雖然Web應(yīng)用防火墻（WEB應(yīng)用防火墻）的名字中有"防火墻"三個(gè)字，但WEB應(yīng)用防火墻和傳統(tǒng)防火墻是完全不同的產(chǎn)品，和Web安全網(wǎng)關(guān)也有很大區(qū)別。梭子魚公司技術(shù)總監(jiān)谷新認(rèn)為，傳統(tǒng)防火墻只是針對一些底層（網(wǎng)絡(luò)層、傳輸層）的信息進(jìn)行阻斷，而WEB應(yīng)用防火墻則深入到應(yīng)用層，對所有應(yīng)用信息進(jìn)行過濾，這是WEB應(yīng)用防火墻和傳統(tǒng)防火墻的本質(zhì)區(qū)別。WEB應(yīng)用防火墻與Web安全網(wǎng)關(guān)的差異在于，后者保護(hù)企業(yè)的上網(wǎng)行為免受侵害，而WEB應(yīng)用防火墻是專門為保護(hù)基于Web的應(yīng)用程序而設(shè)計(jì)的。

WEB應(yīng)用防火墻位于Web客戶端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ?，從而發(fā)現(xiàn)違反預(yù)先定義好的安全策略的行為。WEB應(yīng)用防火墻具備事前預(yù)防、事中防護(hù)及事后補(bǔ)償?shù)木C合能力。以WEB應(yīng)用防火墻最為核心的事中防護(hù)能力為例，WEB應(yīng)用防火墻作為一種專業(yè)的Web安全防護(hù)工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對HTTP/HTTPS應(yīng)用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊（CSRF）、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障Web應(yīng)用的高可用性和可靠性。

一個(gè)標(biāo)準(zhǔn)的WEB應(yīng)用防火墻至少需要具備三大功能：

第一，安全防護(hù)。不但對于針對Web服務(wù)器的攻擊要具備防御能力，還要對數(shù)據(jù)泄密具備監(jiān)管能力，可以進(jìn)行IP審計(jì)。

第二，加速。除了防護(hù)以外，企業(yè)用戶在網(wǎng)絡(luò)之中，需要對應(yīng)用的運(yùn)轉(zhuǎn)效率進(jìn)行控制，比如對TCP協(xié)議的緩沖，對SSL VPN的加速，對訪問管理的卸載，WEB應(yīng)用防火墻必須能夠提供相應(yīng)的加速能力。

第三，可擴(kuò)展性。WEB應(yīng)用防火墻在后臺(tái)連接的時(shí)候和Web服務(wù)器相關(guān)，但不能僅僅防護(hù)一臺(tái)服務(wù)器。事實(shí)上很多企業(yè)的Web服務(wù)器數(shù)量龐大，WEB應(yīng)用防火墻需要對應(yīng)用交付和負(fù)載均衡提供支持。

WEB應(yīng)用防火墻不僅可以檢測已知類型的攻擊，還可以發(fā)現(xiàn)異常的使用模式并阻止目前未知的攻擊方法。例如，通常Web應(yīng)用程序與Web客戶端的信息交流數(shù)量是有限的。如果WEB應(yīng)用防火墻檢測到Web服務(wù)器正在返回一個(gè)比預(yù)期大很多的數(shù)據(jù)量，它就會(huì)及時(shí)切斷傳輸，以防止更多的數(shù)據(jù)泄露。

【編輯推薦】

1. WEB應(yīng)用防火墻之前世今生——緣起
2. 解讀Web應(yīng)用防火墻
3. WEB應(yīng)用防火墻網(wǎng)站整體防護(hù)的破解方法
4. 微軟0day漏洞 綠盟科技Web應(yīng)用防火墻提供零配置防護(hù)