Web應(yīng)用防護系統(tǒng)（也稱：網(wǎng)站應(yīng)用級入侵防御系統(tǒng)。英文：Web Application Firewall，簡稱： WAF）。利用國際上公認的一種說法：Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品。同時WEB應(yīng)用防火墻還具有多面性的特點。比如從網(wǎng)絡(luò)入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設(shè)備；從防火墻角度來看，WAF是一種防火墻的功能模塊；還有人把WAF看作“深度檢測防火墻”的增強。（深度檢測防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次，而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它。）

　　傳統(tǒng)網(wǎng)絡(luò)防火墻

　　Bill Cheswick在1990年發(fā)表了一篇題為"安全互聯(lián)網(wǎng)網(wǎng)關(guān)設(shè)計"的論文，他在論文中描述了一種將企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離開的系統(tǒng)，只允許特定的服務(wù)穿越它控制的邊界，網(wǎng)關(guān)的目的是保護弱配置的企業(yè)系統(tǒng)，免受外部攻擊。

　　Marcus Ranum在1992年發(fā)表了一篇題為"網(wǎng)絡(luò)防火墻"的論文，他在論文中強調(diào)在互聯(lián)網(wǎng)和企業(yè)網(wǎng)絡(luò)之間架設(shè)安全網(wǎng)關(guān)作為防火墻的需求，預(yù)防不懷好意的人訪問私有網(wǎng)絡(luò)中的主機，Marcus解釋了這樣做的好處："這是確保一個系統(tǒng)盡可能安全的辦法，如果安全漏洞在郵件程序中，立即修復(fù)它將會強化整個網(wǎng)絡(luò)的安全，但在一個完全連接到互聯(lián)網(wǎng)的站點中，必須將網(wǎng)絡(luò)上的每個系統(tǒng)都打上補丁"。

　　傳統(tǒng)網(wǎng)絡(luò)防火墻的設(shè)計者意識到，維護太多企業(yè)系統(tǒng)使得很難安全地配置它們，安全遵循水桶原則，只要網(wǎng)絡(luò)中有一個小小的漏洞，攻擊者就能破壞整個網(wǎng)絡(luò)的安全。

　　Web應(yīng)用程序防火墻

　　上世紀90年代后期，Web應(yīng)用程序開始成為企業(yè)越來越重要的角色，但也一直受自身漏洞的折磨，為了解決代碼級的缺陷，人們想了很多辦法，但效果并不理想，自從WAF誕生后，人們終于看到了希望，于是紛紛轉(zhuǎn)向WAF。

　　Web應(yīng)用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。并且，它也可以只允許HTTP協(xié)議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。修補Web安全漏洞，是Web應(yīng)用開發(fā)者頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現(xiàn)，會為Web應(yīng)用帶來什么樣的危害?，F(xiàn)在WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應(yīng)的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。

　　在1999年發(fā)布的一篇論文中，Eran介紹了互聯(lián)網(wǎng)應(yīng)用程序安全產(chǎn)品，他寫道："在程序運行期間，通過推斷應(yīng)用程序級的安全策略，自動保護電子商務(wù)應(yīng)用程序，并針對每個入站請求執(zhí)行這些策略，目標是讓應(yīng)用程序得到即時的保護，即使在設(shè)計和實現(xiàn)階段沒有考慮安全因素"。

　　WAF的現(xiàn)狀和未來

　　WAF技術(shù)正變得越來越成熟，企業(yè)開始感受到它帶來的好處，越來越多的商業(yè)和的WAF工具出現(xiàn)在市場上，很快，在服務(wù)器環(huán)境中，WAF將和傳統(tǒng)網(wǎng)絡(luò)防火墻一樣普及開來，隨著市場的成熟，我預(yù)計WAF功能將會被集成到網(wǎng)絡(luò)邊界安全設(shè)備中，，WAF可能內(nèi)置于它保護的應(yīng)用程序中，許多現(xiàn)代計算機系統(tǒng)通常帶有主機級的防火墻。