普通防火墙与Web应用防火墙的对比
(Web应用防火墙)旨在保护Web应用程序避免受到跨站脚本攻击和SQL注入攻击等常见的威胁。

网络防火墙是防御网络周边环境的，虽然一些传统的防火墙提供了某种程度的应用程序熟悉能力，但是，传统防火墙没有Web应用防火墙提供的那样精细和具体。

例如，Web应用防火墙能够检测一个应用程序是否按照它设计的方式工作，它能够让你编写具体的规则防止再次发生这种工具。

，Web应用防火墙与入侵防御系统不同。

它是一个完全不同的技术，不是以特征为基础的，而是以行为为基础的，防止你自己意外制造的安全漏洞。

金融危机促使Web应用防火墙走强
2010-06-11 17:50出处：比特网作者：佚名【我要评论】[导读]此前笔者一直表示，2009年安全大黑马非Web应用防火墙莫数。

事实上，进入五月份以来，很多Web应用防火墙厂家的工程师已经处于应接不暇的状态。

此前笔者一直表示，2009年安全大黑马非Web应用防火墙莫数。

事实上，进入五月份以来，很多Web应用防火墙厂家的工程师已经处于应接不暇的状态。

对此记者专门走访了众多厂商，结果看到的是井喷的订单与密集的出差行程，这无不凸显出眼下Web应用防火墙市场的炙热。

细心的读者也许还记得，此前记者曾担心国内企业用户对于Web应用防火墙的理解程度。

毕竟去年曾经出现过很多用户无法分辨Web应用防火墙与普通防火墙的差异。

特别是今年年初，随着山寨气氛越炒越热，在Web应用防火墙上也出现了名不副实的山寨产品，并一度令记者十分紧张。

不过令人吃惊的是，广大企业用户对此的反应真的是处变不惊。

此前梭子鱼中国区总经理何平先生在接受本报独家专访时表示，当前越来越多的企业用户开始主动联系安全厂商，请求厂商为其搭建符合自身应用特点的Web保护方案。

而且不少用户已经把这部分预算列入了2009年的固定开支中去。

要知道，在金融危机阴影尚未散尽的今天，用户的反映着实令记者吃惊。

对此何平的看法是，与硬件盒子一样的传统防火墙不同，Web应用防火墙不是单一产品，本身是基于策略的产品，需要结合企业的Web应用进行具体的安全咨询。

安全厂商需要对企业的各种内部应用非常了解，比如对OA、MIS、ERP等应用的支持。

因此当初Gartner 就曾提出更加综合的应用交付网络的概念，将安全、加速、管理等集成在一起，实现完整的Web保护。

记者发现，很多企业在购买普通防火墙的时候，往往是从同行业企业中打听经验，寻找价格差异，有些时候依靠流行度去购买。

但是在选择Web应用防火墙的时候，则是企业的IT经理带着问题去找方案进行解决，采购的认真与周密令人肃然起敬。

之前有专家介绍说，当前Web应用防火墙从全球范围内已经进入部署的高峰期，准确地说是第二波浪潮的开始。

以美国为例，早先是在美国能源部使用，确保能源安全，之后过渡到一些普通政府部门使用，最后到纽约市的卫生局都开始采购。

特别是2008年PCI法案通过之后，要求提供信用卡网上支付超过一定营业额的企业，都需要配置Web应用防火墙。

可以说，国外Web应用防火墙进入了成熟化与普及化时代。

从国内来看，Web应用防火墙市场拉升同样明显。

一方面金融危机导致传统的Web攻击更加疯狂，趋利性更加明显，企业的数据资产亟需保护;另一方面从2008年底至今，大量企业、政府的网站遭遇Web攻击潮，如三鹿网站事件等，用户认识到传统的防火墙、IPS、网页防篡改设备都无法彻底阻止网络攻击，使得国内的行业用户对Web应用的防护意识与意愿更加迫切
原文出自【比特网】，转载请保留原文链接：/172/11374172.shtml
普通防火墙加Web应用防火墙
前面的普通防火墙主要是做下包过滤，后面的那个web应用防火墙是主要过滤攻击的设备。

只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层（网络层、传输层）的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。

WAF的运行基础是应用层访问控制列表。

整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。

IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。

Web防火墙的主要技术的对入侵的检测能力，尤其是对Web服务入侵的检测，不同的厂家技术差别很大，不能以厂家特征库大小来衡量，主要的还是看测试效果，从厂家技术特点来说，有下面几种方式：
◆代理服务：代理方式本身就是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。

代理方式防止了入侵者的直接进入，对DDOS攻击可以抑制，对非预料的“特别”行为也有所抑制。

Netcontinuum(梭子鱼)公司的WAF就是这种技术的代表。

◆特征识别：识别出入侵者是防护他的前提。

特征就是攻击者的“指纹”，如缓冲区溢出时的Shellcode，SQL注入中常见的“真表达(1=1)”…应用信息没有“标准”，但每个软件、行为都有自己的特有属性，病毒与蠕虫的识别就采用此方式，麻烦的就是每种攻击都自己的特征，数量比较庞大，多了也容易相象，误报的可能性也大。

虽然目前恶意代码的特征指数型地增长，安全界声言要淘汰此项技术，但目前应用层的识别还没有特别好的方式。

◆算法识别：特征识别有缺点，人们在寻求新的方式。

对攻击类型进行归类，相同类的特征进行模式化，不再是单个特征的比较，算法识别有些类似模式识别，但对攻击方式依赖性很强，如SQL注入、DDOS、XSS等都开发了相应的识别算法。

算法识别是进行语义理解，而不是靠“长相”识别。

◆模式匹配：是IDS中“古老”的技术，把攻击行为归纳成一定模式，匹配后能确定是入侵行为，当然模式的定义有很深的学问，各厂家都隐秘为“专利”。

协议模式是其中简单的，
是按标准协议的规程来定义模式;行为模式就复杂一些，Web防火墙最大的挑战是识别率，这并不是一个容易测量的指标，因为漏网进去的入侵者，并非都大肆张扬，比如给网页挂马，你很难察觉进来的是那一个，不知道当然也无法统计。

对于已知的攻击方式，可以谈识别率;对未知的攻击方式，你也只好等他自己“跳”出来才知道。

Web应用防火墙的定义已经不能用传统的防火墙定义加以衡量了。

为此，Gartner提出了应用交付的概念。

其核心就是对整个企业安全的衡量，已经无法适用单一的标准了，需要将加速、平衡性、安全等各种要素融合在一起。

此后还要进行细分，比如Web应用交付网络、邮件应用交付网络，这些都是针对企业的具体应用提供的硬件或解决方案平台。

换言之，用户在面对Web应用防火墙的时候，需要考虑自身的应用特点，结合企业的实际情况获取安全价值。