2004年之后，經(jīng)濟(jì)利益成為安全攻擊的驅(qū)動(dòng)力，這改變了整個(gè)互聯(lián)網(wǎng)的安全圖景，攻擊變得“工業(yè)化”，具有龐大的組織、資金，更聚焦，并具有自動(dòng)化能力。在此圖景下，Web安全事件不斷暴露出來，WAF解決方案應(yīng)運(yùn)而生，而為了更系統(tǒng)地進(jìn)行Web安全防護(hù)，各類法規(guī)、政策陸續(xù)出現(xiàn)，這更有力地推動(dòng)了WAF的需求和技術(shù)發(fā)展。但國內(nèi)、國外（主要指美國）對WAF的需求特點(diǎn)并不完全一樣，所以國內(nèi)、國外廠商的WAF技術(shù)發(fā)展也不完全一樣，產(chǎn)品走出了不一樣的發(fā)展軌跡，本文將在這方面做一些分析。

國外

美國研究WAF最早，尤其是銀行卡行業(yè)看重WAF的價(jià)值，因?yàn)槊绹碾娮由虅?wù)（在線支付）非常發(fā)達(dá)，各種企業(yè)都有自己的Web應(yīng)用系統(tǒng)來為客戶提供在線支付，而這些Web應(yīng)用系統(tǒng)中具有較高商業(yè)價(jià)值的數(shù)據(jù)引起了黑客的高度關(guān)注，一度出現(xiàn)了許多安全事件，包括信用卡信息被竊取。這些事件，損害了企業(yè)聲譽(yù)，動(dòng)搖了客戶信心，給企業(yè)造成了直接的銷售損失。甚至威脅到了整個(gè)銀行卡在線支付業(yè)務(wù)模式的推廣。

于是，2004年12月15日，Visa、Master、American Express、Discover、JCB，五家企業(yè)聯(lián)合起來，成立了一個(gè)組織：支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（Payment Card Industry Security Standards Council，縮寫PCI SSC）。此時(shí)，這個(gè)委員會(huì)中的企業(yè)已經(jīng)有了各自的信息安全策略，他們在這個(gè)委員會(huì)中對信息安全策略進(jìn)行了統(tǒng)一，發(fā)布了：支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（Payment Card Industry Data Security Standard，縮寫PCI DSS）。這就是對WAF產(chǎn)品發(fā)展產(chǎn)生持續(xù)、強(qiáng)大驅(qū)動(dòng)力的PCI DSS，最早是Version 1.0，2006年9月升級(jí)為Version 1.1，2008年10月升級(jí)為Version 1.2，目前最新的PCI DSS是2009年8月發(fā)布的Version 1.2.1。

PCI DSS這一新的數(shù)據(jù)安全標(biāo)準(zhǔn)要求任何處理支付卡數(shù)據(jù)的零售商都必須滿足一系列嚴(yán)格的標(biāo)準(zhǔn)，如果不能做到“法規(guī)遵從”，則可能會(huì)遭受嚴(yán)厲的處罰和高額罰金。例如：

1、每個(gè)數(shù)據(jù)安全案件高達(dá) 500,000美元的罰款

2、由于未能符合頒布的標(biāo)準(zhǔn)而每天面臨 50,000 美元的罰金

3、對因賬號(hào)被盜用而造成的所有欺詐損失負(fù)責(zé)

4、對因信用卡被盜用而造成的重新發(fā)卡的成本負(fù)責(zé)

5、暫停商業(yè)賬戶

PCI DSS對WAF提出了明確要求：”All public-facing Web applications subject to either reviews of applications via manual or automated vulnerability assessment tools or methods, or installation of an application-layer firewall in front of public-facing Web applications.”

關(guān)于PCI DSS這個(gè)法規(guī)對WAF的驅(qū)動(dòng)，還有兩個(gè)方面需要注意：第一、PCI DSS除了提出了“部署WAF”的要求之外，還描述了許多詳細(xì)的功能要求（雖然并沒有說一定要通過WAF來實(shí)現(xiàn)，但很多功能用WAF來實(shí)現(xiàn)明顯是最理想的方法），這些功能要求成了WAF廠商，尤其是國外WAF廠商，技術(shù)發(fā)展的最重要考量（即PCI DSS合規(guī)）。第二、PCI DSS的影響力大大超出了支付卡行業(yè)，甚至在權(quán)威測試機(jī)構(gòu)的WAF產(chǎn)品通用測試標(biāo)準(zhǔn)（并不針對某個(gè)行業(yè)）中，也把PCI DSS作為參照。可以說，PCI DSS是驅(qū)動(dòng)WAF技術(shù)發(fā)展最重要的法規(guī)。

國內(nèi)

在大洋彼岸的中國，對WAF的需求又是怎樣的特點(diǎn)呢？現(xiàn)在回頭來看，真的就像我們中國人常說的：“具有中國特色”。

中國沒有完善的信用體系，信用卡在線支付到現(xiàn)在也不是很普及，其應(yīng)用成熟度跟美國根本無法相比（這一度令人們懷疑中國電子商務(wù)的發(fā)展，當(dāng)然，支付寶一類的方式解決了這個(gè)問題）。也許就是因?yàn)橹袊髽I(yè)遭遇“信用卡信息被竊取”這樣的情況比較少，在銀行業(yè)并沒有產(chǎn)生類似PCI DSS的法規(guī)，沒有對WAF產(chǎn)生強(qiáng)力驅(qū)動(dòng)。但是，“西方不亮東方亮”，網(wǎng)頁篡改事件在中國的大面積出現(xiàn)，成了WAF的主要驅(qū)動(dòng)力（這中間還有一個(gè) “插曲”，就是“網(wǎng)頁防篡改系統(tǒng)”的一度流行，這在后面會(huì)講到）。

CNCERT/CC（國家互聯(lián)網(wǎng)應(yīng)急中心）每個(gè)月都會(huì)發(fā)布《我國網(wǎng)站被篡改情況月度報(bào)告》，我們隨意抽取2010年2月的情況來看一下：

“2010年2月，我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量為2304個(gè)，與上月的1881個(gè)相比增長22%?！?/P>

“2010年2月，大陸地區(qū)政府網(wǎng)站被篡改的數(shù)量為403個(gè)，較上月的361個(gè)增長12%。”

網(wǎng)頁篡改的社會(huì)敏感性極高，尤其是對于政府門戶網(wǎng)站來說，此外，高校、企業(yè)、運(yùn)營商的網(wǎng)站也都出現(xiàn)過嚴(yán)重的網(wǎng)頁篡改事件。一時(shí)間，在中國大陸，“網(wǎng)頁篡改”就代表了Web安全威脅，迫切地需要解決方案。這時(shí)，先出現(xiàn)的解決方案是前面提到的“網(wǎng)頁防篡改系統(tǒng)”。

“網(wǎng)頁防篡改系統(tǒng)”是一套軟件，包括：Agent程序（安裝在Web服務(wù)器上）和集中管理程序（安裝在單獨(dú)的一臺(tái)服務(wù)器上，管理Agent的策略）。起初，這種解決方案很受歡迎，因?yàn)樗苯?，但是它的部署位置和基本原理決定了：它只對保護(hù)靜態(tài)頁面有很好的效果，而對于動(dòng)態(tài)頁面沒辦法保護(hù)，為此，有些“網(wǎng)頁防篡改”廠商提出在Web服務(wù)器上再安裝諸如“SQL注入防護(hù)模塊”的方案，但這會(huì)影響Web服務(wù)器性能，而且對動(dòng)態(tài)頁面的篡改方法遠(yuǎn)遠(yuǎn)不只是“SQL注入”，這種打補(bǔ)丁的方案從長遠(yuǎn)來看是不行的。而“網(wǎng)頁防篡改系統(tǒng)”的不足，恰恰是WAF的優(yōu)勢，它部署在網(wǎng)絡(luò)中，深入分析HTTP協(xié)議流量，全面防御各種Web安全威脅的同時(shí)，對Web服務(wù)器沒有任何干擾，實(shí)際上是治本的網(wǎng)頁防篡改解決方案。

無論如何，“網(wǎng)頁篡改”是中國大陸最顯著的Web安全事件，就好比在美國最顯著的Web安全事件是“信用卡信息竊取”一樣，加上2008年奧運(yùn)、2010年世博的大背景，國內(nèi)Web安全的焦點(diǎn)幾乎全聚集在防篡改上面了。在法規(guī)方面，2006年3月1日起施行的“互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定（公安部令第82號(hào)）”是影響比較大的國內(nèi)法規(guī)，其第九條、第三款規(guī)定：“開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的，能夠防范網(wǎng)站、網(wǎng)頁被篡改，被篡改后能夠自動(dòng)恢復(fù)”。這是國內(nèi)最接近對WAF產(chǎn)生驅(qū)動(dòng)力的法規(guī)描述了。在國內(nèi)部分行業(yè)Web應(yīng)用系統(tǒng)的安全規(guī)范中，例如：銀行業(yè)的網(wǎng)上銀行系統(tǒng)、運(yùn)營商網(wǎng)上營業(yè)廳系統(tǒng)，也都沒有對WAF提出明確的要求，要么還在要求傳統(tǒng)的“防火墻+IPS”方案，要么在要求治標(biāo)不治本的“網(wǎng)頁防篡改系統(tǒng)”方案。可以說，缺乏法規(guī)推動(dòng)，使得國內(nèi)WAF的應(yīng)用和發(fā)展落后于國外，但WAF在全面解決Web安全問題中的技術(shù)優(yōu)勢和潛力已經(jīng)在實(shí)踐中得到了越來越多的認(rèn)可，相信法規(guī)的出臺(tái)和推動(dòng)僅僅是時(shí)間問題。

分析

Web安全問題的技術(shù)根源和攻擊方法演進(jìn)在全球范圍內(nèi)是一樣的，但WAF成為Web安全問題主流解決方案的過程在國內(nèi)外走出了不同的軌跡。

在國外：信用卡信息竊?。ㄊ录稰CI DSS（法規(guī)）——》WAF

在國內(nèi)：網(wǎng)頁篡改（事件）——》82號(hào)令（法規(guī)）——》網(wǎng)頁防篡改產(chǎn)品——》WAF

事出必有因，國內(nèi)WAF的發(fā)展雖然看似比國外“慢了一拍”，但在這其中確實(shí)有特殊的需求，比如一旦網(wǎng)頁被篡改如何避免不良社會(huì)影響擴(kuò)散，這在國內(nèi)是極其重要的需求。綠盟科技的WAF產(chǎn)品在技術(shù)上具備國際先進(jìn)水平（PCI DSS合規(guī)），但因?yàn)槭紫确?wù)的是國內(nèi)客戶，所以認(rèn)真考慮了國內(nèi)客戶的關(guān)切，做出了許多創(chuàng)新的技術(shù)方案，例如：在綠盟科技WAF中運(yùn)用了基于“內(nèi)容預(yù)取”的網(wǎng)頁防篡改技術(shù)，在具備WAF一般功能的同時(shí)，著重解決了客戶“避免不良社會(huì)影響擴(kuò)散”的關(guān)切，可以說是一款“中西合璧”的WAF產(chǎn)品。

相信，WAF在國內(nèi)還會(huì)基于客觀的需求，走出一條具有中國特色的發(fā)展道路。

【編輯推薦】

1. 綠盟科技WAF解讀OWASP TOP10安全威脅
2. WAF vs IPS 誰更適合防護(hù)Web應(yīng)用？
3. web應(yīng)用防火墻(WAF)的安全原理與技術(shù)分析
4. Web Application Firewall(WAF)入門
5. 微軟ASP.NET爆高危漏洞 安恒信息明御WAF為您保駕護(hù)航