什么是Web应用防火墙？

Web应用程序防火墙（简称WAF）是通过设置一定的防御策略，让Web服务器仅接收合法的请求流量，来保护Web应用程序免受各种类型的攻击的网络安全产品。

防火墙用于监视和控制流经网络的流量，充当了企业内网和公共互联网之间的屏障。Web应用程序防火墙则是一种特定类型的防火墙，作用于流入和流出Web应用程序的流量。标准防火墙通常作为第一道防线，但是随着当今网站和网络服务对安全性需求的提升，已渐渐不能满足需求。基于此，WAF提供了更多专用性的功能，来阻止针对应用程序本身的攻击。

Web应用防火墙（WAF）的工作原理

WAF通过过滤、监视和阻止在Web应用程序与Internet之间的可疑HTTP / HTTPS 通信来保护Web应用程序。

在过去一段时间，安装传统防火墙已经成为一项网络安全惯例。这类防火墙部署在网络周围，并作用在OSI模型的第3层到第4层，因此它们的角色仅限于检测IP和TCP / UDP协议上的数据包，并根据IP地址、协议类型、端口号进行流量过滤。

而WAF作用于OSI模型的第7层（L7），可以解析Web应用程序协议，这个特性使得WAF可以对往返于Web应用程序的流量进行分析、并阻断那些传统网络防火墙无法检测到的攻击类型。

WAF充当了应用程序和Internet之间的反向代理保护盾。代理服务器是保护客户端的中介，相反地，反向代理则可确保客户端请求在到达服务器之前先通过它。更重要的是，WAF还可用于保护部署在其后方的各种应用程序。

WAF使用一组称为策略的规则来过滤掉恶意流量，防止其利用应用程序漏洞来进行攻击。这些安全策略通常基于已知的Web攻击特征，包括诸如HTTP标头、HTTP请求正文和HTTP响应正文之类的扫描点，还可以通过设置特定的策略来检测URL或文件扩展名来限制URI、标头和正文长度，或者通过签名和行为来检测SQL / XSS注入、网络爬虫。

使用WAF的一个核心优势是，可以轻松快速地修改和部署防护策略。部分WAF服务商还提供负载均衡、SSL卸载和基于机器学习的智能自动化策略修改，这使得在遭遇各种攻击类型、分布式拒绝服务（DDoS）时防护和响应保护变得更加容易。

WAF本身无法防御所有攻击，但是它可以极大地增强Web应用程序的安全性，尤其在抵御以下常见攻击时效果明显：

跨站请求伪造

跨站伪造攻击利用经过身份验证的合法用户身份，来执行危害应用程序安全性的行为。通常，攻击者通过电子邮件向用户发送链接，从而诱骗用户点击链接。一旦完成用户身份验证和登录，就可以强制用户执行请求，例如转账资金或更改其个人资料详细信息和电子邮件地址。如果攻击目标是管理员帐户并执行成功，则可能会危及整个Web应用程序。

跨站脚本

跨站脚本攻击是指攻击者将恶意代码注入客户端的浏览器中，以达到窃取用户会话cookie数据或修改页面内容的目的。这类攻击通常发生在提供动态网站的Web应用系统中，攻击者通过向包含JavaScript，PHP和.NET等脚本的动态网站注入恶意代码，当用户加载网页时，攻击者的恶意脚本将被执行。例如，用户的cookie可能会发送给攻击者，攻击者可以使用它进行模拟。

SQL注入

SQL注入攻击利用Web应用程序对涉及数据库操作的输入数据过滤不严的漏洞，将恶意SQL命令注入具有用户输入数据字段（例如网站联系表单）的网站和应用程序中。被注入的代码可以获取对数据库的未授权访问，并运行命令以窃取或修改数据库中的私有信息。

WAF有哪些不同的类型？

WAF通过一定的规则设置，来拦截符合预设条件的攻击请求、并放行正常的访问流量，以此来保护Web应用程序的安全。其对跨站伪造、跨站脚本、SQL注入和文件包含等攻击的有效防护，能阻止攻击者对应用程序的未授权访问、窃取敏感数据或损害应用程序本身。

根据WAF的部署实现方式，可以分为以下三种类型：

基于网络的WAF（硬件WAF）

这类WAF通常以独立硬件设备的形态存在，并且在本地安装。由于部署在靠近服务器的位置，因此更易于访问。与基于硬件的部署一样，它们有助于最大程度地减少延迟，但存储和维护成本很高。

基于主机的WAF（软件WAF）

基于主机的WAF是完全集成到应用程序软件中的，它作为模块存在于应用程序服务器中。这种WAF的价格比基于网络的WAF便宜，并且可定制性更高。缺点是，它们可能会耗尽本地服务器资源并影响应用程序的性能，部署和维护也会更加复杂。

云WAF

基于云的WAF更经济实惠，并且需要更少的本地资源来进行管理。云WAF更易于部署，通常以SaaS化交付，供应商提供整套安装，操作就像更换DNS重定向Web流量一样简单。由于采用了云服务模式，所需要的前期投入成本也极低，并且可以通过不断的更新、升级来抵御最新的攻击威胁。

以网宿web应用防火墙（云WAF）为例，无须改造，一键接入，就可享受7*24小时的安全服务，节省运维部署成本。通过在全球防护节点上部署和执行安全策略，网宿云WAF实时阻止Web应用程序攻击；智能规则引擎防护已知攻击，AI机器学习引擎防护新型攻击，让防护无死角。此外，基于全球海量资源，可按需弹性伸缩；全球负载避免单点故障，保障网站运营高可靠。