隨著互聯網的發展演變，基于Web和數據庫架構的應用系統已經逐漸成為主流，廣泛應用于企業內部和外部的業務系統中。但是，黑客也將攻擊目標瞄準了Web應用，目前常見的網絡攻擊大多數都是針對應用自身的弱點，其中最常用的攻擊技術就是針對Web應用的SQL注入和跨站攻擊。而且黑客通過相應的攻擊工具可以輕松實現入侵，并可直接實現篡改頁面內容，甚至進入數據庫修改內容等等。對Web應用的攻擊增多刺激了Web應用防火墻市場的增長。

2009年是中國Web應用防火墻啟動元年。從09年開始，Web應用防火墻開始進入培育期，從目前市場發展情況來看，Web應用防火墻的發展還是很被看好的。梭子魚中國區總經理何平在接受IT專家網記者采訪時表示，目前國內的Web應用 防火墻 市場從輔導階段進入了實際長成階段。未來三到五年內，Web應用 防火墻 年增長率應該是200%以上。

剛性的需求

為什么Web應用防火墻受到重視？隨著互聯網技術的迅猛發展，許多政府和企業的關鍵業務活動越來越多地依賴于WEB應用，在向客戶提供通過瀏覽器訪問企業信息功能的同時，企業所面臨的風險在不斷增加。主要表現在兩個層面：一是隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多；二是隨著互聯網技術的發展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗，組織性和經濟利益驅動非常明顯。

根據 Gartner 的調查，信息安全攻擊有75%都是發生在Web應用層而非網絡層面上。同時，數據也顯示，2/3的Web站點都相當脆弱，易受攻擊。可以說，絕大多數企業將大量的投資花費在網絡和服務器的安全上，沒有從真正意義上保證Web業務本身的安全，才給了黑客可乘之機。

Web攻擊可導致的后果極為嚴重，完全可以使用多種攻擊手段將一個合法正常網站攻陷，利用獲取到的相應權限在網頁中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機上，從而實現攻擊目的。由此可見，Web安全已經成為信息時代最大的“殺手”！

何平指出，當網站已經和后臺數據庫掛鉤，而非簡單的靜態頁面時，就應該關注Web應用安全。另外隨著今年3G網絡開始部署，很多3G應用開始以手機、平板電腦為基礎，之后Web方式的應用將會越來越多，由此，用戶對Web安全的剛性需求會越來越大。

挑戰來自何方？

當一個新東西的出現，要經過一個認知過程，Web應用防火墻亦是如此。Web應用防火墻在國外出現的時間比國內早，市場的認知度相對比國內要早3－5年左右。何平坦言，對于目前梭子魚而言，最大的挑戰不是來自競爭對手，而是來自用戶的認知的挑戰。在整個行業的推動，仍然需要花很大的力氣進行市場教育和引導。

另外，國內的Web應用防火墻市場還處于一個混沌期，要想拿出一個比較成型的標準，還需要一兩年的時間。何平介紹到，Web應用防火墻最早的標準來自于PCI-DSS標準設計（信用卡支付的數據安全標準），但隨著業務和應用需求的變化以及面對危脅的變化，目前標準的參考主要是來自于OWASP－開放式Web應用程序安全項目。OWASP是一個開放社群、非營利性組織，其主要目標是研議Web安全的標準。從防護能力來說，Web應用防火墻用于防御應用層的如SQL注入攻擊、跨站腳本攻擊等傳統安全設備無法防御的安全威脅。

但是技術是和市場是聯動的，來自Web危脅日益嚴重的剛性需求，以及隨著國內用戶需求的逐漸清晰和細化，Web應用防火墻產品的事實標準將逐漸形成。

Web應用防火墻和傳統防火墻及Web安全網關有很大差別。傳統防火墻專注在網絡層面，提供IP、端口防護；Web應用防火墻主要致力于提供應用層保護。主要是對Web特有入侵方式的加強防護，如SQL注入、XSS等。Web應用 防火墻 可以有效阻斷來自黑客的Web攻擊，建立起安全的第一道防線。

梭子魚Web應用防火墻是基于2007年收購的NetContinuum公司的NC系列防火墻開發出來的新一代Web應用防火墻，不僅繼承了NC系列防火墻的強大功能，而且利用新的硬件平臺大大提升了產品的性能，同時利用梭子魚產品的一貫優勢——操作簡單、易于部署，改善了產品的操作界面和部署模式。

何平指出，由于目前沒有統一的WAF標準，供應商的產品功能和性能差異非常大。Web應用防火墻直接關聯到用戶核心應用，用戶需謹慎選擇產品，并建議在打算部署此類產品前先詢問專業的安全公司或者系統集成商，多進行分析比較。