摘要：早在2004年，国外一些安全厂商就提出了WEB应用防火墙(Web Application Firewall，简称WAF)的概念，并开始了逐步的尝试(例如梭子鱼网络有限公司将Net continuum公司纳入旗下，当时的Net continuum就是这一领域的先行者，其解决方案包含网站的网络应用安全、通信管理和SSL加速等)，但当时很多企业用户对此的认识还比较模糊。随着互联网的普及，企业的Web应用越来越多，而来自于Web的信息安全风险也越发突出。

第1页:WEB应用防火墙之前世今生 第2页:WEB应用防火墙之前世今生 第3页:WEB应用防火墙之前世今生 第4页:WEB应用防火墙之前世今生

　　
　　三、误读
　　
　　您购买的是WEB应用防火墙吗?
　　
　　Web安全问题的技术根源和攻击方法的演进在全球范围内是一样的，所以不管在国内还是国外，WEB应用防火墙(WAF)必定会成为主流的Web应用安全解决方案。
　　
　　不过，有些用户一度认为另外一个产品就是WEB应用防火墙，它就是网页防篡改系统。网页篡改始终是令国内网站头疼的Web安全问题。而且，此类攻击的数量还在呈现上升的趋势。政府门户网站、高校、企业、运营商的网站都出现过严重的网页篡改事件。因此，网页防篡改系统迅速流行起来。
　　
　　网页防篡改系统是一种软件解决方案，它的防护效果直接，但是它的部署位置和基本原理决定了，它只能保护静态页面，而无法保护动态页面。梭子鱼公司中国总经理何平表示，为了解决这个问题，有些网页防篡改系统供应商提出在Web服务器上再安装诸如“SQL注入防护模块”的方案，但这会影响Web服务器性能，而且对动态页面的篡改方法远远不只是“SQL注入”，这种打补丁的方案从长远来看是不行的。
　　
　　何平笑称网页防篡改系统是乞丐版的WEB应用防火墙。而网页防篡改系统的不足，恰恰是WEB应用防火墙的优势。它部署在网络中，深入分析HTTP协议流量，在全面防御各种Web安全威胁的同时，对Web服务器没有任何干扰，从根本上解决了包括网页篡改在内的主要Web安全问题。
　　
　　还有一类名为Web实时监控与检测的硬件产品，具有Web漏洞检测、网页篡改识别、木马检测、Web内容审计等检测技术;实现了对各种Web攻击、威胁和事件的一体化综合监控，能够自动化完成大规模网站的集中监控和安全态势分析工作。虽然该产品可以在很大程度上解决网站安全问题，但它在侧重检测的同时却缺乏足够的防御能力。为了主动防御未知威胁，它也必将发展演进为WEB应用防火墙。
　　
　　何平指出，目前中国的WEB应用防火墙市场仍处在市场培育期。由于中国认证中心、公安部等权威机构尚未出台WEB应用防火墙产品的标准，所以一些只具备部分WAF功能的产品也打着WEB应用防火墙的旗号进行销售，混淆用户的试听，希望用户在购买WEB应用防火墙产品时擦亮眼睛，多进行分析比较。