早在2004年，國外一些安全廠商就提出了WEB應用防火墻（Web Application Firewall，簡稱WAF）的概念，并開始了逐步的嘗試，但當時很多企業(yè)用戶對此的認識還比較模糊。隨著互聯(lián)網的普及，企業(yè)的Web應用越來越多，而來自于Web的信息安全風險也越發(fā)突出。

由于美國的各種企業(yè)都有自己的Web應用系統(tǒng)來為客戶提供在線支付，而這些Web應用系統(tǒng)中具有較高商業(yè)價值的數(shù)據引起了黑客的高度關注，出現(xiàn)了許多安全事件，包括信用卡信息被竊取。不但給企業(yè)造成了直接損失，還威脅到了整個銀行卡在線支付業(yè)務模式的推廣。

于是，支付卡行業(yè)安全標準委員會發(fā)布了支付卡行業(yè)數(shù)據安全標準（Payment Card Industry Data Security Standard，PCI DSS）。PCI DSS法規(guī)6.6要求機構檢查自身Web應用程序的所有代碼，或者安裝一個WAF來防范已知的攻擊方式。該法規(guī)對WAF產品的發(fā)展產生了持續(xù)、強大的驅動力。國外的所有WAF廠商都把符合PCI DSS法規(guī)看作是產品最重要的技術指標。

現(xiàn)在，在權威測試機構的WAF產品通用測試標準（并不針對某個行業(yè)）中，也把PCI DSS作為參照。憑借PCI DSS法規(guī)的大力支持，在2008年，國外WAF應用進入了成熟化與普及化時代。目前最新的PCI DSS是2009年8月發(fā)布的1.2.1版本。

由于WEB應用防火墻的名字中有"防火墻"三個字，所以有很多用戶總是把WAF看作是一種新的防火墻。實際上，WEB應用防火墻、傳統(tǒng)防火墻、Web安全網關這三者之間有很大的差別，它們在不同的層面保護企業(yè)安全。我們上文提到的梭子魚網絡有限公司，其中國區(qū)技術總監(jiān)谷新先生就曾對此做過詳細解釋，傳統(tǒng)防火墻專注在網絡層面，提供IP、端口防護。Web安全網關保護企業(yè)的上網行為免受侵害。而WAF是專門為保護基于Web的應用程序而設計的，它不像傳統(tǒng)的防火墻基于互聯(lián)網地址和端口號來監(jiān)控和阻止數(shù)據包。企業(yè)將WAF部署在Web服務器之前，就是從網站應用的角度去考慮安全問題。

WAF檢查每一個傳入的數(shù)據包的內容來檢測SQL注入、跨站點腳本、會話劫持、篡改參數(shù)或URL等類型的攻擊。例如，WAF會掃描SQL查詢字符串，來檢測和刪除那些導致返回的數(shù)據多于應用程序要求的字符串。

【編輯推薦】

1. 解讀Web應用防火墻
2. 應對復雜網絡攻擊我有WEB應用防火墻
3. Web應用防火墻將瞄準0day攻擊防御不得不看
4. WEB應用防火墻網站整體防護的破解方法