一、什么是Web应用？

应用程序有两种模式C/S、B/S。C/S是客户端/服务器端程序，也就是说这类程序一般独立运行。而B/S就是浏览器端/服务器端应用程序，这类应用程序一般借助IE等浏览器来运行。

Web应用，通常是指使用B/S（浏览器/服务器）架构搭建的信息系统，为了适应某个业务流程而设计开发使用的系统。

以目前的技术看，局域网建立B/S结构的网络应用，并通过Internet/Intranet模式下数据库应用，相对易于把握、成本也是较低的，B/S架构管理软件更是方便、速度快、效果优。Web应用的最大特点是：用户可以通过WWW浏览器去访问Internet上的文本、数据、图像、动画、视频点播和声音信息，这些信息都是由许许多多的Web服务器产生的，而每一个Web服务器又可以通过各种方式与数据库服务器连接，大量的数据实际存放在数据库服务器中。客户端除了WWW浏览器，一般无须任何用户程序，只需从Web服务器上下载程序到本地来执行，在下载过程中若遇到与数据库有关的指令，由Web服务器交给数据库服务器来解释执行，并返回给Web服务器，Web服务器又返回给用户。在这种结构中，将许许多多的网连接到一块，形成一个巨大的网，即全球网。而各个企业可以在此结构的基础上建立自己的Intranet。

二、什么用户需要Web应用？

1、政府部门

政府网站的Web应用日益成为政府信息公开的窗口，有别于媒体网站、商业网站的地方在于，其访问者有自身的需求特点，政府网站需要做到提供优质服务、整合政府资源、增强政府与公众的互动以及增加亲和贴身的服务形式。

2、行业用户

电信、银行、金融等行业在很早就已经开始进行了Web应用的部署，并且应用规模庞大。“云计算”、“云存储”、下一代数据中心……众多最新的网络技术被运用在其中。

3、企业用户

销售型企业正在利用Web应用构建越来越多的电子商务系统。研发服务型企业也在利用Web应用建立流程控制、质量管理、售后服务等多种体系。传媒企业的网络化热潮更是不断。

由此可知，Web应用基本上已经涵盖了各类行业的应用，并且在技术深入程度和覆盖广泛性上也在不断的进行发展。

三、制约Web应用发展的主要因素

当前Web应用在大企业及行业用户中发展十分迅速，但在中小企业中发展缓慢。总结下来有以下几个原因：

1、Web应用安全问题

Web应用的发展得益于网络的开放性，Web应用的弊病也出自网络的开放性——安全问题成为了Web应用发展的强大阻碍。当前Web应用安全漏洞多、网络攻击猖獗、黑客技术的产业化……一系列的安全问题在困扰着Web应用在企业中的发展。而Web应用安全问题的多样性，也使得绝大多数用户无力进行应对。因此极大的制约了Web应用在企业中的发展。我们将在下文中进一步做出详细的分析。

2、Web应用软件问题

Web应用软件目前还没有形成成熟的应用体系，基本上处于企业边研发边应用的阶段。普遍适用性不强，无法形成规模效应。Web应用软件解决办法我们将在今年下半阶段的“在线办公软件横向对比评测”中进行更进一步分析。本文中不再进行更详细阐述。

上述问题如果不能很好解决，必将影响到企业Web应用的发展。而企业自身Web应用技术实力不强，Web应用技术开发、安全防护投入过大这些问题普遍存在，如果没有很好的解决方案企业Web应用发展必然会有很大阻碍。

四、网络安全产品追述—1

对于一般企业用户来讲，通过采用专业的网络安全设备对网络安全进行防护是一种十分理想的网络安全解决方案。那在企业Web应用方面应该采用什么样的安全产品呢？在这里我们对网络安全防护技术进行一个简单追述。

1、防火墙（FireWall）

 

华赛Eudemon8080e

防火墙是最早采用互联网安全防护产品。但是在应用过程中逐渐发现基于网络端口防护和包过滤防护技术的防火墙产品无法有效的对应用安全进行拦截（在Web应用方面由其突出）。但防火墙产品目前依然未退出安全市场，反而因为其强大的数据转发能力、防攻击能力和灵活的安全策略设置功能被越来越多的运用在企业内网隔离、安全区域划分和网络地址转换（NAT）之中。

2、入侵检测/防御（IDS/IPS）

 

DPtech IPS2000-TS-N

出于对防泛黑客攻击及安全漏洞拦截的需求，又开发出了入侵检测/防御产品（IDS/IPS）但早期IDS/IPS产品需要过多人为对检测问题进行分析，并具有很高的误判率，难以操控。同时IDS/IPS产品在防范网络病毒、Web应用安全认证等问题上依然没有很好的解决方案。但是IDS/IPS技术为今后的网络安全打下了良好的技术基础，当前新推出的Web应用防火墙、下一代防火墙所采用技术中有很多是从IDS/IPS中引申出来的。并且IDS/IPS的进一步技术发展前景依然十分广阔。

3、统一威胁管理（UTM）

 

山石网科SG-6000-G5150

为了应对多方面网络安全的挑战，安全厂商又推出了统一威胁管理（UTM）产品。统一威胁管理产品将防火墙、网络病毒防护、IPS、反垃圾邮件和网络内容管理等一系列功能整合在了一起，可以为企业提供全面的网络防护能力，是一种综合安全防护能力很高的网络安全产品。但在针对网站系统安全防护上，统一威胁管理产品的功能显得有些多而不当，不能很好的为Web应用安全提供服务。

4、Web安全网关（WSG）

 

Wedge BeSecure 2080

Web安全网关是一种在统一威胁管理产品基础上发展出来的一类全新的网络应用安全防护产品。具备对Web应用安全更加深入的全面防护能力。可以对网络病毒、SQL注入、跨站、恶意脚本等攻击进行防护。Web安全网关在功能上与Web应用防火墙十分相近，但它保护的对象更多是面向网络用户而不是Web服务器。

5、Web应用防火墙（WAF）

 

梭子鱼Web应用防火墙 BWF960

于是近年来又有新的Web应用安全防护技术推出——Web应用防火墙（WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

总体来说，Web应用防火墙的具有以下四大个方面的功能（参考WAF入门，对内容做了一些删减及改编）：

1）审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。

2）访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

3）架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

4）WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。

需要指出的是，并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。

同时WEB应用防火墙还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看，WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。（深度检测防火墙通常工作在的网络的第三层以及更高的层次，而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。）

五、Web应用防火墙的特点

Web应用防火墙的一些常见特点如下。

1、异常检测协议

Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

2、增强的输入验证

增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

3、及时补丁

修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。

（附注：及时补丁的原理可以更好的适用于基于XML的应用中，因为这些应用的通信协议都具规范性。）

4、基于规则的保护和基于异常的保护

基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。

5、状态管理

WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件（比如登陆失败），并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

6、其他防护技术

WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

六、Web应用防火墙功能对比

通过上述技术特点，可以了解WAF能为Web应用用户带来全面的Web安全防护能力。但是实际的Web应用防火墙是否可以实现上述功能呢？下面对目前国内主流的Web应用防火墙产品的功能进行一下对比。

本次对比中《网络世界》评测实验室选择了六个在国内知名度较高，具备一定影响力的主流厂商的产品进行功能性对比。厂商名单如下：梭子鱼（BARRACUDA），思科（Cisco），思杰（Citrix），安恒信息（DBAPPSecurity），飞塔（Fortinet），绿盟（NSFOCUS）（以厂商英文字母排序）。

企业产品信息通过Web的形式向用户发布本身就是企业Web应用的最好体现，Web应用防火墙相关厂商在这方面应当有着很多的先天技术优势。那WAF厂商在网站上是如何对自身产品进行宣传的呢？出于这方面的考虑，同时也为了对更多Web应用防火墙产品进行了解，本次功能性对比过程中，首次采取了以收集厂商网站上发布Web应用防火墙功能信息的方式进行（以中文资料为准）。以下对比信息均采集于厂商网站中与Web应用防火墙相关的产品信息及产品技术白皮书。目的是从一个用户初次采购Web应用防火墙的角度，从厂商公开发布的Web应用防火墙信息中对产品进行了解，并做出初步的判定。

Web应用防火墙功能对比表