WEB服务是指采用B/S架构、通过Http协议提供服务的统称，这种结构也称为WEB架构，随着WEB2.0的发展，出现了数据与服务处理分离、服务与数据分布式等变化，其交互性能也大大增强，也有人叫B/S/D三层结构。互联网能够快速流行得益于WEB部署上的简单，开发上简便，WEB网页的开发大军迅速超过了以往任何计算机语言的爱好者，普及带来了应用上繁荣。J2EE与。NET的殊途同归，为WEB流行扫清了厂家与标准的差异;众望所归，SOA选中WEB2.0作为其实现的基本工具之一(使用最广的)，WEB架构从互联网走进了企业内部网络，新业务系统的开发，越来越多的系统架构师选择了WEB架构，与熟悉它的人如此广泛是分不开的。事实再一次证明了那个经典的理论：简洁的最容易流行。

简单与安全好象总有些“矛盾”，浏览器可以直接看到页面的Html代码，早期的WEB服务设计没有过多的安全考虑，人性本善，技术人员总是相信人都是善良的!但随着WEB2.0的广泛使用，WEB服务不再只是信息发布，游戏中的装备交易、日常生活中网上购物、政府行政审批、企业资源管理…信息价值的诱惑，人的贪婪开始显现，不是所有的人都有WEB设计者的“大同”思想，安全问题日显突出了。

互联网是个人思想展现的乐园，也是世界级的、虚拟的“另一个”社会，既然大家都是虚拟的、带着面具的，要变成现实社会中的真实利益，还需要一些转换才可以兑现，但SOA把WEB架构带入企业内部网络，这里的网络世界是“真实的”，利益是可以直接兑现的，WEB安全问题变得刻不容缓。

随着WEB应用的日益普及和WEB攻击的与日俱增，让WEB安全问题备受关注。但对于正常流量中的危险分子，传统的安全产品根本无能为力，此时，我们该靠什么来保护WEB应用?WEB应用防火墙无疑是最佳之选。但WEB应用防火墙究竟是什么?它和传统的安全产品有什么不同?应用起来又有要注意什么?

发挥作用需要一个过程

没有任何两个网络的架构和跑在上面的应用会是完全相同的，所以，任何安全产品要想真正发挥出其作用，都不能简单地将它放入网络就不管了，需要不断地根据实际情况调整安全策略。WEB应用防火墙也是一样。

要想让WEB应用防火墙很好地发挥作用，需要一个复杂的“过程”，要让它逐渐适应并摸清用户的网络环境以及可能涉及的各种WEB应用，同时判断出网络中可能存在哪些攻击行为，可能遇到哪些安全风险，再逐一加以阻断。

这个过程如果完全靠企业的IT管理人员手动去做，将是一个非常漫长而可怕的过程，不但费时费力，通常还会有很多被遗忘的角落。

主动模式能够简化部署

本着易于部署的原则，有些应用防火墙在用户部署之初就做了很多优化，除了认为干预，还增加了自动模式，让产品可以自动学习后台服务器的架构，甚至自动为用户推荐合理的部署或防护的模式。

部分应用防火墙的易于使用，还体现在其强大的日志功能。通过日志，用户可以看到某个网络浏览行为为什么被阻断，为什么被允许，这个动作可能阻断多少攻击等详细信息。而且，日志除了提供用户关注的信息，还会给出可行性建议，例如修改哪些参数，做怎样的优化，可以阻断被漏判的攻击或避免误判。用户在使用的过程中，不断查看日志信息，不断修改优化，很快就可以让它全面发挥作用。

被动模式可以校正策略

对于某些重要的WEB应用，如果不断地调整WEB应用防火墙的策略，不停地试验，很可能会影响到关键应用的正常使用，甚至会产生用户投诉等不良后果。因此，自动模式虽好，但却并不一定适合每一个网络环境。

那么，在WEB应用防火墙的部署过程中，除了自己手动一条一条地添加策略，或者靠系统自己学习来提供建议策略，是否还有更稳妥的模式，将部署过程中产生的风险降到最低?

被动模式只是让用户知道网络上有什么，让用户明白在正常使用时可能收到什么样的攻击或威胁，便于用户检验初期配置是否准确，从而设定最佳的防护策略。否则，如果用户的策略一开始就存在漏判或误判问题，前期工作压力会很大，还可能增加很多不必要的麻烦。

事实上，安全本身就是一个管理的过程，只有不断优化策略，才能达到最佳的防护效果。