WAF(Web应用程序防火墙)在企业环境中变得越来越普及,成为网站保护的救命稻草,传统防火墙在这方面已经力不从心,WAF的最大优势在于,它们可以给有漏洞的Web应用程序实施虚拟补丁。我预计WAF会在服务器环境中和传统防火墙一样成为司空见惯的东西。
传统网络防火墙
Bill Cheswick在1990年发表了一篇题为"安全互联网网关设计"的论文,他在论文中描述了一种将企业网络和互联网隔离开的系统,只允许特定的服务穿越它控制的边界,网关的目的是保护弱配置的企业系统,免受外部攻击,Bill解释:"随着工作站的增多,系统管理通常很分散,很容易被忽视,弱密码随处可见,许多人安装操作系统后就再也不管它,系统因漏洞未补向攻击者敞开大门"。
Marcus Ranum在1992年发表了一篇题为"网络防火墙"的论文,他在论文中强调在互联网和企业网络之间架设安全网关作为防火墙的需求,预防不怀好意的人访问私有网络中的主机,Marcus解释了这样做的好处:"这是确保一个系统尽可能安全的唯一办法,如果安全漏洞在邮件程序中,立即修复它将会强化整个网络的安全,但在一个完全连接到互联网的站点中,必须将网络上的每个系统都打上补丁"。
传统网络防火墙的设计者意识到,维护太多企业系统使得很难安全地配置它们,安全遵循水桶原则,只要网络中有一个小小的漏洞,攻击者就能破坏整个网络的安全。
Web应用程序防火墙
上世纪90年代后期,Web应用程序开始成为企业越来越重要的角色,但也一直受自身漏洞的折磨,为了解决代码级的缺陷,人们想了很多办法,但效果并不理想,自从WAF诞生后,人们终于看到了希望,于是纷纷转向WAF。
1999年有一篇文章介绍了AppShield,一个由Eran Reshef创建的HTTP过滤器,部署在Web应用程序前端过滤恶意访问行为,如拒绝伪造的输入字符,常见的CGI缓冲区溢出漏洞以前曾是服务器管理员的噩梦,有了AppShield后,终于可以安心睡觉了。
在1999年发布的一篇论文中,Eran介绍了互联网应用程序安全产品,他写道:"在程序运行期间,通过推断应用程序级的安全策略,自动保护电子商务应用程序,并针对每个入站请求执行这些策略,目标是让应用程序得到即时的保护,即使在设计和实现阶段没有考虑安全因素"。
WAF的现状和未来
WAF技术正变得越来越成熟,企业开始感受到它带来的好处,越来越多的商业和免费的WAF工具出现在市场上,很快,在服务器环境中,WAF将和传统网络防火墙一样普及开来,随着市场的成熟,我预计WAF功能将会被集成到网络边界安全设备中,最后,WAF可能内置于它保护的应用程序中,许多现代计算机系统通常带有主机级的防火墙。