WAF(Web應(yīng)用程序防火墻)在企業(yè)環(huán)境中變得越來越普及,，成為網(wǎng)站保護(hù)的救命稻草,，傳統(tǒng)防火墻在這方面已經(jīng)力不從心，WAF的最大優(yōu)勢在于,，它們可以給有漏洞的Web應(yīng)用程序?qū)嵤┨摂M補(bǔ)丁,。我預(yù)計WAF會在服務(wù)器環(huán)境中和傳統(tǒng)防火墻一樣成為司空見慣的東西。

傳統(tǒng)網(wǎng)絡(luò)防火墻

Bill Cheswick在1990年發(fā)表了一篇題為"安全互聯(lián)網(wǎng)網(wǎng)關(guān)設(shè)計"的論文,，他在論文中描述了一種將企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離開的系統(tǒng),，只允許特定的服務(wù)穿越它控制的邊界，網(wǎng)關(guān)的目的是保護(hù)弱配置的企業(yè)系統(tǒng),，免受外部攻擊,，Bill解釋："隨著工作站的增多，系統(tǒng)管理通常很分散,，很容易被忽視,，弱密碼隨處可見，許多人安裝操作系統(tǒng)后就再也不管它,，系統(tǒng)因漏洞未補(bǔ)向攻擊者敞開大門",。

Marcus Ranum在1992年發(fā)表了一篇題為"網(wǎng)絡(luò)防火墻"的論文，他在論文中強(qiáng)調(diào)在互聯(lián)網(wǎng)和企業(yè)網(wǎng)絡(luò)之間架設(shè)安全網(wǎng)關(guān)作為防火墻的需求,，預(yù)防不懷好意的人訪問私有網(wǎng)絡(luò)中的主機(jī),，Marcus解釋了這樣做的好處："這是確保一個系統(tǒng)盡可能安全的唯一辦法，如果安全漏洞在郵件程序中,，立即修復(fù)它將會強(qiáng)化整個網(wǎng)絡(luò)的安全,，但在一個完全連接到互聯(lián)網(wǎng)的站點(diǎn)中，必須將網(wǎng)絡(luò)上的每個系統(tǒng)都打上補(bǔ)丁",。

傳統(tǒng)網(wǎng)絡(luò)防火墻的設(shè)計者意識到,，維護(hù)太多企業(yè)系統(tǒng)使得很難安全地配置它們，安全遵循水桶原則,，只要網(wǎng)絡(luò)中有一個小小的漏洞,，攻擊者就能破壞整個網(wǎng)絡(luò)的安全。

Web應(yīng)用程序防火墻

上世紀(jì)90年代后期,，Web應(yīng)用程序開始成為企業(yè)越來越重要的角色,，但也一直受自身漏洞的折磨,，為了解決代碼級的缺陷，人們想了很多辦法,，但效果并不理想,，自從WAF誕生后，人們終于看到了希望,，于是紛紛轉(zhuǎn)向WAF,。

1999年有一篇文章介紹了AppShield，一個由Eran Reshef創(chuàng)建的HTTP過濾器,，部署在Web應(yīng)用程序前端過濾惡意訪問行為,，如拒絕偽造的輸入字符，常見的CGI緩沖區(qū)溢出漏洞以前曾是服務(wù)器管理員的噩夢,，有了AppShield后,，終于可以安心睡覺了。

在1999年發(fā)布的一篇論文中,，Eran介紹了互聯(lián)網(wǎng)應(yīng)用程序安全產(chǎn)品,，他寫道："在程序運(yùn)行期間，通過推斷應(yīng)用程序級的安全策略,，自動保護(hù)電子商務(wù)應(yīng)用程序,，并針對每個入站請求執(zhí)行這些策略，目標(biāo)是讓應(yīng)用程序得到即時的保護(hù),，即使在設(shè)計和實(shí)現(xiàn)階段沒有考慮安全因素",。

WAF的現(xiàn)狀和未來

WAF技術(shù)正變得越來越成熟，企業(yè)開始感受到它帶來的好處,，越來越多的商業(yè)和免費(fèi)的WAF工具出現(xiàn)在市場上,，很快，在服務(wù)器環(huán)境中,，WAF將和傳統(tǒng)網(wǎng)絡(luò)防火墻一樣普及開來,，隨著市場的成熟，我預(yù)計WAF功能將會被集成到網(wǎng)絡(luò)邊界安全設(shè)備中,，最后,，WAF可能內(nèi)置于它保護(hù)的應(yīng)用程序中，許多現(xiàn)代計算機(jī)系統(tǒng)通常帶有主機(jī)級的防火墻,。