数据处理-3.WAF-Web Application Firewall，即 Web 应用防火墙

WAF，全称为：Web Application Firewall，即 Web 应用防火墙。对此，维基百科是这么解释的：Web应用程序防火墙过滤，监视和阻止与Web应用程序之间的HTTP流量。WAF与常规防火墙的区别在于，WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。通过检查HTTP流量，它可以防止源自Web应用程序安全漏洞的攻击，例如SQL注入、跨站点脚本，文件包含和安全性错误配置。WAF具备以下特点：

• 全面检测WEB代码

• 深入检测HTTP/HTTPS

• 强大的特征库

• 网络层的防篡改机制

更多细节参见Web 防火墙（WAF）是什么？和传统防火墙区别是什么？

一言蔽之，WAF就是部署在网站上的一个东东，之所以说它“东东”，是因为这玩意分好几种类型。

主流WAF有哪些？

WAF的分类

WAF分为非嵌入型WAF和嵌入型WAF，非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的；而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、扫操作绕过的能力越来越强。当然，在部署维护成本方面，也是越高的。

软件型WAF

以软件的形式安装在服务器上，可以直接检测服务器是否存在webshell，是否有文件被创建等

D盾，云锁，网防G01，安全狗，护卫神，智创，悬镜，UPUPW，安骑士

硬件型WAF

以硬件的形式部署在链路中，支持多种部署方式，当串联到链路中时可以拦截恶意流量，在旁路监听时只记录攻击，不拦截

绿盟、安恒、铱迅、天融信、深信服、启明星辰、知道创宇、F5 BIG-IP

基于云WAF

一般以反向代理的形式工作，通过配置NS或CNAME记录，使得对网站的请求报文优先经过WAF主机，经过WAF主机过滤后，将被认为无害的请求报文再发送给实际网站服务器进行请求，可以认为是自带防护功能的CDN

安全宝、创宇盾、玄武盾、腾讯云（T-Sec Web 应用防火墙）、百度云（应用防火墙 WAF）、西部数码、阿里云盾、奇安信网站卫士

开源型WAF

Naxsi、OpenRASP、ModSecurity

网站内置的WAF

网站系统内置的WAF直接镶嵌在代码中，相对来说自由度高，网站内置的WAF与业务更加契合

IPS与IDS，防火墙与WAF之间的比较和差异

如果你在学习WAF的时候，常常对WAF、防火墙、IPS等概念感到费解，你可以直接查看我参考的原文（我这里重新排版了）

首先明确一下缩写词汇：

IPS(Intrusion Prevention System) =入侵防御系统

IDS(Intrusion Detection System) =入侵检测系统

WAF(Web Application Firewall) = Web应用程序防火墙

这些设备的拓扑如下

防火墙功能

防火墙有几种类型，但最常见的是硬件网络防火墙。从拓扑图中可以看到，由于网络防火墙是网络安全的基石，因此在所有网络设计中都可以找到网络防火墙。

防火墙的核心功能是允许或阻止源主机/网络与目标主机/网络之间的通信。

基本防火墙在OSI模型的第3层和第4层工作，即它们可以基于源/目标IP地址和源/目标TCP / UDP端口允许或阻止IP数据包。此外，网络防火墙是有状态的。这意味着防火墙会跟踪通过它的连接状态。

例如，如果内部主机通过防火墙成功访问了Internet网站，则后者会将连接保留在其连接表内，从而允许来自外部Web服务器的答复数据包传递到内部主机，因为它们已经属于已建立的防火墙。连接。

如今，下一代防火墙一直运行到OSI模型的第7层，这意味着它们能够在应用程序级别检查和控制流量。

IPS入侵防御系统

顾名思义，入侵防御系统（IPS）是一种安全设备，其主要任务是防止网络入侵。

这就是为什么IPS与数据包流串联连接的原因。从上面的网络拓扑（带IPS的防火墙）可以看出，IPS设备通常连接在防火墙后面，但是位于通信路径的串联位置，该通信路径向内部网络/从内部网络传输数据包。

为了使IPS设备在到达内部服务器之前立即阻止恶意流量，需要上述放置。

通常，IPS是基于签名的，这意味着它具有已知恶意流量，攻击和利用的数据库，如果它看到匹配签名的数据包，则它将阻止流量。

此外，IPS可以处理统计异常检测，管理员设置的规则等。

IDS入侵检测系统

IDS（入侵检测系统）是IPS的前身，本质上是被动的。如上图所示（带IDS的防火墙），该设备未与流量串联插入，而是并行（带外放置）。

通过交换机的流量也同时发送到IDS进行检查。如果在网络流量中检测到安全异常，则IDS只会向管理员发出警报，但无法阻止流量。

与IPS相似，IDS设备还主要使用已知安全攻击和漏洞利用的特征来检测入侵企图。

为了将流量发送到IDS，交换设备必须配置一个SPAN端口，以便复制流量并将其发送到IDS节点。

尽管IDS在网络中是被动的（即它不能主动阻止流量），但是有些模型可以与防火墙配合使用以阻止安全攻击。

例如，如果IDS检测到攻击，则IDS可以向防火墙发送命令以阻止特定的数据包。

WAF

WAF（Web应用程序防火墙）专注于保护网站（或通常的Web应用程序）。

它在应用程序层工作以检查HTTP Web流量，以检测针对网站的恶意攻击。

例如，WAF将检测SQL注入攻击，跨站点脚本，Javascript攻击，RFI / LFI攻击等。

由于当今大多数网站都使用SSL（HTTP），因此WAF还可以通过终止SSL会话并在WAF本身上检查连接内部的流量来提供SSL加速和SSL检查。

如上图所示（带有WAF的防火墙），它被放置在网站的前面（通常）在防火墙的DMZ区域中。

有了WAF，管理员可以灵活地限制对网站特定部分的Web访问，提供强身份验证，检查或限制文件上传到网站等。