有趣的是，還沒有人能真正知道web應用防火墻究竟是什么，或者確切的說，還沒有一個大家認可的精確定義。從廣義上來說，Web應用防火墻就是一些增強 Web應用安全性的工具。然而，如果我們要深究它精確的定義，就可能會得到更多的疑問。因為一些Web應用防火墻是硬件設備，一些則是應用軟件;一些是基于網絡的，另一些則是嵌入WEB服務器的。

　　國外市場上具有WEB應用防火墻功能的產品名稱就有不同的幾十種，更不用說是產品的形式和描述了。它難以界定的原因是這個名稱包含的東西太多了。較低的網絡層(Web應用防火墻被安置在第七層)被許多設備所覆蓋，每一種設備都有它們獨特的功能，比如路由器，交換機，防火墻，入侵檢測系統，入侵防御系統等等。然而，在HTTP的世界里，所有這些功能都被融入在一個設備里：Web應用防火墻。

　　總體來說，Web應用防火墻的具有以下四個方面的功能：

　　1. 審計設備：用來截獲所有HTTP數據或者僅僅滿足某些規則的會話

　　2. 訪問控制設備：用來控制對Web應用的訪問，既包括主動安全模式也包括被動安全模式

　　3. 架構/網絡設計工具：當運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎結構等。

　　4. WEB應用加固工具：這些功能增強被保護Web應用的安全性，它不僅能夠屏蔽WEB應用固有弱點，而且能夠保護WEB應用編程錯誤導致的安全隱患。

　　但是，需要指出的是，并非每種被稱為Web應用防火墻的設備都同時具有以上四種功能。

　　由于WEB應用防火墻的多面性，擁有不同知識背景的人往往會關注它不同方面的特點。比如具有網絡入侵檢測背景的人更傾向于把它看作是運行在HTTP層上的 IDS設備;具有防火墻自身背景的人更趨向與把它看作一種防火墻的功能模塊。還有一種理解來自于“深度檢測防火墻”這個術語。他們認為深度檢測防火墻是一種和Web應用防火墻功能相當的設備。然而，盡管兩種設備有些相似之處，但是差異還是很大的。深度檢測防火墻通常工作在的網絡的第三層以及更高的層次，而 Web應用防火墻則在第七層處理HTTP服務并且很好地支持它。

　　直接更改WEB代碼解決安全問題是否更好?這是毋庸置疑的，但也沒那么容易(實現)。

　　因為，通過更改WEB應用代碼是否一定就能增強系統安全性能，這本身就存在爭論。而且現實也更加復雜：

　　◆不可能確保100%的安全。人的能力有限，會不可避免地犯錯誤。

　　◆絕大多數情況下，很少有人力求100%的安全。如今的現實生活中那些引領應用發展的人更多注重功能而不是安全。這種觀念正在改變，只是有點緩慢。

　　◆一個復雜的系統通常包含第三方產品(組件，函數庫)，它們的安全性能是不為人知的。如果這個產品的源代碼是保密的，那么你必須依賴商品的廠商提供補丁。即使有些情況下源代碼是公開的，你也不可能有精力去修正它們。

　　◆我們不得不使用存在安全隱患的業務系統，盡管這些舊系統根本無法改進。

　　因此，為了獲得最好的效果，我們需要雙管齊下：一方面，必須提高管理者和開發者的安全意識;另一方面，盡可能提高應用系統的安全性。

　　Web應用防火墻的特點

　　異常檢測協議

　　如果閱讀過各種RFC，就會發現一個被反復強調的主題。大多數RFC建議應用自己使用協議時要保守，而對于接受其他發送者的協議時可以自由些。Web服務器就是這樣做的，但這樣的行為也給所有的攻擊者打開了大門。幾乎所有的WAF對HTTP的請求執行某種異常檢測，拒絕不符合Http標準的請求。并且，它也可以只允許HTTP協議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些WAF還可以嚴格限定HTTP協議中那些過于松散或未被完全制定的選項。

　　　　　　　計算機軟件水平考試網工歷年真題匯總

　　　　　　　軟件水平考試網絡工程師學習筆記匯總(完整版)

　　　　　　　2010年軟件水平考試網絡工程師模擬試題匯總