻击，例如零日攻击，却无法进行有效防护。因为Web应用层的攻击往往是针对应用系统的漏洞进行的，每个应用在发布时往往带着很多漏洞，而这些漏洞可能会在日后运行过程中不断的出现。但黑客却可以通过运行监测程序发现用户未知的漏洞，且往往很快就能发布攻击。WAF的出现，能够解决这种问题。

　　WAF的应用职责

　　Citrix应用与网络事业部的系统工程师刘烨表示，在国外，WAF发展的已经比较成熟了，但是在中国市场，还处于稳步上升期。中国市场上的WAF产品，目前来看还没有一个统一的标准来规定其应该包含什么功能，但是随着WAF的逐渐流行和用户认识的不断清晰，无形中也形成了一个标准。

　　刘烨认为，WAF产品应该建立在理解了WEB应用是什么的前提之下，这是WAF产品必须包含的特性之一，产品本身不能只识别网络层和特征码之类的攻击，还必须识别未知的攻击。另外，他表示，WAF必须遵循一个正向的安全模型，因为目前的防护设备多数是基于特征码的，而WEB攻击却是没有特征码的。传统的防火墙无法解决此类问题。正向安全模型告诉你，你虽然没有特征码，但其实已经违背了正常的交易逻辑，这个是不允许的，这个是应用防火墙应该具有的第二个特征。

　　除了上述两个特征之外，WAF还必须明确的是如何保证基于会话的保护，这是Web的一个弱点，也是Web本身所带的一个缺陷。Web应用之间本身是没有关联的，唯一能关联起来的就是Session ID和Cookies，黑客拿到了Session ID和Cookies就可以完全代替一个正常用户，这一点要通过对应用细粒度的控制来进行保护。

　　最后，刘烨认为，WAF产品要懂得如何去创建规则，让用户更好地去契合这个Web应用。这将是未来中国市场共同努力的方向。

　　而在谷新看来，WAF产品要包含的特征，是除了被动防御之外，还应该包含主动防御。主动防御表示，WAF不仅能够针对基于特征码的病毒库进行防御，还要对未知的攻击进行防御，要分析用户的上网行为进行主动的防御。

　　其次，WAF要做到对Web应用的加速，既要有高安全性，还要有加速的功能。另外，WAF产品需要有不同的部署方式，针对不同的网络和业务特征，要有不同的部署方式，物理上串联或并联，逻辑上有桥接或旁路、路由的模式等。

　　最后，针对服务器集群，WAF要能够提供负载均衡的能力，这也可以当作一个加速的机制。这个负载均衡是专门针对后台的Web服务器。

　　面对着形形色色的WAF产品，以及相近的几个概念，例如应用防火墙、Web安全网关等，用户很容易产生困惑，在选择WAF产品时，除了了解到该产品的具体特性之外，也要根据自己业务的特性选择相关的产品。

　　Web安全网关主要针对的是企业内网用户，访问外部网站时，起到一个过滤的作用，是为了防止恶意网站对内网的影响。这根WAF是两个概念。Web安全网关的作用是向内网用户区分哪些网站是安全的、可访问的，哪些网站是恶意的、不可访问的。

　　而应用防火墙，与Web应用防火墙有一定相通的地方，他们都是针对应用的，但是Web应用防火墙是专门针对Web应用的，所以，按照这种说法，WAF可以说是应用防火墙的应用，它的目标更加的明确了，即它是专门针对Web应用的防火墙，说的再直接一点，WAF是专门针对基于浏览器的应用的防火墙。

　　在部署方面，WAF也与传统的防火墙和上述的几种Web安全产品不同。传统防火墙是放在网关处，而WAF是放在了Web服务器集群的前端，只针对WEB服务器进行防护。这其实也显示出了WAF产品产生时的简单初衷——就是为了保护Web应用安全。

　　中国市场火热的背后

　　Gartner曾经预计，2010年和2011年将是中国WAF市场爆发式增长的时期，但是在中国，WAF市场确实是一直在稳健增长，但却也不像传说中的那样大红大紫。一个新兴事物一旦兴起，每个相关的厂商都会努力分得一杯羹，中国的WAF市场也是如此。WAF的火热是必然的，但与此而来的，是WAF产品的多样化。同样号称是保护Web应用，但是产品的功能和性能有些确实相差甚大。

　　中国市场中，提供WAF产品的厂家原来有做传统防火墙的，有做IPS的，也有做UTM的等等，但是随着Web应用的流行，用户对WAF产品的需求，这些厂商也逐渐开始涉足WAF市场。但是，他们提供的WAF产品却也相继有了各自的特色。他们除了提供WAF产品的基本功能——保护Web应用之外，还相继为WAF产品加入了自己以往擅长的特征。例如，以往做垃圾邮件防御的，可能会在WAF产品中加入反垃圾邮件功能等。以Citrix为例，刘烨介绍，他们公司的WAF产品除了包含安全功能外，还可以将其集成到应用交付产品——NetScaler中去，一起提供给客户，并可以利用license来控制该产品能够提供哪些功能。

　　面对这种稍显混乱的局面，业界也都发表了自己的看法。谷新认为这也是非常正常的一件事情。一个行业刚起步的时候，一般有几个领头羊在做，市场开始慢慢起步以后，当大家都察觉到了该行业的前途时，就都开始进入该市场。目前的中国市场，就正处于这种增长的时期，市场规模也非常大。

　　很多厂家的进入对用户来说也是件好事，这为用户提供了更好更多的选择。但是这么多厂家良莠不齐的水平也给用户带来了困惑，有些可能是打着WAF的旗号去推广自己的产品。这个时候，厂家就需要提升自己，不仅提高自己的产品性能，还要提高信誉。竞争大了，对厂家来说不利，但对用户来说是好事。用户可以得到更优惠、更好性能的产品。而且随着市场的发展，随着优胜劣汰的选择，一些发展比较稳健的厂商就逐渐被保留下来。谷新表示，坚持到底就是胜利。在这一方面，Web应用防护方面与欧美相比，还不是很先进。这个市场起步较晚，所以暂时的混乱也是正常的。同时，绿盟科技产品市场经理李从宇也表达了同样的观点，他认为产品和需求的标准化不可能一蹴而就，这需要整个行业的推动。

　　刘烨认为，面对混乱的WAF产品市场，如果用户果真是把Web应用的概念理解清楚了，他是能够辨认出来的。但是中国的现状显示，这个概念会逐渐慢慢的越来越模糊。因为WAF刚出现的时候，本身概念是非常清晰的，但是现在的状况是每家厂商都希望得到一定的市场份额，也导致了WAF的概念越来越模糊，这样的话对厂商来说才能分得WAF市场的一杯羹。

　　目前，中国WAF市场还没有达到井喷的阶段，但稳健的增长率预示，2011年必定还会有更多的厂商加入WAF阵营。而面对种类繁多的WAF产品，用户要做的就是擦亮眼睛，选择正确的Web应用防护产品。

　　混沌中的光明

　　仔细了解一下用户的需求，我们会发现，用户对于WAF产品的概念并不是十分了解。现在的情况是，厂商说什么是WAF，什么就是WAF，没有一个具体的标准来界定。对用户来说，得到适合自己的产品建议将是迫切需求。

　　未来中国市场，在保持高增长率的同时，近期内将可能还会维持目前的“多样化”状态，虽然产品之间的功能和性能都有所区别，但大趋势是统一的。比较一下国外市场，可以发现，国外的安全咨询市场发展较先进。而国内市场普遍缺乏针对用户的安全咨询建议，这也是用户最为渴求的一部分。所以，记者认为，安全咨询市场需要在国内进一步的发展。

　　刘烨表示，目前在中国还没有很好的一个模式和途径来把安全产品和安全咨询结合到一起。有些产品，例如Citrix的Netscaler，集成了一些管理报表的功能，让用户更加方便的去进行管理，并能灵活的自己定义规则。另外一方面，从中国市场来看，安全厂商可以选择与第三方专门做安全咨询顾问的公司合作，因为他们本身有这方面经验来为用户提供“量身定做”的能力。

　　另外一个可以确定的事情就是，WAF市场的井喷会在中国有了统一的安全支付标准之后出现。记者也相信，政府也希望尽早推动该标准的制定。

　　现在说到WAF，最典型的应用是在安全支付及政府网站方面，其实每一个有Web应用的地方，都需要用到Web应用防火墙。只不过用户对于金钱最为敏感，所以目前在中国，WAF产品应用最多的就是涉及到网上金钱交易的网站。另外，对于黑客来说，黑掉一个政府网站往往会给他们带来极大的满足感，所以敏感的政府网站也是黑客们关注的“重点”。以绿盟为例，它的产品就成功应用在了某省政府部门的门户网站上。该政务网站曾遭遇SQL群注攻击，网站的重要信息被大量篡改，间歇还伴随有针对Web服务器的DDoS攻击。此网站部署了绿盟WAF产品之后，先是对此网站的安全状况和黑客攻击方式进行了分析，确定了这次网页篡改时间是由自动化SQL注入攻击的破坏而导致，绿盟WAF阻断了SQL注入及应用层DDoS的攻击。政府网站和涉及金钱交易的购物网站将愈发成为WAF一显身手的平台。

　　刘烨和谷新都表示，非常希望中国能够推行类似于PCI DSS这样的安全支付标准。在这种硬性的规定下，一方面是对于保护用户网上交易更为方便，另外一方面对于推动WAF的发展也非常有利。相比于亚洲其他地区，中国的WAF推广并不如他们顺利，原因之一就是他们需要更多的遵循PCI DSS 2.0.对于金融行业来说，有自己的内部遵循标准，例如PCI DSS，来衡量金融系统的安全性，金融行业通过部署WAF，有利于自己通过PCI DSS标准的审核。另外，运营商也有这些方面的审核。WAF在证券行业也很受欢迎，因为证券公司的系统开发不如银行那样完善，银行拥有完善的内部代码审计制度，而证券公司的系统代码可能会有一些漏洞，需要WAF来防御此类攻击。

　　一个新兴市场的诞生，往往都需要经过一个混乱时期，中国的WAF市场目前来看就处于这个时期。虽然混乱，但是却看到了未来，那就是安全咨询将会越来越流行，WAF市场将会在中国推行统一支付标准的时候，达到另一轮高峰。

　　编看编想：下一代防火墙的应用未来

　　下一代防火墙与WAF一样，在业界也还没有明确的标准。但是，目前也已经有厂商推出了下一代防火墙产品，其标志性创新就是对于应用层的防护。下一代防火墙是相对于传统防火墙而定义的，它除了第三、四层得防护之外，还增加了应用层的防护。下一代防火墙将是一个比目前的任何防火墙都全面的一个产品。

　　那么Web防火墙与下一代防火墙就有了一个交叉点——保护应用，是不是未来WAF可以直接集成到下一代防火墙中了呢?谷新认为，从长期来说，完全可以把WAF集成到下一代防火墙中。但是有两个前提，第一计算机能力要足够快，这是指的计算机的硬件速度要足够快。另外一个就是网络速度，这是针对部署在云端的终端，这两个速度都要快。但是在目前，下一代防火墙在Web应用防护方面还没有能够集成到其功能中，因为下一代防火墙的演进路线是从传统防火墙演进过来的，而不是从Web应用防火墙演进而来的，下一代防火墙从本质上来说还是属于传统防火墙，与Web应用防火墙没有交叉。

　　虽然还未实现，但相信下一代防火墙普及用户将为时不远，期待着下一代防火墙在应用层防护上的美好未来。