Web应用的日益普及和Web攻击的与日俱增，让Web安全问题备受关注。但对于正常流量中的危险分子，传统的安全产品根本无能为力，此时，我们该靠什么来保护Web应用？Web应用防火墙无疑是最佳之选。但Web应用防火墙究竟是什么？它和传统的安全产品有什么不同？应用起来又有要注意什么？请看《走出Web应用防火墙认识误区》系列文章。

WAF是强不是墙

早在2004年，国外一些安全厂商就提出了Web应用防火墙（Web Application Firewall，简称WAF）的概念，并开始了逐步的尝试（例如梭子鱼网络有限公司将Netcontinuum公司纳入旗下，当时的Netcontinuum就是这一领域的先行者，其解决方案包含网站的网络应用安全、通信管理和SSL加速等）。支付卡行业安全标准委员会也发布了支付卡行业数据安全标准（PCI DSS），这让Web应用防火墙开始被越来越多的人所熟知。但因为业界一直缺乏明确的标准，有些安全产品也能够在一定层次上保护某些Web应用，人们对Web应用防火墙的认识一直处于“雾里看花”的状态，在很多问题上都很困惑。
那么，Web应用防火墙既然也叫“防火墙”，是不是和传统防火墙差不多？它和IPS产品又有什么区别？网页防篡改产品也能保护Web应用，它是不是也可以算是Web应用防火墙的一种？

WAF不同于传统防火墙
传统防火墙的弱点在于：工作在三四层，攻击可以从80或443端口顺利通过防火墙检测。
由于Web应用防火墙的名字中有“防火墙”三个字，所以很多用户都很困惑，我的网络中已经有了防火墙，再引入Web应用防火墙，是不是属于重复投资？
实际上，Web应用防火墙和传统意义上的防火墙，然名字中都有“防火墙”三个字，但它们属于两类完全不同的产品，不能互相替代。
从部署位置上看，传统防火墙需要架设在网关处，而Web应用防火墙则部署在Web客户端和Web服务器之间。
从防范内容来看，传统防火墙只是针对一些底层（网络层、传输层）的信息进行阻断，提供IP、端口防护，对应用层不做防护和过滤；而Web应用防火墙则专注在应用核心层，对所有应用信息进行过滤，从而发现违反预先定义好的安全策略的行为。
Web应用防火墙作为一种专业的Web安全防护工具，基于对HTTP/HTTPS流量的双向解码和分析，可应对HTTP/HTTPS应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击（CSRF）、Cookie篡改以及应用层DDoS等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障Web应用的高可用性和可靠性。

WAF不同于IPS
IPS入侵防御的弱点在于它基于已知漏洞和攻击行为的防护，而且不能终止和处理SSL流量。
Web应用防火墙的与众不同之处在于它对Web应用的理解，对HTTP协议的深刻理解，和对应用层攻击的理解。
与传统防火墙/IPS设备相比，WAF最显著的技术差异性体现在：
1.对HTTP有本质的理解：能完整地解析HTTP，支持各种HTTP编码，提供严格的HTTP协议验证，提供HTML限制，支持各类字符集编码，具备response过滤能力。
2.提供应用层规则：Web应用通常是定制化的，传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则，且具备检测变形攻击的能力，如检测SSL加密流量中混杂的攻击。
3.提供正向安全模型（白名单模型）：仅允许已知有效的输入通过，为Web应用提供了一个外部的输入验证机制，安全性更为可靠。
4.提供会话防护机制：防护基于会话的攻击类型，如Cookie篡改及会话劫持攻击。

WAF不局限于网页防篡改
网页防篡改的弱点在于对于攻击行为并不进行分析，也不阻止攻击的发生。
不可否认，网页被篡改是目前最直观的Web安全问题，无论是政府网站、高校网站，还是运营商网站、企业网站，都曾出现过严重的网页篡改事件，这让网页防篡改产品开始映入人们的眼帘。
但网页防篡改系统是一种软件解决方案，它的防护效果直接，但是只能保护静态页面，而无法保护动态页面。
而网页防篡改系统的不足，恰恰是Web应用防火墙的优势。WAF部署在网络中，深入分析HTTP协议流量，在全面防御各种Web安全威胁的同时，对Web服务器没有任何干扰，从根本上解决了包括网页篡改在内的主要Web安全问题。

文章如转载，请注明转载自：http://www.5iadmin.com/post/843.html