細心的朋友應該會發現，2010年各類應用軟件的安全補丁開始多了起來。特別是Adobe的補丁，Adobe軟件安全漏洞曾在2009年大量曝出，Adobe軟件一下成為了黑客的新寵，其安全性備受人們關注，Adobe軟件公司在2010年開始時常推出用于修復Adobe Reader或者Acrobat軟件各類安全漏洞的補丁。

在2010年還有一個值得注意的安全動向是各類網頁掛馬、釣魚網站的流行，經常有人誤點了被掛馬的鏈接，結果遭遇病毒木馬、惡意程序的入侵，或者是被釣魚網站所騙倒，網銀賬號密碼甚至是網銀里的錢款被騙走。

可以說，"應用安全"成為了2010年安全的一個主題，而且主要集中在應用軟件安全問題和Web應用安全問題兩方面。應用安全問題不僅存在于個人用戶中，在企業用戶里應用安全問題也極為重要。2010年造成伊朗核設施部分停擺的惡意程序Stuxnet(也就是所謂的"超級工廠病毒")，正是利用了伊朗核設備工廠里的企業級應用軟件西門子SIMATIC WinCC監控與數據采集(SCADA)系統的漏洞，才成功實現入侵。而在國內，近年來利用Web安全漏洞成為黑客攻擊的主流，很多網站都深受其害，人們關注的焦點也就主要集中在了Web應用安全方面。從2008年開始國內陸續有不少安全公司開始研發Web應用防火墻，2009年的時候梭子魚就投入了幾百臺WAF(Web應用防火墻)設備供用戶測試，到了2010年各家安全廠商也開始推出類似產品。

傳統防火墻與Web應用防火墻的區別

傳統防火墻工作在網絡層，通過地址轉換、訪問控制以及狀態檢測等功能對企業網絡進行防護。但對于應用廣泛的Web服務器，傳統防火墻完全對外部網絡開發HTTP應用端口，這種方式對Web應用無法做到任何防護。

入侵檢測系統作為防火墻的有利補充，加強了網絡的安全防御能力。但是，入侵檢測技術的作用存在一定的局限性。由于需要預先構造攻擊特征庫來匹配網絡數據，對于未知攻擊和或偽裝成正常流量的攻擊，入侵檢測系統不能檢測和防御。更重要的是，對于應用系統中某一漏洞的目標攻擊，他們沒有任何防御能力，因為這些攻擊沒有明顯的特征可供判斷。另外就是其技術實現的矛盾，如果需要防御更多的攻擊，那么就需要很多的規則，但是隨著規則的增多，系統出現的虛假報告（對于入侵防御系統來說，會產生中斷正常連接的問題）率會上升，同時，系統的效率會降低。

也正因此，Web應用防火墻應運而生。WEB應用防火墻位于Web客戶端和Web服務器之間，分析應用程序層的通信，從而發現違反預先定義好的安全策略的行為。WEB應用防火墻具備事前預防、事中防護及事后補償的綜合能力。以WEB應用防火墻最為核心的事中防護能力為例，WEB應用防火墻作為一種專業的Web安全防護工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應對HTTP/HTTPS應用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊(CSRF)、Cookie篡改以及應用層DDoS等，能有效解決網頁篡改、網頁掛馬、敏感信息泄露等安全問題，充分保障Web應用的高可用性和可靠性。

Web應用防火墻的發展目前有兩個方向，其一向高性能專業設備的方面發展，其二是朝Web應用綜合網關的方面發展。梭子魚公司技術總監谷新給出了自己對傳統防火墻與Web應用防火墻的解讀，他認為傳統防火墻和Web應用防火墻的本質區別在于，前者只是針對網絡協議的第三層網絡層、第四層傳輸層的訪問控制和攻擊防御，而后者深入到應用層對所有應用信息進行過濾，是專門為保護基于Web的應用程序而設計的。 例如梭子魚WEB應用防火墻，為企業Web服務器和Web應用提供全面的保護。梭子魚WEB應用防火墻既可防范已知的對 Web 應用系統及基礎設施漏洞的攻擊，也能抵御住惡意攻擊或是目標攻擊。此外，梭子魚產品的動態學習功能，可以自主的與企業的Web服務器互相通信，實時地自動學習和策略建模。由于梭子魚WEB應用防火墻具備實時策略向導功能，能夠協助企業網絡管理人員自定義策略，讓管理人員對當前的策略擁有完全的掌控權，所以所有違背ACL的行為都可以輕松得被企業的網管人員捕捉到。

Web應用防火墻的選擇

◆WASP(開放式Web應用程序安全項目組織)就有關Web應用防火墻的選擇給出了一個參考標準：

◆很少出現誤報(例如，不應該拒絕授權請求等)

◆默認防御的強度

◆容易操作模式

◆可以預防的漏洞類型

◆能夠限制個人用戶只能在當前對話中所看到的內容

◆配置預防特定問題的能力，如緊急補丁等

◆WAF提供形式：軟件與硬件(一般偏好硬件)

Web應用防火墻(WAF)市場現在標準并不統一，很多不同的產品被歸類到WAF范疇。研究機構Burton Group分析師Ramon Krikken認為，"很多產品提供的功能遠遠超出了我們通常認為防火墻應該具有的功能，這使得產品的評價和比較難以進行。"

谷新表示標準的Web應用防火墻需要具備四大功能，即安全防護功能、加速功能以及可擴展性、IP審計。另外根據研究和咨詢公司Xiom創始人ofer Shezaf提供的清單，下面列出Web應用防火墻應該具備的特性：深入理解HTTP、提供明確的安全模型、應用層規則、基于會話的保護、允許細粒度政策管理。