摘要：WAF產品到底具備哪些功能才能滿足國內客戶對Web服務器防護的需求？事實上，無論是國內還是國外的WAF產品，功能的訴求點概括起來不外乎五個方面。

在互聯網應用高速發展的同時，承載Web信息系統的Web服務器也面臨著巨大安全挑戰。因此，針對Web應用層的防御產品——WAF（Web Application Firewall，Web應用防火墻）產品已經成為構建客戶網站安全解決方案的首要選擇。

根據國家計算機網絡應急技術處理協調中心（簡稱CNCERT/CC）的統計報告，2011年境內被篡改網站數量多達 36612 個，其中有不少是.com和.com.cn的域名類網站，甚至有一些.gov.cn域名類網站，網站的安全形勢十分嚴峻。

WAF這一防御系統能夠保護各網站Web服務器免受應用級入侵，它彌補了防火墻、IPS這類安全設備對Web應用攻擊防護能力不足的問題。但是，市場上的WAF產品很多，WAF產品到底具備哪些功能才能滿足國內客戶對Web服務器防護的需求？客戶會陷入功能、性能、易用性的選擇性困惑中。事實上，無論是國內還是國外的WAF產品，除了HTTP協議吞吐能力一般必須達到200M至8G之間的最基本的性能要求之外，功能的訴求點概括起來不外乎五個方面，如圖所示：

首先，WAF產品應該具有Web非授權訪問的防護功能。這類攻擊會在客戶端毫不知情的情況下，竊取客戶端或者網站上含有敏感信息的文件，譬如Cookie文件，通過盜用這些文件，對一些網站進行未授權情況下的行為操作，譬如轉賬等行為，因此，針對這類的防護，需要特別留意。另外，WAF產品必須要具備針對跨站請求偽造（Cross-site request forgery，CSRF）攻擊的防護功能。

其次，WAF產品應該具備對Web攻擊的防護功能。這類攻擊主要包含了SQL注入攻擊和XSS跨站攻擊。一般來說SQL注入攻擊利用Web應用程序不對輸入數據進行檢查過濾的缺陷，將惡意的SQL語句注入到后臺數據庫，達到竊取（篡改）數據，控制服務器的目的。XSS攻擊指惡意攻擊者往Web頁面里插入惡意代碼，當受害者瀏覽該Web頁面時，嵌入其中的代碼會被受害者的Web客戶端執行，達到惡意攻擊的目的。另外，WAF產品還應該具備對應用層DoS攻擊的防護能力，譬如目前最常見就是HTTP Flood攻擊（如：CC攻擊），這是WAF產品較高的技術準入門檻。

第三，WAF產品應該具備Web惡意代碼的防護功能。譬如，WebShell就是一個ASP或PHP木馬后門，攻擊者在入侵網站后，常常將這些木馬后門文件放置在Web服務器的站點目錄中，與正常的頁面文件混在一起，這就要求WAF產品能準確識別和防護。另外，還有對網頁掛馬的防護，一般這類攻擊的主要目的是讓用戶將木馬下載到本地，并進一步執行，從而使用戶電腦遭到攻擊和控制，最終目的是盜取用戶的敏感信息，如各類賬號、密碼，因此這類功能也是WAF產品需要具備的基礎功能。

第四，WAF產品應該具備基本的應用交付能力。應用交付是指應用交付網絡（Application Delivery Networking，ADN），它借助WAF產品對網絡進行優化，確保用戶的業務應用能夠快速、安全、可靠地交付給內部員工和外部服務群。通常情況下，多服務器負載均衡是WAF產品常見的應用交付形態。

最后，WAF產品應該具備Web應用合規功能。應用合規是指客戶端或者Web服務器所做的各類行為符合用戶設置的規定要求，譬如基于URL的應用層訪問控制和HTTP請求的合規性檢查，都屬于Web應用合規所強調的功能。在國際上PCI-DSS標準、國內相關部門的合規規章制度要求下，尤其是，企業或政府機構中遵從的公安部等級保護的要求下，WAF產品的應用合規已經成為客戶十分重視的基礎功能。