WAF(Web應用程序防火墻)在企業(yè)環(huán)境中變得越來越普及,成為網站保護的救命稻草,傳統(tǒng)防火墻在這方面已經力不從心,WAF的最大優(yōu)勢在于,它們可以給有漏洞的Web應用程序實施虛擬補丁。我預計WAF會在服務器環(huán)境中和傳統(tǒng)防火墻一樣成為司空見慣的東西。
傳統(tǒng)網絡防火墻
Bill Cheswick在1990年發(fā)表了一篇題為"安全互聯網網關設計"的論文,他在論文中描述了一種將企業(yè)網絡和互聯網隔離開的系統(tǒng),只允許特定的服務穿越它控制的邊界,網關的目的是保護弱配置的企業(yè)系統(tǒng),免受外部攻擊,Bill解釋:"隨著工作站的增多,系統(tǒng)管理通常很分散,很容易被忽視,弱密碼隨處可見,許多人安裝操作系統(tǒng)后就再也不管它,系統(tǒng)因漏洞未補向攻擊者敞開大門"。
Marcus Ranum在1992年發(fā)表了一篇題為"網絡防火墻"的論文,他在論文中強調在互聯網和企業(yè)網絡之間架設安全網關作為防火墻的需求,預防不懷好意的人訪問私有網絡中的主機,Marcus解釋了這樣做的好處:"這是確保一個系統(tǒng)盡可能安全的唯一辦法,如果安全漏洞在郵件程序中,立即修復它將會強化整個網絡的安全,但在一個完全連接到互聯網的站點中,必須將網絡上的每個系統(tǒng)都打上補丁"。
傳統(tǒng)網絡防火墻的設計者意識到,維護太多企業(yè)系統(tǒng)使得很難安全地配置它們,安全遵循水桶原則,只要網絡中有一個小小的漏洞,攻擊者就能破壞整個網絡的安全。
Web應用程序防火墻
上世紀90年代后期,Web應用程序開始成為企業(yè)越來越重要的角色,但也一直受自身漏洞的折磨,為了解決代碼級的缺陷,人們想了很多辦法,但效果并不理想,自從WAF誕生后,人們終于看到了希望,于是紛紛轉向WAF。
1999年有一篇文章介紹了AppShield,一個由Eran Reshef創(chuàng)建的HTTP過濾器,部署在Web應用程序前端過濾惡意訪問行為,如拒絕偽造的輸入字符,常見的CGI緩沖區(qū)溢出漏洞以前曾是服務器管理員的噩夢,有了AppShield后,終于可以安心睡覺了。
在1999年發(fā)布的一篇論文中,Eran介紹了互聯網應用程序安全產品,他寫道:"在程序運行期間,通過推斷應用程序級的安全策略,自動保護電子商務應用程序,并針對每個入站請求執(zhí)行這些策略,目標是讓應用程序得到即時的保護,即使在設計和實現階段沒有考慮安全因素"。
WAF的現狀和未來
WAF技術正變得越來越成熟,企業(yè)開始感受到它帶來的好處,越來越多的商業(yè)和免費的WAF工具出現在市場上,很快,在服務器環(huán)境中,WAF將和傳統(tǒng)網絡防火墻一樣普及開來,隨著市場的成熟,我預計WAF功能將會被集成到網絡邊界安全設備中,最后,WAF可能內置于它保護的應用程序中,許多現代計算機系統(tǒng)通常帶有主機級的防火墻。