早在2004年，國外一些安全廠商就提出了WEB應用防火墻（WebApplicationFirewall，簡稱WAF）的概念，並開始了逐步的嘗試（例如梭子魚網絡有限公司將Netcontinuum公司納入旗下，當時的Netcontinuum就是這一領域的先行者，其解決方案包含網站的網絡應用安全、通信管理和SSL加速等），但當時很多企業用戶對此的認識還比較模糊。隨著互聯網的普及，企業的Web應用越來越多，而來自於Web的信息安全風險也越發突出。

　　由於美國的各種企業都有自己的Web應用系統來為客戶提供在線支付，而這些Web應用系統中具有較高商業價值的數據引起了黑客的高度關注，出現了許多安全事件，包括信用卡信息被竊取。不但給企業造成了直接損失，還威脅到了整個銀行卡在線支付業務模式的推廣。

　　於是，支付卡行業安全標準委員會發佈了支付卡行業數據安全標準（PaymentCardIndustryDataSecurityStandard，PCIDSS）。PCIDSS法規6.6要求機構檢查自身Web應用程序的所有代碼，或者安裝一個WAF來防範已知的攻擊方式。該法規對WAF産品的發展産生了持續、強大的驅動力。國外的所有WAF廠商都把符合PCIDSS法規看作是産品最重要的技術指標。

　　現在，在權威測試機構的WAF産品通用測試標準（並不針對某個行業）中，也把PCIDSS作為參照。憑藉PCIDSS法規的大力支持，在2008年，國外WAF應用進入了成熟化與普及化時代。目前最新的PCIDSS是2009年8月發佈的1.2.1版本。

　　由於WEB應用防火墻的名字中有“防火墻”三個字，所以有很多用戶總是把WAF看作是一種新的防火墻。實際上，WEB應用防火墻、傳統防火墻、Web安全網關這三者之間有很大的差別，它們在不同的層面保護企業安全。我們上文提到的梭子魚網絡有限公司，其中國區技術總監谷新先生就曾對此做過詳細解釋，傳統防火墻專注在網絡層面，提供IP、端口防護。Web安全網關保護企業的上網行為免受侵害。而WAF是專門為保護基於Web的應用程序而設計的，它不像傳統的防火墻基於互聯網地址和端口號來監控和阻止數據包。企業將WAF部署在Web服務器之前，就是從網站應用的角度去考慮安全問題。

　　WAF檢查每一個傳入的數據包的內容來檢測SQL注入、跨站點腳本、會話劫持、篡改參數或URL等類型的攻擊。例如，WAF會掃描SQL查詢字符串，來檢測和刪除那些導致返回的數據多於應用程序要求的字符串。

　　更多WEB應用防火墻信息，可登錄梭子魚官方網站了解：www.barracudanetworks.com.cn