Web应用程序防火墙将遍布每个角落

　　Web应用防护系统（也称：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备；从防火墙角度来看，WAF是一种防火墙的功能模块；还有人把WAF看作“深度检测防火墙”的增强。（深度检测防火墙通常工作在的网络的第三层以及更高的层次，而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。）

　　传统网络防火墙

　　Bill Cheswick在1990年发表了一篇题为"安全互联网网关设计"的论文，他在论文中描述了一种将企业网络和互联网隔离开的系统，只允许特定的服务穿越它控制的边界，网关的目的是保护弱配置的企业系统，免受外部攻击。

　　Marcus Ranum在1992年发表了一篇题为"网络防火墙"的论文，他在论文中强调在互联网和企业网络之间架设安全网关作为防火墙的需求，预防不怀好意的人访问私有网络中的主机，Marcus解释了这样做的好处："这是确保一个系统尽可能安全的办法，如果安全漏洞在邮件程序中，立即修复它将会强化整个网络的安全，但在一个完全连接到互联网的站点中，必须将网络上的每个系统都打上补丁"。

　　传统网络防火墙的设计者意识到，维护太多企业系统使得很难安全地配置它们，安全遵循水桶原则，只要网络中有一个小小的漏洞，攻击者就能破坏整个网络的安全。

　　Web应用程序防火墙

　　上世纪90年代后期，Web应用程序开始成为企业越来越重要的角色，但也一直受自身漏洞的折磨，为了解决代码级的缺陷，人们想了很多办法，但效果并不理想，自从WAF诞生后，人们终于看到了希望，于是纷纷转向WAF。

　　Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。修补Web安全漏洞，是Web应用开发者头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。

　　在1999年发布的一篇论文中，Eran介绍了互联网应用程序安全产品，他写道："在程序运行期间，通过推断应用程序级的安全策略，自动保护电子商务应用程序，并针对每个入站请求执行这些策略，目标是让应用程序得到即时的保护，即使在设计和实现阶段没有考虑安全因素"。

　　WAF的现状和未来

　　WAF技术正变得越来越成熟，企业开始感受到它带来的好处，越来越多的商业和的WAF工具出现在市场上，很快，在服务器环境中，WAF将和传统网络防火墙一样普及开来，随着市场的成熟，我预计WAF功能将会被集成到网络边界安全设备中，，WAF可能内置于它保护的应用程序中，许多现代计算机系统通常带有主机级的防火墙。