隨著(zhù)互聯(lián)網(wǎng)的發(fā)展演變，基于Web和數據庫架構的應用系統已經(jīng)逐漸成為主流，廣泛應用于企業(yè)內部和外部的業(yè)務(wù)系統中。但是，黑客也將攻擊目標瞄準了Web應用，目前常見(jiàn)的網(wǎng)絡(luò )攻擊大多數都是針對應用自身的弱點(diǎn)，其中最常用的攻擊技術(shù)就是針對Web應用的SQL注入和跨站攻擊。而且黑客通過(guò)相應的攻擊工具可以輕松實(shí)現入侵，并可直接實(shí)現篡改頁(yè)面內容，甚至進(jìn)入數據庫修改內容等等。對Web應用的攻擊增多刺激了Web應用防火墻市場(chǎng)的增長(cháng)。
　　2009年是中國Web應用防火墻啟動(dòng)元年。從09年開(kāi)始，Web應用防火墻開(kāi)始進(jìn)入培育期，從目前市場(chǎng)發(fā)展情況來(lái)看，Web應用防火墻的發(fā)展還是很被看好的。梭子魚(yú)中國區總經(jīng)理何平在接受IT專(zhuān)家網(wǎng)記者采訪(fǎng)時(shí)表示，目前國內的Web應用防火墻 市場(chǎng)從輔導階段進(jìn)入了實(shí)際長(cháng)成階段。未來(lái)三到五年內，Web應用防火墻 年增長(cháng)率應該是200%以上。
　　剛性的需求
　　為什么Web應用防火墻受到重視？隨著(zhù)互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動(dòng)越來(lái)越多地依賴(lài)于WEB應用，在向客戶(hù)提供通過(guò)瀏覽器訪(fǎng)問(wèn)企業(yè)信息功能的同時(shí)，企業(yè)所面臨的風(fēng)險在不斷增加。主要表現在兩個(gè)層面：一是隨著(zhù)Web應用程序的增多，這些Web應用程序所帶來(lái)的安全漏洞越來(lái)越多；二是隨著(zhù)互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗，組織性和經(jīng)濟利益驅動(dòng)非常明顯。
　　根據 Gartner 的調查，信息安全攻擊有75%都是發(fā)生在Web應用層而非網(wǎng)絡(luò )層面上。同時(shí)，數據也顯示，2/3的Web站點(diǎn)都相當脆弱，易受攻擊?？梢哉f(shuō)，絕大多數企業(yè)將大量的投資花費在網(wǎng)絡(luò )和服務(wù)器的安全上，沒(méi)有從真正意義上保證Web業(yè)務(wù)本身的安全，才給了黑客可乘之機。
　　Web攻擊可導致的后果極為嚴重，完全可以使用多種攻擊手段將一個(gè)合法正常網(wǎng)站攻陷，利用獲取到的相應權限在網(wǎng)頁(yè)中嵌入惡意代碼，將惡意程序下載到存在客戶(hù)端漏洞的主機上，從而實(shí)現攻擊目的。由此可見(jiàn)，Web安全已經(jīng)成為信息時(shí)代最大的“殺手”！
　　何平指出，當網(wǎng)站已經(jīng)和后臺數據庫掛鉤，而非簡(jiǎn)單的靜態(tài)頁(yè)面時(shí)，就應該關(guān)注Web應用安全。另外隨著(zhù)今年3G網(wǎng)絡(luò )開(kāi)始部署，很多3G應用開(kāi)始以手機、平板電腦為基礎，之后Web方式的應用將會(huì )越來(lái)越多，由此，用戶(hù)對Web安全的剛性需求會(huì )越來(lái)越大。
　　挑戰來(lái)自何方？
　　當一個(gè)新東西的出現，要經(jīng)過(guò)一個(gè)認知過(guò)程，Web應用防火墻亦是如此。Web應用防火墻在國外出現的時(shí)間比國內早，市場(chǎng)的認知度相對比國內要早3－5年左右。何平坦言，對于目前梭子魚(yú)而言，最大的挑戰不是來(lái)自競爭對手，而是來(lái)自用戶(hù)的認知的挑戰。在整個(gè)行業(yè)的推動(dòng)，仍然需要花很大的力氣進(jìn)行市場(chǎng)教育和引導。
　　另外，國內的Web應用防火墻市場(chǎng)還處于一個(gè)混沌期，要想拿出一個(gè)比較成型的標準，還需要一兩年的時(shí)間。何平介紹到，Web應用防火墻最早的標準來(lái)自于PCI-DSS標準設計（信用卡支付的數據安全標準），但隨著(zhù)業(yè)務(wù)和應用需求的變化以及面對危脅的變化，目前標準的參考主要是來(lái)自于OWASP－開(kāi)放式Web應用程序安全項目。OWASP是一個(gè)開(kāi)放社群、非營(yíng)利性組織，其主要目標是研議Web安全的標準。從防護能力來(lái)說(shuō)，Web應用防火墻用于防御應用層的如SQL注入攻擊、跨站腳本攻擊等傳統安全設備無(wú)法防御的安全威脅。
　　但是技術(shù)是和市場(chǎng)是聯(lián)動(dòng)的，來(lái)自Web危脅日益嚴重的剛性需求，以及隨著(zhù)國內用戶(hù)需求的逐漸清晰和細化，Web應用防火墻產(chǎn)品的事實(shí)標準將逐漸形成。
　　Web應用防火墻和傳統防火墻及Web安全網(wǎng)關(guān)有很大差別。傳統防火墻專(zhuān)注在網(wǎng)絡(luò )層面，提供IP、端口防護；Web應用防火墻主要致力于提供應用層保護。主要是對Web特有入侵方式的加強防護，如SQL注入、XSS等。Web應用防火墻 可以有效阻斷來(lái)自黑客的Web攻擊，建立起安全的第一道防線(xiàn)。
　　梭子魚(yú)Web應用防火墻是基于2007年收購的NetContinuum公司的NC系列防火墻開(kāi)發(fā)出來(lái)的新一代Web應用防火墻，不僅繼承了NC系列防火墻的強大功能，而且利用新的硬件平臺大大提升了產(chǎn)品的性能，同時(shí)利用梭子魚(yú)產(chǎn)品的一貫優(yōu)勢--操作簡(jiǎn)單、易于部署，改善了產(chǎn)品的操作界面和部署模式。
　　何平指出，由于目前沒(méi)有統一的WAF標準，供應商的產(chǎn)品功能和性能差異非常大。Web應用防火墻直接關(guān)聯(lián)到用戶(hù)核心應用，用戶(hù)需謹慎選擇產(chǎn)品，并建議在打算部署此類(lèi)產(chǎn)品前先詢(xún)問(wèn)專(zhuān)業(yè)的安全公司或者系統集成商，多進(jìn)行分析比較