雖然Web應(yīng)用防火墻（WEB應(yīng)用防火墻）的名字中有"防火墻"三個字，但WEB應(yīng)用防火墻和傳統(tǒng)防火墻是完全不同的產(chǎn)品，和Web安全網(wǎng)關(guān)也有很大區(qū)別。梭子魚公司技術(shù)總監(jiān)谷新認為，傳統(tǒng)防火墻只是針對一些底層（網(wǎng)絡(luò)層、傳輸層）的信息進行阻斷，而WEB應(yīng)用防火墻則深入到應(yīng)用層，對所有應(yīng)用信息進行過濾，這是WEB應(yīng)用防火墻和傳統(tǒng)防火墻的本質(zhì)區(qū)別。WEB應(yīng)用防火墻與Web安全網(wǎng)關(guān)的差異在于，后者保護企業(yè)的上網(wǎng)行為免受侵害，而WEB應(yīng)用防火墻是專門為保護基于Web的應(yīng)用程序而設(shè)計的。

WEB應(yīng)用防火墻位于Web客戶端和Web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ牛瑥亩l(fā)現(xiàn)違反預先定義好的安全策略的行為。WEB應(yīng)用防火墻具備事前預防、事中防護及事后補償?shù)木C合能力。以WEB應(yīng)用防火墻最為核心的事中防護能力為例，WEB應(yīng)用防火墻作為一種專業(yè)的Web安全防護工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應(yīng)對HTTP/HTTPS應(yīng)用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊（CSRF）、Cookie篡改以及應(yīng)用層DDoS等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障Web應(yīng)用的高可用性和可靠性。

一個標準的WEB應(yīng)用防火墻至少需要具備三大功能：

第一，安全防護。不但對于針對Web服務(wù)器的攻擊要具備防御能力，還要對數(shù)據(jù)泄密具備監(jiān)管能力，可以進行IP審計。

第二，加速。除了防護以外，企業(yè)用戶在網(wǎng)絡(luò)之中，需要對應(yīng)用的運轉(zhuǎn)效率進行控制，比如對TCP協(xié)議的緩沖，對SSL VPN的加速，對訪問管理的卸載，WEB應(yīng)用防火墻必須能夠提供相應(yīng)的加速能力。

第三，可擴展性。WEB應(yīng)用防火墻在后臺連接的時候和Web服務(wù)器相關(guān)，但不能僅僅防護一臺服務(wù)器。事實上很多企業(yè)的Web服務(wù)器數(shù)量龐大，WEB應(yīng)用防火墻需要對應(yīng)用交付和負載均衡提供支持。

WEB應(yīng)用防火墻不僅可以檢測已知類型的攻擊，還可以發(fā)現(xiàn)異常的使用模式并阻止目前未知的攻擊方法。例如，通常Web應(yīng)用程序與Web客戶端的信息交流數(shù)量是有限的。如果WEB應(yīng)用防火墻檢測到Web服務(wù)器正在返回一個比預期大很多的數(shù)據(jù)量，它就會及時切斷傳輸，以防止更多的數(shù)據(jù)泄露。

【編輯推薦】

1. WEB應(yīng)用防火墻之前世今生——緣起
2. 解讀Web應(yīng)用防火墻
3. WEB應(yīng)用防火墻網(wǎng)站整體防護的破解方法
4. 微軟0day漏洞 綠盟科技Web應(yīng)用防火墻提供零配置防護