基于阻止列表(负面安全模型)运行的 WAF 可防止已知攻击。将黑名单 WAF 想象为一名俱乐部保镖,被指示拒绝不符合着装要求的客人入场。相反,基于许可名单(积极安全模型)的 WAF 仅允许已预先批准的流量。这就像一个专属派对的保镖,他或她只承认名单上的人。阻止列表和许可列表都有其优点和缺点,这就是为什么许多 WAF 提供混合安全模型的原因,该模型实现了两者。
什么是基于网络、基于主机和基于云的 WAF?
WAF 可以通过以下三种不同方式中的一种来实现,每种方式都有自己的优点和缺点:
- 基于网络的 WAF 通常是基于硬件的。由于它们是在本地安装的,因此可以最大限度地减少延迟,但基于网络的 WAF 是最昂贵的选择,并且还需要物理设备的存储和维护。
- 基于主机的 WAF 可以完全集成到应用程序的软件中。该解决方案比基于网络的 WAF 成本更低,并提供更多的可定制性。基于主机的 WAF 的缺点是消耗本地服务器资源、实现复杂性和维护成本。这些组件通常需要工程时间,并且可能很昂贵。
- 基于云的 WAF 提供了一种非常易于实施且价格合理的选项;他们通常提供交钥匙安装,就像更改DNS以重定向流量一样简单。基于云的 WAF 还具有最低的前期成本,因为用户每月或每年为安全即服务付费。基于云的 WAF 还可以提供持续更新的解决方案,以抵御最新的威胁,而无需在用户端进行任何额外的工作或成本。基于云的 WAF 的缺点是用户将责任移交给第三方,因此 WAF 的某些功能对他们来说可能是一个黑匣子。(基于云的 WAF 是一种云防火墙)