細(xì)心的朋友應(yīng)該會發(fā)現(xiàn)，2010年各類應(yīng)用軟件的安全補丁開始多了起來。特別是Adobe的補丁，Adobe軟件安全漏洞曾在2009年大量曝出，Adobe軟件一下成為了黑客的新寵，其安全性備受人們關(guān)注，Adobe軟件公司在2010年開始時常推出用于修復(fù)Adobe Reader或者Acrobat軟件各類安全漏洞的補丁。

在2010年還有一個值得注意的安全動向是各類網(wǎng)頁掛馬、釣魚網(wǎng)站的流行，經(jīng)常有人誤點了被掛馬的鏈接，結(jié)果遭遇病毒木馬、惡意程序的入侵，或者是被釣魚網(wǎng)站所騙倒，網(wǎng)銀賬號密碼甚至是網(wǎng)銀里的錢款被騙走。

可以說，"應(yīng)用安全"成為了2010年安全的一個主題，而且主要集中在應(yīng)用軟件安全問題和Web應(yīng)用安全問題兩方面。應(yīng)用安全問題不僅存在于個人用戶中，在企業(yè)用戶里應(yīng)用安全問題也極為重要。2010年造成伊朗核設(shè)施部分停擺的惡意程序Stuxnet(也就是所謂的"超級工廠病毒")，正是利用了伊朗核設(shè)備工廠里的企業(yè)級應(yīng)用軟件西門子SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng)的漏洞，才成功實現(xiàn)入侵。而在國內(nèi)，近年來利用Web安全漏洞成為黑客攻擊的主流，很多網(wǎng)站都深受其害，人們關(guān)注的焦點也就主要集中在了Web應(yīng)用安全方面。從2008年開始國內(nèi)陸續(xù)有不少安全公司開始研發(fā)Web應(yīng)用防火墻，2009年的時候梭子魚就投入了幾百臺WAF(Web應(yīng)用防火墻)設(shè)備供用戶測試，到了2010年各家安全廠商也開始推出類似產(chǎn)品。

傳統(tǒng)防火墻與Web應(yīng)用防火墻的區(qū)別

傳統(tǒng)防火墻工作在網(wǎng)絡(luò)層，通過地址轉(zhuǎn)換、訪問控制以及狀態(tài)檢測等功能對企業(yè)網(wǎng)絡(luò)進(jìn)行防護(hù)。但對于應(yīng)用廣泛的Web服務(wù)器，傳統(tǒng)防火墻完全對外部網(wǎng)絡(luò)開發(fā)HTTP應(yīng)用端口，這種方式對Web應(yīng)用無法做到任何防護(hù)。

入侵檢測系統(tǒng)作為防火墻的有利補充，加強了網(wǎng)絡(luò)的安全防御能力。但是，入侵檢測技術(shù)的作用存在一定的局限性。由于需要預(yù)先構(gòu)造攻擊特征庫來匹配網(wǎng)絡(luò)數(shù)據(jù)，對于未知攻擊和或偽裝成正常流量的攻擊，入侵檢測系統(tǒng)不能檢測和防御。更重要的是，對于應(yīng)用系統(tǒng)中某一漏洞的目標(biāo)攻擊，他們沒有任何防御能力，因為這些攻擊沒有明顯的特征可供判斷。另外就是其技術(shù)實現(xiàn)的矛盾，如果需要防御更多的攻擊，那么就需要很多的規(guī)則，但是隨著規(guī)則的增多，系統(tǒng)出現(xiàn)的虛假報告（對于入侵防御系統(tǒng)來說，會產(chǎn)生中斷正常連接的問題）率會上升，同時，系統(tǒng)的效率會降低。

也正因此，Web應(yīng)用防火墻應(yīng)運而生。WEB應(yīng)用防火墻位于Web客戶端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ牛瑥亩l(fā)現(xiàn)違反預(yù)先定義好的安全策略的行為。WEB應(yīng)用防火墻具備事前預(yù)防、事中防護(hù)及事后補償?shù)木C合能力。以WEB應(yīng)用防火墻最為核心的事中防護(hù)能力為例，WEB應(yīng)用防火墻作為一種專業(yè)的Web安全防護(hù)工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對HTTP/HTTPS應(yīng)用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊(CSRF)、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障Web應(yīng)用的高可用性和可靠性。

Web應(yīng)用防火墻的發(fā)展目前有兩個方向，其一向高性能專業(yè)設(shè)備的方面發(fā)展，其二是朝Web應(yīng)用綜合網(wǎng)關(guān)的方面發(fā)展。梭子魚公司技術(shù)總監(jiān)谷新給出了自己對傳統(tǒng)防火墻與Web應(yīng)用防火墻的解讀，他認(rèn)為傳統(tǒng)防火墻和Web應(yīng)用防火墻的本質(zhì)區(qū)別在于，前者只是針對網(wǎng)絡(luò)協(xié)議的第三層網(wǎng)絡(luò)層、第四層傳輸層的訪問控制和攻擊防御，而后者深入到應(yīng)用層對所有應(yīng)用信息進(jìn)行過濾，是專門為保護(hù)基于Web的應(yīng)用程序而設(shè)計的。 例如梭子魚WEB應(yīng)用防火墻，為企業(yè)Web服務(wù)器和Web應(yīng)用提供全面的保護(hù)。梭子魚WEB應(yīng)用防火墻既可防范已知的對 Web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊，也能抵御住惡意攻擊或是目標(biāo)攻擊。此外，梭子魚產(chǎn)品的動態(tài)學(xué)習(xí)功能，可以自主的與企業(yè)的Web服務(wù)器互相通信，實時地自動學(xué)習(xí)和策略建模。由于梭子魚WEB應(yīng)用防火墻具備實時策略向?qū)Чδ?，能夠協(xié)助企業(yè)網(wǎng)絡(luò)管理人員自定義策略，讓管理人員對當(dāng)前的策略擁有完全的掌控權(quán)，所以所有違背ACL的行為都可以輕松得被企業(yè)的網(wǎng)管人員捕捉到。

Web應(yīng)用防火墻的選擇

◆WASP(開放式Web應(yīng)用程序安全項目組織)就有關(guān)Web應(yīng)用防火墻的選擇給出了一個參考標(biāo)準(zhǔn)：

◆很少出現(xiàn)誤報(例如，不應(yīng)該拒絕授權(quán)請求等)

◆默認(rèn)防御的強度

◆容易操作模式

◆可以預(yù)防的漏洞類型

◆能夠限制個人用戶只能在當(dāng)前對話中所看到的內(nèi)容

◆配置預(yù)防特定問題的能力，如緊急補丁等

◆WAF提供形式：軟件與硬件(一般偏好硬件)

Web應(yīng)用防火墻(WAF)市場現(xiàn)在標(biāo)準(zhǔn)并不統(tǒng)一，很多不同的產(chǎn)品被歸類到WAF范疇。研究機構(gòu)Burton Group分析師Ramon Krikken認(rèn)為，"很多產(chǎn)品提供的功能遠(yuǎn)遠(yuǎn)超出了我們通常認(rèn)為防火墻應(yīng)該具有的功能，這使得產(chǎn)品的評價和比較難以進(jìn)行。"

谷新表示標(biāo)準(zhǔn)的Web應(yīng)用防火墻需要具備四大功能，即安全防護(hù)功能、加速功能以及可擴(kuò)展性、IP審計。另外根據(jù)研究和咨詢公司Xiom創(chuàng)始人ofer Shezaf提供的清單，下面列出Web應(yīng)用防火墻應(yīng)該具備的特性：深入理解HTTP、提供明確的安全模型、應(yīng)用層規(guī)則、基于會話的保護(hù)、允許細(xì)粒度政策管理。