WEB应用防火墙架构/网络设计工具

当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

用来截获所有HTTP数据或者仅仅满足某些规则的会话。

利用国际上公认的一种说法:

总体来说，Web应用防火墙的具有以下四大个方面的功能(参考WAF入门，对内容做了一些删减及改编)。

这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。

需要指出的是，并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。

1、事前主动防御，智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击，全方位保护WEB应用。

2、事中智能响应，快速P2DR建模、模糊归纳和定位攻击，阻止风险扩散，消除"安全事故"于萌芽之中。

3、事后行为审计，深度挖掘访问行为、分析攻击数据、提升应用价值，为评估安全状况提供详尽报表。

4、面向客户的应用加速，提升系统性能，改善WEB访问体验。

5、面向过程的应用控制，细化访问行为，强化应用服务能力。

6、面向服务的负载均衡，扩展服务能力，适应业务规模的快速壮大。

Web应用防火墙的一些常见特点如下。

Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了--只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。

(附注:及时补丁的原理可以更好的适用于基于XML的应用中，因为这些应用的通信协议都具规范性。)

基于规则的保护和基于异常的保护

基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。

WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败)，并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

从Web应用防火墙功能对比表格中，我们可以看出，目前Web应用防火墙的功能性还不统一，几个厂商Web应用防火墙的主要功能项还有较大出入。另外，功能描述也不相同，有些同种的功能各个厂商厂商的描述各不相同。为了对厂商真实体现厂商产品功能，这一部分资料按各厂商介绍在表格中予以重现。还有一些厂商存在明显的技术资料发布不全现象，这方面以思杰(Citrix)最具代表性。如果不是其网站产品介绍中存在"利用集成式应用防火墙增强了安全性"这一句话，和其英文网站上的相关介绍，我们几乎认定其Citrix NetScaler产品仅是一款Web应用加速产品!所幸的是，在本次活动截止前一天，思杰市场人员将Citrix NetScaler中文资料发给了我们，才使得思杰Citrix NetScaler产品功能对比的项目不至于留白!

但是在产品功能项目差异大，内容不统一的情况下，用户应该如何对产品进行选择呢?下面我们就综合分析一下，在选择Web应用防火墙产品时，哪几方面的信息是用户最需要了解的。

通过厂商的产品宣传，可以了解厂商产品的市场定位，以及厂商对用户应用需求的了解情况。从中可以初步分析厂商产品是否可以满足用户的实际应用需求。

在产品功能介绍中，可以粗略了解产品的各项功能，在经过对比后可以了解厂商产品的功能是否齐备，可否满足用户应用的需求。

这是用户容易忽略，某些厂商刻意忽略的重要信息。对于网络产品来讲，市场定位容易描述，产品功能也可以相互借鉴，但具体的功能测试是很难仿造的。评测报告中的每个指标、每个数据都是厂商研发技术实力的最直观体现，只有对产品技术具备最深入理解的厂商才可以在用户面前交出一份令用户满意的评测报告!

天融信WEB应用安全网关系统是公司WEB安全专家团针对"网站型"服务器量身定制的产业化产品，汇聚了天融信公司长期对网站系统进行安全研究的成果。主要从网站系统可用性和信息可靠性的角度出发，满足用户对于WEB应用防护及加速、网页防篡改、网站业务分析等功能的核心需求。提供事前预警、事中防护、事后分析的全周期安全防护解决方案。

龙盾IIS防火墙

"龙盾IIS防火墙"是一款经典的网站安全防护产品， 经过十余年的技术沉淀， "龙盾IIS防火墙"对于各种流行的网站入侵，均具有显著的防御效果。 "龙盾IIS防火墙"采用高效、安全的技术为网站提供了如下保护:

防木马上传 "龙盾IIS防火墙" 能及时准确的识别asp、php、aspx以及aspa等类型的木马和后门文件，从根本上杜绝了黑客利用网站漏洞，上传木马和后门程序;

支持对上传文件内容的过滤;

支持对加密、加壳木马文件的识别。

FTP目录监控 "龙盾IIS防火墙" 实时监控通过FTP上传到服务器上的文件，实时查杀上传到WEB服务器上的木马和后门程序，实时查杀时间为毫秒。

支持对木马文件内容关键字的设置;

支持对加密、加壳木马文件的识别，即使是被加密的的木马文件，也可立即清除。

防挂马 "龙盾IIS防火墙" 独创LRCT专利技术，从根本上阻止了由于网站或系统漏洞导致的网页或数据库挂马，有效防御XSS跨站脚本攻击。

支持挂马拦截，从根本上阻止黑客对网站和数据库挂马;

支持挂马内容自动清除，即使服务器已经挂马，"龙盾IIS防火墙"也会自动清除。

专业防SQL注入 十年来，"龙盾IIS防火墙" 致力于跟踪SQL注入技术的最新动态，防SQL注入策略不断更新，规则不断完善;

支持对GET、POST、COOKIE所有数据提交方式的过滤;

过滤规则分离原则:不同方法(GET、POST、COOKIE)提交的数据，过滤的规则相互独立，最大限度的加强了对SQL注入的防御，同时，也从根本上杜绝了对正常访问的误拦;

支持"模式匹配"，"龙盾IIS防火墙"具有人工智能特性，一条防SQL注入规则，即可以阻止一类的SQL注入。

系统帐户保护 "龙盾IIS防火墙"可阻止黑客创建Windows系统帐户。

可阻止黑客通过各种方式创建Windows系统管理员帐户。

远程桌面保护 "龙盾IIS防火墙"可阻止非法IP地址访问3389 远程桌面。

可设置IP地址白名单，只有白名单内的IP地址才可以连接服务器的远程桌面，非IP白名单内的IP地址连接远程桌面时将被阻止。

信息监控 "龙盾IIS防火墙"实时监控流入、流出网站的信息，实时屏蔽和过滤敏感信息;

用户提交的敏感信息被立即阻止;

即使网站上已经存在敏感信息，龙盾IIS防火墙也可进行过滤，确保访问者看到的内容均合法，从而不必担心服务器被查封;

支持"模式匹配"。

资源防盗链 "龙盾IIS防火墙"可有效保护网站资源不被其它网站盗链。

支持友好域名设置;

支持自由下载文件夹设置;

支持防迅雷下载功能。

在线播放防下载 对于只希望在线播放的音频、视频网站，"龙盾IIS防火墙"可有效防止网站的音频或视频文件被非法下载。

支持对AVI, MPG, RMVB, FLV, MP3, WMA等各类在线音频和视频的保护;

支持对嗅探浏览器的防御。

下载流量控制 "龙盾IIS防火墙"可任意设置文件下载的线程个数和下载速度，从而保障您的带宽不被非法吞噬，有效控制下载流量 ，降低服务器资源的消耗。

适用于各种下载工具，不论是网际快车还是迅雷，均可限制其下载速度和下载线程个数;

不同网站可设置不同的下载速度和下载线程数。

抗CC攻击 "龙盾IIS防火墙"可有效抵御CC、DDOS软件的攻击，有效抵御流量攻击，防止非法用户高频率刷新数据库。

支持"最大并发连接数控制"功能;

支持对变种CC的有效防御;

支持文件类型的设置。

代理服务器访问控制 "龙盾IIS防火墙"可阻止代理服务器的访问，有效抵御僵尸攻击，流量攻击。

防PHP UDP攻击 "龙盾IIS防火墙"从根本上清除UDP发包程序，迅速解决带宽被占满的问题。

即使加密的UDP发包木马程序，也可立即清除;

即使服务器已经存在UDP发包程序，也可阻止其发送大量UDP包。

IP地址黑名单 一方面, "龙盾IIS防火墙"的智能分析系统，会将参与恶意攻击的IP地址自动加入黑名单, 另一方面, 用户也可以手工任意阻止非法IP地址的访问。

支持IP地址段设置;

支持自定义黑名单IP地址解封时间。

IP地址白名单 "龙盾IIS防火墙"可指定不受防火墙限制的客户端IP地址。

支持IP地址段设置;

满足使用"网络加速器"用户的需要;

保证不会对"搜索引擎蜘蛛"的爬行记录造成影响。

广告植入 您可以通过"龙盾IIS防火墙"向页面内植入广告信息。

支持广告与域名分离，不同的网站和域名可以设置不同的广告内容。

抗缓冲区溢出攻击 "龙盾IIS防火墙"允许您自定义HTTP头、URL地址 、COOKIE以及查询串长度， 防止缓冲区溢出攻击。

支持对WebDAV，RPC服务远程溢出漏洞的防御;

支持对IDQ溢出漏洞的防御。

禁止运行恶意脚本 禁止ASP、PHP、JSP木马程序服务器上运行。

URL访问权限控制 "龙盾IIS防火墙"可根据不同访问者的IP地址，设置不同的URL访问权限。

自由域名 可设置不受防火墙保护的域名，自由域名列表内的站点完全不受防火墙的保护，满足特殊情况下的需要。

KS-WAF知道网站统一防护系统是知道创宇旗下的一款WEB应用防火墙。WAF被设计用于处理所有常见的Web应用安全威胁，即保护以HTTP/HTTPS相关应用协议为基础，运行在OSI第七层(应用层)的Web应用在线业务。WAF真正实现了对网络应用的保护，是传统安全技术的有效补充。传统安全设备阻挡攻击者从正面入侵，着重进行网络层的攻击防护;而WAF着重进行应用层的内容检查和安全防御，与传统安全设备共同构成全面、有效的安全防护体系。

KS-WAF被设计用于帮助管理员抵御黑客攻击和进行网站用户的行为审计。防御方面主要进行深度的黑客攻击防护，在保障安全的前提下，KS-WAF还可以识别这些黑客攻击的手法和源头。而对网站用户的行为审计功能，则表示KS-WAF能告诉网站管理员，用户一般在什么时间段访问、用户最关心哪些页面或内容、网站一天的访问量有多少、这些访问都来自哪些地方。通过这几方面功能的结合，网站管理员不仅可以对黑客攻击高枕无忧，同时还可以更好地了解用户行为和喜好，可谓一举多得。

防护理念:

安全防护管控体系:提供区分攻击行为类别的多种防御引擎、对攻击行为进行针对性的事件处理策略配置、定义具体攻击行为的匹配规则定制，对已知和未知的Web攻击进行全面防护，将攻击行为的细节直观、详尽地展示给用户，达到防护、管控Web应用业务安全的目的。

方便有效网管运维:在安全防护能力给Web应用的安全性带来保障的同时，也为Web应用复杂的网络管理、日常运维带来快捷和便利，能够实时了解网站可用性状态、安全性状态、客户端访问流量、客户类型和地域分析、服务器承载压力;能够对网站提供负载均衡加速、缓存页面加速、数据压缩加速，使Web应用完全发挥其最大性能。

满足行业/国家标准、通过安全审计:随着安全问题的不断浮现和社会影响的深化，Web应用的安全性越来越受到人们的重视和关注，由此促进了部分行业的安全标准制定，如PCI-DSS标准要求;国家公安部、国务院下发的指示。

WAF可协助Web应用程序满足相关的安全性要求，确保在线业务安全、合规地运作，帮助客户通过安全审计。

产品功能:

①防攻击:功能主要关注黑客攻击Web应用并试图入侵网络服务器的攻击事件过程。可以覆盖OWASP TOP 10、WASC、PCI DSS等标准，包括SQL注入攻击、XSS跨站攻击、CSRF跨站请求伪造攻击等。

②防漏洞:KS-WAF可对网站中的敏感信息、服务器信息进行屏蔽或伪装，达到避免数据泄露的隐患。成功的攻击往往需要利用服务器的IP、操作系统信息、应用信息、服务器出错信息、数据库出错信息，KS-WAF接管所有返回给客户端的信息，并可中止会话，避免黑客利用敏感信息及服务器信息发动社会工程学攻击、各类黑客入侵攻击。

③防暗链:随着监管部门的打击力度逐渐加强，挂马攻击的数量越来越少，与此同时，地下黑色产业链逐渐转向了暗链攻击。为了应对这个情况，KS-WAF系统内置了针对当前流行的暗链攻击建立的恶意指纹库，在服务器端已被植入暗链的情况下可准确识别并进行报警，协助管理员清除暗链代码。

④防盗链:KS-WAF通过实现URL级别的访问控制，对客户端请求进行检测，如果发现图片、文件等资源信息的HTTP请求来自于其它网站，则阻止盗链请求，节省因盗用资源链接而消耗的带宽和性能。

⑤防爬虫:KS-WAF将爬虫行为分为搜索引擎爬虫及扫描程序爬虫，可屏蔽特定的搜索引擎爬虫节省带宽和性能，也可屏蔽扫描程序爬虫，避免网站被恶意抓取页面。

⑥防挂马:通过检查HTML页面中特征、用户提交数据，查看是否出现IFrame、Javascript引用挂马源URL及其他挂马特征以决定是否拦截请求。

⑦抗DDos:支持TCP Flood和HTTP Flood类型的拒绝服务攻击，通过简单有效的方式缓解拒绝服务攻击。

⑧防护中级阶段能力的功能:

识别黑客工具:利用网上随处可见的攻击软件，攻击者不需要对网络协议有深厚的理解，即可完成更换Web网站主页、盗取管理员密码、破坏整个网站数据等攻击。

识别Web扫描器:Web漏洞扫描器已经成为了攻击者的必备工具之一，黑客通过扫描器强大的自动检测能力，发现网站漏洞点、信息泄露等各种敏感信息，为进一步的深入攻击做充分准备。

⑨攻击源定位:KS-WAF通过记录攻击者的源IP，进行分析和定位后，通过在线地图进行定位展现，帮助运维人员分析攻击来源。

2产品介绍铱迅WEB应用防火墙(简称:WAF)是铱迅信息结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内首创的全透明直连部署模式，全面支持HTTPS，在提供WEB应用实时深度防御的同时实现WEB应用加速、敏感信息泄露防护及网页防篡改，为Web应用提供全方位的防护解决方案。该产品致力于解决应用及业务逻辑层面的安全问题，广泛适用于"金融、运营商、政府、公安、教育、能源、税务、工商、社保、卫生、电子商务"等所有涉及WEB应用的各个行业。部署铱迅的WAF产品，可以帮助用户解决目前所面临的各类网站安全问题，如:注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。产品功能深度防御铱迅WEB应用防火墙基于铱迅专利级WEB入侵异常检测技术，对WEB应用实施全面、深度防御，能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等):黑客攻击防护| SQL注入攻击(包括URL、POST、Cookie等方式的注入)| SQL注入攻击(包括URL、POST、Cookie等方式的注入)| XSS攻击| Web常规攻击(包括远程包含、数据截断、远程数据写入等)| 命令执行(执行Windows、Linux、Unix关键系统命令)| 危险存储过程执行|缓冲区溢出攻击|恶意代码| "零日"攻击---oday违反策略防护| 非法HTTP协议| URL-ACL匹配BOT防护| 攻击性爬虫(蜘蛛)行为| Web漏洞扫描器行为如Acunetix Web Vulnerability Scanner扫描。|黑客工具行为，如pangolin。应用层洪水攻击| UDP Flood| ICMP Flood网页防篡改本设备的网页防篡改功能，对网站数据进行监控，发现对网页进行任何形式的非法添加、修改、删除等操作时，立即进行保护，恢复数据并进行告警，同时记录防篡改日志。支持的操作系统:| Windows 2000、Windows 2003、windows 7、windows 2008 32bit/64bit| Linux(CentOS、Debian、Ubuntu)| Solaris、AIX、IRIX、HP、Sun ONE、iPanet| FreeBSD、MacOS| WebSphere| Tomcat、Resin| WebLogic| Apache| JRUN2| Borand AppServer数据库防篡改本设备的数据库防篡改功能，对数据库数据进行监控，发现对数据库进行任何形式的非法添加、修改、删除等操作时，立即进行保护，恢复数据并进行告警，同时记录防篡改日志。支持的数据库系统| SQL Server 2000| SQL Server 2005| My SqlHTTP SSL安全加密、攻击过滤HTTP SSL安全加密:提供硬件的SSL加密功能，Web服务器只需要开启80端口，然后在本设备的代理中添加SSL证书，并指定Web服务器的80端口。用户只要访问本设备的443端口，就可以达到对HTTP数据流的加密。攻击过滤，可以过滤在HTTPS会话中的攻击行为，为Web服务器与数据库服务器提供安全保障。防CC攻击| 来源IP防CC| Referer防CC| 特定URL防CC| 设定阻止访问的时间产品特点专利级WEB入侵异常检测引擎铱迅独有WEB入侵异常检测引擎，能够有效分析和识别各类已知和变形的应用攻击，为防御的准确性和高效性提供了基础。支持全透明直连部署铱迅独有WEB入侵异常检测引擎，能够有效分析和识别各类已知和变形的应用攻击，为防御的准确性和高效性提供了基础。HTTPS支持全面支持HTTPS/SSL加密协议,实现对高安全要求WEB应用系统的检测和防护，提供了针对性的安全检测及深度防御的解决方案。支持多保护对象支持多台主机对象的保护，包括不同域名不同IP，不同域名相同IP的情况。支持用户自定义规则库用户可以根据数据包的特征关键字等自定义安全策略规则，来实现安全检测及过滤。统一日志平台接口支持监控、阻断、软硬件物理直通等多种应用模式。支持多种部署模式支持直连透明部署、旁路牵引防护部署、HA等部署模式。部署方式"铱迅Web应用防护系统"(下文称:"Yxlink WAF")支持多种灵活的部署方式，如透明网线模式、旁路反向代理模式、路由模式、混合部署模式、虚拟化部署模式。其中，"铱迅Web应用防护系统"的透明网线模式尤为出色，管理员在不需要修改原网络拓扑结构的情况下，"铱迅Web应用防护系统"相当于一根网线串入网络中，对Web攻击进行防御。而混合部署模式更是对较为复杂的网络应用环境提供了更加人性化的均衡部署能力"铱迅Web应用防火墙"的透明网桥模式，与其他同类产品相比，有着先天的优势:透明网线模式采用"铱迅Web应用防护系统"透明网线模式部署模式主要应用于如下五种场景:1 单一混合型服务器(Web应用、DB在同一台服务器上)2 单一分离式服务器(Web应用、DB采用不同的服务器部署，但Web服务器只有一台)3 集群式Web服务器(多台集群型Web服务器)4 半分散式Web服务(Web服务器分布在局域网的部分子网中)5 全分散式Web服务(Web服务器几乎分布在局域网的任何子网中)混合部署模式机模式混合部署模式是透明网线模式和旁路反向代理模式混合的部署方式，这种方式具有部署简便，配置较为容易等特点，特别适用于具有中心机房，但同时在不同的地点分散着个别Web服务器的情况，设备部署位置一般同"集群式/集中式Web服务"，是半分散和全分散服务部署模式的替代部署模式，为管理员提供了更加人性化的管理方式。具体部署如图:旁路反向代理模式旁路反向代理模式，可以将铱迅Web应用防护系统与Web服务器置于内网的交换机下，访问Web服务器的所有请求都通过"Yxlink WAF"流入流出。然而，这种模式下，Web服务器无法获取访问者的真实IP地址，需要借助HTTP报文中设置相应的字段来表示访问者IP地址，这样需要修改原有的HTTP报文。同时这种模式下将无法开启Bypass功能，因此除非在迫不得已的情况下，请谨慎使用旁路反向代理模式部署，推荐使用透明网线的部署方式。但为了同一些老式Web应用防护系统相兼容，可采用旁路方向代理模式进行部署，具体部署图如下:路由模式通过配置策略路由，只将HTTP流量发送到"Yxlink WAF"。混合加密部署模式混合加密部署模式:混合部署模式的增强形式，支持HTTP/HTTPS。这种部署方式的特点与混合部署模式基本相同。它的工作原理是将原来由Web服务器完成的SSL加密、解密工作，现在交给"Yxlink WAF"来完成，即"Yxlink WAF"执行SSL加密、解密工作，因此需要将原来Web服务器上的SSL证书导入到"Yxlink WAF"中，同时将Web服务器上的HTTP服务端口开启，比如80端口。具体部署如图:单IP虚拟化部署模式为了网站安全考虑，需要在一台真实主机内安装多台虚拟机，每个虚拟机里面会有1台Web服务器。但是一般情况下，很难给每个虚拟机提供一个公网IP地址。"铱迅Web应用防护系统"可以在监听80端口请求时，根据不同的主机头名，将请求分配到不同的虚拟机的80端口上，从而解决了单公网IP对应多个虚拟机的问题。产品技术具有自主知识产权的"千万级攻击检测引擎"具有自主知识产权的"攻击混淆解码引擎"具有自主知识产权的"电信级高并发数、新建连接数处理技术"

InforCube Web 应用防火墙采用多层检查和多重安全防护来提供最高级别的保护。

HTTP 协议验证可以防止包括缓冲区溢出、恶意编码、HTTP 伪装以及非法服务器操作在内的协议滥用。灵活的规则使用户可以严格遵守RFC 标准，同时支持各种灵活多变的应用程序。

InforCube Web 应用防火墙检查服务器回应信息以识别潜在的敏感数据(如持卡人数据和社会保险号)泄漏。除了报告在应用程序中何处发现了敏感数据外，还可以选择让InforCube Web 应用防火墙阻止这些信息从企业站点泄露。

nforCube Web 应用防火墙对针对Web 服务器漏洞、中间件漏洞和平台漏洞的已知攻击提供广泛的保护，这些已知攻击的信息来源是InforCube安全中心提供的超过6,500 个特征码。ADC 特征码不仅包括Bugtraq、CVE 和Snort 等来源发现的攻击，而且包括通过InforCube研究发现的威胁。InforCube Web 应用防火墙还可通过检测和识别Web 蠕虫独特的特性组合来抵御刚出现的新Web 蠕虫攻击。

InforCube Web 应用防火墙的集成状态防火墙对来自外部和内部的非法用户、协议和网络的攻击提供保护，同时遵循强制性安全规定的最佳做法，阻止非必要协议触及敏感Web 应用。

InforCube Web 应用防火墙独有的关联攻击确认技术持续关联跨安全层的违规行为，从而准确识别最复杂的攻击。个别违规可能无法确切地指明攻击，但是，通过关联独特的违规组合就可以毫无疑问地确认攻击。

InforCube Web 应用防火墙通过学习动态Web 2.0 和Web 服务的行为来保护这些应用。学习的内容包括XML 文件、要素、属性、架构、变量和SOAP 操作。InforCube Web 应用防火墙将会识别并阻止任何尝试篡改正常Web 服务的行为。它还会抵御Web 2.0 应用中常见的威胁，包括SQL 注入、XSS、CSRF 和许多其他威胁。

Web应用防火墙的一些常见特点如下。

1、异常检测协议

Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

2、增强的输入验证

增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

3、及时补丁

修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了--只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。

(附注:及时补丁的原理可以更好的适用于基于XML的应用中，因为这些应用的通信协议都具规范性。)

4、基于规则的保护和基于异常的保护

基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。

5、状态管理

WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败)，并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

6、其他防护技术

WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

从Web应用防火墙功能对比表格中，我们可以看出，目前Web应用防火墙的功能性还不统一，几个厂商Web应用防火墙的主要功能项还有较大出入。另外，功能描述也不相同，有些同种的功能各个厂商厂商的描述各不相同。为了对厂商真实体现厂商产品功能，这一部分资料按各厂商介绍在表格中予以重现。还有一些厂商存在明显的技术资料发布不全现象，这方面以思杰(Citrix)最具代表性。如果不是其网站产品介绍中存在"利用集成式应用防火墙增强了安全性"这一句话，和其英文网站上的相关介绍，我们几乎认定其Citrix NetScaler产品仅是一款Web应用加速产品!所幸的是，在本次活动截止前一天，思杰市场人员将Citrix NetScaler中文资料发给了我们，才使得思杰Citrix NetScaler产品功能对比的项目不至于留白!

但是在产品功能项目差异大，内容不统一的情况下，用户应该如何对产品进行选择呢?下面我们就综合分析一下，在选择Web应用防火墙产品时，哪几方面的信息是用户最需要了解的。

1、产品宣传

通过厂商的产品宣传，可以了解厂商产品的市场定位，以及厂商对用户应用需求的了解情况。从中可以初步分析厂商产品是否可以满足用户的实际应用需求。

2、产品功能介绍

在产品功能介绍中，可以粗略了解产品的各项功能，在经过对比后可以了解厂商产品的功能是否齐备，可否满足用户应用的需求。

3、产品评测报告

这是用户容易忽略，某些厂商刻意忽略的重要信息。对于网络产品来讲，市场定位容易描述，产品功能也可以相互借鉴，但具体的功能测试是很难仿造的。评测报告中的每个指标、每个数据都是厂商研发技术实力的最直观体现，只有对产品技术具备最深入理解的厂商才可以在用户面前交出一份令用户满意的评测报告!

4、售后服务

把售后服务放到产品销售前面，就在于它的重要性。一般的网络产品往往会使用户忽略售后服务的重要，质量过硬的网络产品有可能插电一次性设置后几年都不需要变动。但是Web应用防火墙这类网络安全产品就全然不同了，层出不穷的网络威胁会时刻对其发出挑战。没有完善研发售后服务能力的厂商将无力面对这些威胁，这样用户的网络安全也就失去了相应的保障。

5、产品销售

产品的销售厂商在哪里，从那里可以得到什么样的服务，技术支持能力如何……这些同样也需要用户在选择产品时事先进行了解。