高防服务器

Web应用防火墙（WAF）也不同于入侵防御系统(IPS)，两者是完全不同的两种技术，后者是基于签名，而前者是从行为来分析，它能够防护用户自己无意中制造的漏洞。

目前Web应用防火墙的主要推动因素之一是支付卡行业数据安全标准(PCI DSS)，该标准主要通过两个办法来验证是否合规：WAF和代码审查。另外一个推动因素是，人们越来越多的认识到攻击已经开始由网络转移到应用程序。根据WhiteHat Security公布的一份研究报告，从2006年1月到2008年12月间对877个网站进行了评估，结果发现82%的网站至少存在一个高危或紧急安全漏洞。

Web应用防火墙的主要特性

Web应用防火墙市场仍然不确定，有很多不同的产品被归类到WAF范畴。研究机构Burton Group的分析师Ramon Krikken表示，“很多产品提供的功能远远超出了我们通常认为防火墙应该具有的功能，这使得产品的评价和比较难以进行。”此外，通过将已有的非WAF产品整合到综合产品中的方式，新厂商开始进入市场。

根据研究和咨询公司Xiom创始人Ofer Shezaf提供的清单，下面列出Web应用防火墙应该具备的功能特点：

·深入理解HTTP。Web应用防火墙必须全面深入分析和解析HTTP的有效性。

·提供明确的安全模型。明确的安全模型只允许已知流量通过，这就给应用程序提供了外部验证保护。

·应用层规则。由于高昂的维护费用，明确的安全模型应该配合基于签名的系统来运作。不过由于web应用程序是自定义编码，传统的针对已知漏洞的签名是无效的。Web应用防火墙规则应该是通用的，并且能够发现像SQL注入这样的攻击变种。

·基于会话的保护：HTTP的最大弱势之一在于缺乏嵌入式的可靠的会话机制。Web应用防火墙必须实现应用程序会话管理，并保护应用程序免受基于会话的攻击和超时攻击。

·允许细粒度政策管理。例外政策应该只对极少部分的应用程序执行，否则，可能会造成重大安全漏洞。