Web应用防火墙四大功能

　　对Web应用防火墙来说，2009年是幸运的一年，因为市场的井喷令所有安全企业兴奋异常。不过需要指出的是，并非对Web服务器提供保护的“盒子”都是Web应用防火墙。事实上，一个标准的Web应用防火墙至少需要具备四大功能。

　　第一，安全防护。这很好理解，对于针对Web服务器的攻击要具备防御能力，同时还要对数据泄密具备监管能力。

　　第二，加速。除了防护以外，企业用户在网络之中，需要对应用的运转效率进行控制，比如对TCP协议的缓冲，对SSL VPN的加速，对访问管理的卸载，Web应用防火墙必须能够提供相应的加速能力。

　　第三，可扩展性。Web应用防火墙在后台连接的时候和Web服务器相关，但不能仅仅防护一台服务器。事实上很多企业的Web服务器数量庞大，Web应用防火墙需要对应用交付和负载均衡提供支持。

　　第四，IP审计。Web应用防火墙本身对所有流量进行过滤的时候，本身必须具备一套策略----哪些流量需要阻断，哪些可以放过。这些相关的策略标准与策略模型需要对企业流行的应用进行支持。

　　Web应用防火墙三种技术

　　从技术上看，当前市场中的Web应用防火墙分为三种技术类型。第一类是加强型的IPS技术，相当于深度包检测。早期的IPS在包过滤上不是很细致，后来在Web上做了更深入的包检测功能。

　　第二类是基于黑名单的技术模型。一些安全公司根据以往的经验，统计全球范围内的攻击人和攻击地区，并基于已知威胁的黑名单进行过滤。只要攻击是来自黑名单之上的，就可以进行过滤。

　　第三类是基于策略的技术模型。这种产品的设计出发点，是围绕Web应用去进行产品设计的，而不是单纯的去解决Web安全的某一方面问题。其产品设计思路本身基于策略，比如针对Gartner给出的十大类的策略模型。这类产品可以对整个后台系统进行自动监测。除了本身的黑名单，更多是策略。此外要集成应用加速和负载均衡的模块。

　　Web应用防火墙新的范畴

　　从技术发展上看，很多Web应用防火墙已经脱离了防火墙本身的范畴了。可以理解为一个Web应用交付平台了。目前真正基于策略的防火墙，还是国外厂商的天下，如F5、Citrix、梭子鱼Netcontinuum。遗憾的是，国内厂商目前还看不到类似的结构。

　　Web应用防火墙目前的挑战在于客户接受度。当用户听到Web应用防火墙的时候，必然会想到这种产品与传统防火墙的差异。从设计思路来说，Web应用防火墙与传统防火墙完全不一样。传统防火墙相对简单，可以当作一个硬件盒子进行销售。但是Web应用防火墙是基于策略的，不仅仅是硬件，它与企业的Web安全咨询密切相关，需要与咨询服务结合起来使用。

　　从渠道的情况看，普通防火墙基于传统的安全分销商。但是这些渠道去销售Web应用防火墙却很吃力，因为他们无法了解企业的应用，比如OA的特点，MIS是什么系统，ERP怎么运作等。

　　Web应用防火墙的定义已经不能用传统的防火墙定义加以衡量了。为此，Gartner提出了应用交付的概念。其核心就是对整个企业安全的衡量，已经无法适用单一的标准了，需要将加速、平衡性、安全等各种要素融合在一起。此后还要进行细分，比如Web应用交付网络、邮件应用交付网络，这些都是针对企业的具体应用提供的硬件或解决方案平台。换言之，用户在面对Web应用防火墙的时候，需要考虑自身的应用特点，结合企业的实际情况获取安全价值。