隨著互聯網技術與應用的不斷發展，新的互聯網業務增長點與商業模式不斷產生，并深入到社會經濟、政治等各個層面。隨之產生的不僅僅是價值，還有眾多的安全威脅，承載在新興應用和技術上的攻擊不斷涌現。Web應用極為豐富的今天，Web服務器以其強大的計算能力和處理性能及所蘊含的高昂價值，成為被攻擊的主要目標。走在信息化與互聯網經濟前沿的政府、企業、IDC等組織面臨著各種針對Web的安全問題。

WEB應用安全危機四伏

網頁篡改：根據國家計算機網絡應急技術處理協調中心（簡稱CNCERT/CC）2007年上半年的工作報告顯示，網站漏洞百出，被篡改的大陸網站數量明顯上升，總數達到28367個，比去年全年增加近16%。

拒絕服務攻擊：針對Web應用的分布式拒絕服務（Distributed Denial of Service，以下簡稱：DDoS）攻擊問題也相當嚴重。對中小企業，尤其是以網絡為核心業務的企業，攻擊者往往采用有組織的DDoS攻擊等手段進行勒索，迫使企業接受相應條件，嚴重影響企業正常業務的開展。

SQL注入、跨站腳本漏洞：信息安全國際權威機構SANS 2007年發布的全球20大安全風險排行榜上，Web應用安全漏洞名列前茅，最廣為攻擊者利用的漏洞為SQL注入及跨站腳本。其中，SQL注入漏洞通常為攻擊者利用，用于讀取、創建、更新或是刪除應用程序中的任意數據，最為糟糕的情況下，攻擊者可能獲得整個數據庫系統的完全控制權；跨站腳本，即XSS（Cross-Site Scripting），允許攻擊者在受害者的瀏覽器中執行腳本，從而劫持用戶會話、篡改Web站點、插入惡意內容、實施釣魚攻擊等。

常見的蠕蟲、黑客攻擊

由這些安全問題，進一步衍生出維護、管理問題：

內部維護人員疲于補救Web應用安全漏洞

需要付出高昂成本以獲取第三方服務：應急響應、安全加固、滲透測試

隨著攻擊者知識的日趨成熟，針對Web應用的攻擊工具與手法日趨復雜多樣。傳統的邊界安全設備，如防火墻，局限于自身的檢測機制和防護深度，已經不能滿足日益發展的Web應用防護的全部需求。

WAF：新興信息安全技術
Web應用防火墻（Web Application Firewall, 簡稱：WAF）代表了一類新興的信息安全技術，用以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題。與傳統防火墻不同，WAF工作在應用層，因此對Web應用防護具有先天的技術優勢。基于對Web應用業務和邏輯的深刻理解，WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求將予以實時阻斷，從而對各類網站站點進行有效防護。

WAF作為一種在國際安全市場上新起的專用設備，在世界范圍的安全市場內有明確的功能定義：國際權威測評機構NSS對WAF有著詳細的測試方案；國際組織WEB應用安全聯盟（Web Application Security Consortium，簡稱：WASC）發布了WAF產品評估標準，為技術人員進行產品技術選型時提供參考，以選擇最為適合自身應用環境的WAF產品。但國外WAF的定義在某些方面缺少對中國國情的特殊性考慮，比如目前國內比較泛濫的DDoS攻擊等。

因此，一個完善的、真正能解決國內Web應用安全問題的WAF產品應該具備以下特點：

◆具備針對各類Web應用攻擊的檢測和防御能力，如蠕蟲威脅、黑客攻擊、SQL注入、跨站腳本等，滿足對檢測、防御能力在廣度和深度上的要求；

◆針對國內極為猖獗的DDoS攻擊進行防護，尤其是針對應用層的DDoS攻擊進行細粒度防護，如CC攻擊、針對網游的DDoS攻擊等；

◆很多Web應用安全問題，究其根本，還是在于Web應用程序開發階段留下的安全隱患為攻擊者所利用。除了對應用流量進行監控以防護Web應用攻擊，WAF還應具備Web應用漏洞掃描能力，加強Web應用自身的安全性；

◆具備良好的可靠性，提供硬件BYPASS或HA等可靠性保障措施，確保Web應用核心業務的連續性和高可靠性；

◆考慮到Web應用的復雜性與業務變更的頻繁，要求WAF產品具備簡便、靈活的配置與管理功能，并能提供細粒度的防護策略配置。