web安全分為保護(hù)服務(wù)器及其數(shù)據(jù)的安全；保護(hù)服務(wù)器和用戶之間傳遞的信息的安全；保護(hù)web應(yīng)用客戶端及其環(huán)境安全這三個(gè)方面。

隨著Web2.0、社交網(wǎng)絡(luò)、微博等等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺(tái)上。 (推薦學(xué)習(xí)：web前端視頻教程）

Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注，接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。

Web應(yīng)用安全問題本質(zhì)上源于軟件質(zhì)量問題。但Web應(yīng)用相較傳統(tǒng)的軟件，具有其獨(dú)特性。

Web應(yīng)用往往是某個(gè)機(jī)構(gòu)所獨(dú)有的應(yīng)用，對(duì)其存在的漏洞，已知的通用漏洞簽名缺乏有效性；需要頻繁地變更以滿足業(yè)務(wù)目標(biāo)，從而使得很難維持有序的開發(fā)周期；需要全面考慮客戶端與服務(wù)端的復(fù)雜交互場景，而往往很多開發(fā)者沒有很好地理解業(yè)務(wù)流程；人們通常認(rèn)為Web開發(fā)比較簡單，缺乏經(jīng)驗(yàn)的開發(fā)者也可以勝任。

Web應(yīng)用安全，理想情況下應(yīng)該在軟件開發(fā)生命周期遵循安全編碼原則，并在各階段采取相應(yīng)的安全措施。

然而，多數(shù)網(wǎng)站的實(shí)際情況是：大量早期開發(fā)的Web應(yīng)用，由于歷史原因，都存在不同程度的安全問題。對(duì)于這些已上線、正提供生產(chǎn)的Web應(yīng)用，由于其定制化特點(diǎn)決定了沒有通用補(bǔ)丁可用，而整改代碼因代價(jià)過大變得較難施行或者需要較長的整改周期。

這種現(xiàn)狀，專業(yè)的Web安全防護(hù)工具是一種合理的選擇。WEB應(yīng)用防火墻（以下簡稱WAF）正是這類專業(yè)工具，提供了一種安全運(yùn)維控制手段：基于對(duì)HTTP/HTTPS流量的雙向分析，為Web應(yīng)用提供實(shí)時(shí)的防護(hù)。

常見的WEB安全產(chǎn)品有梭子魚WEB應(yīng)用防火墻等。