WAF（web应用防火墙）

Zh&&Li

已于 2024-01-20 21:47:11 修改

阅读量1k

点赞数 21

分类专栏：网络安全运维文章标签：前端网络 web安全安全

于 2024-01-20 15:30:00 首次发布

本文链接：https://blog.csdn.net/QuJJan/article/details/135716558

版权

网络安全运维专栏收录该内容

30 篇文章 11 订阅

订阅专栏

WAF是什么：

是一种用于保护Web应用程序的安全设备。Web应用程序是指通过Web浏览器或其他Web客户端访问的应用程序。WAF的目的是保护Web应用程序免受黑客、网络攻击和数据泄漏等安全威胁的攻击。

WAF的工作原理

流量识别：WAF识别来自客户端的请求，并对请求进行分析。WAF可以检查请求头、请求体、Cookie、URL参数等信息，并识别其中的攻击。
攻击检测：WAF对识别的请求进行攻击检测。WAF可以使用多种技术来检测攻击，例如正则表达式、特征匹配、行为分析等。WAF可以检测多种攻击，包括SQL注入、XSS、CSRF、命令注入等。
攻击响应：WAF根据检测结果采取相应的措施，例如拦截请求、阻止访问、记录事件等。WAF可以使用多种技术来响应攻击，例如重定向、报错、拦截等。
日志记录：WAF记录所有请求和响应的详细信息，包括请求头、请求体、响应头、响应体等。WAF可以将日志发送给中央日志管理系统，以便进行分析和审计

流量识别（解析HTTP请求）——>攻击检测（匹配规则）——>攻击响应（防御动作）——>记录日志

WAF可以通过对Web应用程序的流量进行过滤和监控，识别并阻止潜在的安全威胁。

WAF可以检测Web应用程序中的各种攻击，例如SQL注入、跨站点脚本攻击（XSS）、跨站请求伪造（CSRF）等，并采取相应的措施，例如拦截请求、阻止访问、记录事件等。

它被放置在网站的前面（通常）在防火墙的DMZ区域中。如下图：

WAF的分类

硬件WAF：硬件WAF通常是一种独立设备，它可以与网络交换机、路由器等设备集成，拦截来自外部网络的流量，并对Web应用程序进行保护。硬件WAF通常具有高性能和低延迟，适用于高流量的Web应用程序。
软件WAF：软件WAF通常是一种安装在服务器上的应用程序，可以通过修改Web服务器或代理服务器的配置文件实现。软件WAF可以与多种Web服务器和应用程序框架集成，包括Apache、Nginx、IIS等。软件WAF通常具有灵活性和易于配置的优点，适用于多种Web应用程序。
云WAF：云WAF通常是一种基于云的服务，可以将Web应用程序的流量转发到云端进行处理。云WAF可以提供全球分布的节点，从而提高Web应用程序的可用性和性能。云WAF通常具有弹性扩展、自动升级等优点，适用于高可用性和高性能的Web应用程序
嵌入式WAF：指的是网站内置的WAF

非嵌入型WAF对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、扫操作绕过的能力越来越强。（非嵌入式抵御能力弱于嵌入式；嵌入式维护成本高于非嵌入式）

软件型WAF（产品） 以软件的形式安装在服务器上，可以直接检测服务器是否存在webshell，是否有文件被创建等 D盾，云锁，网防G01，安全狗，护卫神，智创，悬镜，UPUPW，安骑士

硬件型WAF（产品） 以硬件的形式部署在链路中，支持多种部署方式，当串联到链路中时可以拦截恶意流量，在旁路监听时只记录攻击，不拦截 绿盟、安恒、铱迅、天融信、深信服、启明星辰、知道创宇、F5 BIG-IP

基于云WAF（产品） 一般以反向代理的形式工作，通过配置DNS或CNAME记录，使得对网站的请求报文优先经过WAF主机，经过WAF主机过滤后，将被认为无害的请求报文再发送给实际网站服务器进行请求，可以认为是自带防护功能的CDN （内容分发网络） 安全宝、创宇盾、玄武盾、腾讯云（T-Sec Web 应用防火墙）、百度云（应用防火墙 WAF）、西部数码、阿里云盾、奇安信网站卫士

开源型WAF（产品） Naxsi、OpenRASP、ModSecurity

网站内置的WAF 网站系统内置的WAF直接镶嵌在代码中，相对来说自由度高，网站内置的WAF与业务更加契合

WAF的特点

监测和拦截恶意流量：WAF可以监测流经其设备的所有流量，对恶意流量进行拦截，保护Web应用程序免受各种攻击。
基于规则的检测：WAF通常采用基于规则的检测技术，通过预定义规则或自定义规则来检测并拦截恶意流量。
防止漏洞利用：WAF可以检测和拦截各种漏洞利用攻击，如SQL注入、XSS、CSRF、命令注入等。
安全策略：WAF可以通过安全策略来限制流量的来源、目标和类型，从而实现更精细的流量控制和访问控制。
高可用性：WAF通常具有高可用性，可以通过多节点部署和负载均衡来实现高可靠性和可扩展性。

如何选择和部署WAF：

确定保护需求：首先需要了解您的Web应用程序所面临的威胁类型和攻击模式，以便选择适合的WAF解决方案。例如，如果您的Web应用程序主要面临SQL注入攻击和跨站点脚本攻击，那么您需要选择具有这些保护功能的WAF。
选择合适的WAF类型：WAF可以分为硬件、软件和云三种类型。硬件WAF适用于高流量的Web应用程序，软件WAF具有灵活性和易于配置的优点，适用于多种Web应用程序，而云WAF则适用于高可用性和高性能的Web应用程序。您需要根据自己的需求选择适合的类型。
考虑性能和可扩展性：WAF的性能和可扩展性非常重要，因为它需要处理Web应用程序的流量。因此，您需要选择具有高性能和可扩展性的WAF，以便满足未来的需求。
了解WAF的学习曲线和使用成本：不同的WAF解决方案有不同的学习曲线和使用成本。您需要考虑自己的技能水平和预算，以选择适合的解决方案。
集成WAF：在部署WAF之前，您需要了解您的Web应用程序如何与WAF进行集成。您需要确保WAF能够与您的Web服务器和应用程序框架集成，并确保WAF能够对您的Web应用程序进行全面的保护。
测试和优化：在部署WAF之前，您需要对其进行测试和优化。您需要确保WAF能够正常工作，并对Web应用程序进行适当的保护。如果发现WAF无法满足您的需求，则需要对其进行调整或更换。