Web應用的日益普及和Web攻擊的與日俱增，讓Web安全問題備受關注。但對于正常流量中的危險分子，傳統的安全產品根本無能為力，此時，我們該靠什么來保護Web應用？Web應用防火墻無疑是最佳之選。但Web應用防火墻究竟是什么？它和傳統的安全產品有什么不同？應用起來又有要注意什么？請看《走出Web應用防火墻認識誤區》系列文章。

發揮作用需要一個過程

沒有任何兩個網絡的架構和跑在上面的應用會是完全相同的，所以，任何安全產品要想真正發揮出其作用，都不能簡單地將它放入網絡就不管了，需要不斷地根據實際情況調整安全策略。Web應用防火墻也是一樣。

要想讓Web應用防火墻很好地發揮作用，需要一個復雜的"過程"，要讓它逐漸適應并摸清用戶的網絡環境以及可能涉及的各種Web應用，同時判斷出網絡中可能存在哪些攻擊行為，可能遇到哪些安全風險，再逐一加以阻斷。

這個過程如果完全靠企業的IT管理人員手動去做，將是一個非常漫長而可怕的過程，不但費時費力，通常還會有很多被遺忘的角落。

主動模式能夠簡化部署

本著易于部署的原則，梭子魚的Web應用防火墻在用戶部署之初就做了很多優化，除了認為干預，還增加了自動模式，讓產品可以自動學習后臺服務器的架構，甚至自動為用戶推薦合理的部署或防護的模式。

梭子魚Web應用防火墻的易于使用，還體現在其強大的日志功能。通過日志，用戶可以看到某個網絡瀏覽行為為什么被阻斷，為什么被允許，這個動作可能阻斷多少攻擊等詳細信息。而且，在梭子魚WAF產品的日志除了提供用戶關注的信息，還會給出可行性建議，例如修改哪些參數，做怎樣的優化，可以阻斷被漏判的攻擊或避免誤判。用戶在使用梭子魚Web應用防火墻的過程中，不斷查看日志信息，不斷修改優化，很快就可以讓它全面發揮作用。

被動模式可以校正策略

對于某些重要的Web應用，如果不斷地調整Web應用防火墻的策略，不停地試驗，很可能會影響到關鍵應用的正常使用，甚至會產生用戶投訴等不良后果。因此，自動模式雖好，但卻并不一定適合每一個網絡環境。

那么，在Web應用防火墻的部署過程中，除了自己手動一條一條地添加策略，或者靠系統自己學習來提供建議策略，是否還有更穩妥的模式，將部署過程中產生的風險降到最低？

正是因為考慮到這個層面，為了讓用戶可以更順暢地應用Web應用防火墻，梭子魚的Web應用防火墻還提供了被動工作模式。在被動模式下，Web應用防火墻只進行日志記錄，記錄訪問中可能存在的攻擊行為，而不采取任何阻斷行為，完全不會影響到用戶的正常使用。一定時間后，用戶可以通過查看日志，來判斷先前所設的策略是否存在問題，是否需要修改，直到明確不會出現問題為止。

被動模式只是讓用戶知道網絡上有什么，讓用戶明白在正常使用時可能收到什么樣的攻擊或威脅，便于用戶檢驗初期配置是否準確，從而設定最佳的防護策略。否則，如果用戶的策略一開始就存在漏判或誤判問題，前期工作壓力會很大，還可能增加很多不必要的麻煩。

事實上，安全本身就是一個管理的過程，只有不斷優化策略，才能達到最佳的防護效果。

更多梭子魚下一代防火墻產品信息及成功案例，請登陸官方主頁: www.barracudanetworks.com.cn 。