Web應(yīng)用程序防火墻 (WAF) 如何工作？Web應(yīng)用防護(hù)系統(tǒng)（也稱(chēng)為：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文：Web Application Firewall，簡(jiǎn)稱(chēng)：WAF）。利用國(guó)際上公認(rèn)的一種說(shuō)法：Web應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專(zhuān)門(mén)為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

WAF通過(guò)過(guò)濾、監(jiān)控和阻止任何流向 Web應(yīng)用程序的惡意HTTP/S流量來(lái)保護(hù)您的 Web 應(yīng)用程序，并防止任何未經(jīng)授權(quán)的數(shù)據(jù)離開(kāi)應(yīng)用程序。它通過(guò)遵守一組有助于確定哪些流量是惡意流量以及哪些流量是安全流量的策略來(lái)實(shí)現(xiàn)這一點(diǎn)，正如代理服務(wù)器充當(dāng)保護(hù)客戶(hù)端身份的中介一樣，WAF以類(lèi)似的方式運(yùn)行，但相反（稱(chēng)為反向代理）充當(dāng)保護(hù)Web應(yīng)用程序服務(wù)器免受潛在惡意客戶(hù)端攻擊的中介。

WAF可以以軟件、設(shè)備或作為服務(wù)交付的形式出現(xiàn)?？梢宰远x策略以滿(mǎn)足您的 Web應(yīng)用程序或一組Web應(yīng)用程序的獨(dú)特需求。盡管許多WAF要求您定期更新策略以解決新漏洞，但機(jī)器學(xué)習(xí)的進(jìn)步使某些WAF能夠自動(dòng)更新。隨著威脅形勢(shì)的復(fù)雜性和模糊性不斷增加，這種自動(dòng)化變得越來(lái)越重要。

WAF、IPS和NGFW的區(qū)別

WAF是Web應(yīng)用防火墻，IPS是入侵防御系統(tǒng)，NGFW是下一代防火墻。

它們之間有什么區(qū)別？

Web應(yīng)用防火墻（WAF）保護(hù)應(yīng)用層，專(zhuān)門(mén)用于在應(yīng)用層分析每個(gè)HTTP/S請(qǐng)求。它通常是用戶(hù)、會(huì)話(huà)和應(yīng)用程序感知的，了解其背后的網(wǎng)絡(luò)應(yīng)用程序以及它們提供的服務(wù)。因此，您可以將WAF視為用戶(hù)和應(yīng)用程序本身之間的中介，在所有通信到達(dá)應(yīng)用程序或用戶(hù)之前對(duì)其進(jìn)行分析。傳統(tǒng)的WAF確保只能執(zhí)行允許的操作（基于安全策略）。對(duì)于許多公司或組織而言，WAF是應(yīng)用程序值得信賴(lài)的第一道防線(xiàn)，尤其是為了防止最常見(jiàn)的應(yīng)用程序漏洞的基本列表。

目前幾種主流的應(yīng)用程序漏洞列表如下：

注入攻擊

認(rèn)證失敗

敏感數(shù)據(jù)泄露

XML外部實(shí)體(XXE)

損壞的訪(fǎng)問(wèn)控制

安全配置錯(cuò)誤

跨站腳本(XSS)

不安全的反序列化

……

IPS 是一種范圍更廣的安全產(chǎn)品。它通常是基于簽名和策略的——這意味著它可以根據(jù)簽名數(shù)據(jù)庫(kù)和既定策略檢查眾所周知的漏洞和攻擊向量。IPS建立基于數(shù)據(jù)庫(kù)和策略的標(biāo)準(zhǔn)，然后在任何流量偏離標(biāo)準(zhǔn)時(shí)發(fā)送警報(bào)。隨著新漏洞的出現(xiàn)，簽名和策略會(huì)隨著時(shí)間的推移而增長(zhǎng)。通常IPS保護(hù)跨多種協(xié)議類(lèi)型（如DNS、SMTP、TELNET、RDP、SSH和FTP）的流量。IPS通常運(yùn)行和保護(hù)第3層和第4層。網(wǎng)絡(luò)層和會(huì)話(huà)層，盡管有些可能在應(yīng)用層（第 7層）提供有限的保護(hù)。

下一代防火墻 (NGFW) 監(jiān)控流向 Internet 的流量——跨網(wǎng)站、電子郵件帳戶(hù)和 SaaS。 簡(jiǎn)而言之，它是在保護(hù)用戶(hù)（相對(duì)于Web應(yīng)用程序）。NGFW將執(zhí)行基于用戶(hù)的策略，并在安全策略中添加上下文，此外還會(huì)添加URL過(guò)濾、防病毒/反惡意軟件等功能，并可能添加自己的入侵防御系統(tǒng) (IPS)。WAF 通常是反向代理（由服務(wù)器使用），而NGFW通常是正向代理（由瀏覽器等客戶(hù)端使用）。

部署WAF的不同方式

WAF可以通過(guò)多種方式部署——這取決于您的應(yīng)用程序的部署位置、所需的服務(wù)、您希望如何管理它以及您需要的架構(gòu)靈活性和性能級(jí)別。你想自己管理它，還是想外包管理？擁有基于云的選項(xiàng)是更好的模型還是您希望您的WAF位于本地？您希望如何部署將有助于確定哪種 WAF 適合您。

火傘云提供多種部署模式供您選擇：

01

基于云模式+完全托管即服務(wù)——如果您需要以最快、最輕松的方式在您的應(yīng)用程序前獲取 WAF（尤其是當(dāng)您的內(nèi)部安全/IT資源有限時(shí)），這是較好的選項(xiàng)。

02

基于云模式+自我管理——獲得云的所有靈活性和安全策略可移植性，同時(shí)仍保留對(duì)流量管理和安全策略設(shè)置的控制。

03

基于云模式+自動(dòng)配置——這是在云模式開(kāi)始使用WAF的最簡(jiǎn)單方法，以簡(jiǎn)單、經(jīng)濟(jì)高效的方式部署安全策略

04

本地高級(jí)WAF（虛擬或硬件設(shè)備）——這可以滿(mǎn)足最苛刻的部署要求，其中靈活性、性能和更高級(jí)的安全問(wèn)題是任務(wù)關(guān)鍵策略。