Web安全在企業網絡安全里的位置已經越來越重要，許多基于Web的攻擊如果不加以預防后果是十分嚴重的。那么配置Web防火墻就是企業當務之急。所謂Web防火墻如DDOS防護、SQL注入、XML注入、XSS等。由于是應用層而非網絡層的入侵，從技術角度都應該稱為Web IPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因為大家比較好理解，業界流行的稱呼而已。由于重點是防SQL注入，也有人稱為SQL防火墻。

Web防火墻產品部署在Web服務器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務，所以HA功能、Bypass功能都是必須的，而且還要與負載均衡、Web Cache等Web服務器前的常見的產品協調部署。

Web防火墻的主要技術的對入侵的檢測能力，尤其是對Web服務入侵的檢測，不同的廠家技術差別很大，不能以廠家特征庫大小來衡量，主要的還是看測試效果，從廠家技術特點來說，有下面幾種方式：

代理服務：

代理方式本身就是一種安全網關，基于會話的雙向代理，中斷了用戶與服務器的直接連接，適用于各種加密協議，這也是Web的Cache應用中最常用的技術。代理方式防止了入侵者的直接進入，對DDOS攻擊可以抑制，對非預料的“特別”行為也有所抑制。Netcontinuum(梭子魚)公司的WAF就是這種技術的代表。

特征識別：

識別出入侵者是防護他的前提。特征就是攻擊者的“指紋”，如緩沖區溢出時的Shellcode，SQL注入中常見的“真表達(1=1)”…應用信息沒有“標準”，但每個軟件、行為都有自己的特有屬性，病毒與蠕蟲的識別就采用此方式，麻煩的就是每種攻擊都自己的特征，數量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特征指數型地增長，安全界聲言要淘汰此項技術，但目前應用層的識別還沒有特別好的方式。

算法識別：

特征識別有缺點，人們在尋求新的方式。對攻擊類型進行歸類，相同類的特征進行模式化，不再是單個特征的比較，算法識別有些類似模式識別，但對攻擊方式依賴性很強，如SQL注入、DDOS、XSS等都開發了相應的識別算法。算法識別是進行語義理解，而不是靠“長相”識別。

模式匹配：

是IDS中“古老”的技術，把攻擊行為歸納成一定模式，匹配后能確定是入侵行為，當然模式的定義有很深的學問，各廠家都隱秘為“專利”。協議模式是其中簡單的，是按標準協議的規程來定義模式;行為模式就復雜一些，

Web防火墻最大的挑戰是識別率，這并不是一個容易測量的指標，因為漏網進去的入侵者，并非都大肆張揚，比如給網頁掛馬，你很難察覺進來的是那一個，不知道當然也無法統計。對于已知的攻擊方式，可以談識別率;對未知的攻擊方式，你也只好等他自己“跳”出來才知道。

【編輯推薦】

1. 黑客使用Web攻擊的八條原因
2. 防止入侵從Web應用安全漏洞做起
3. 社交網絡時代下的企業Web安全
4. 概述網頁掛馬原理與危害
5. 網頁掛馬之我的前生今世